В декабре множество самых разных компаний, экспертов и организаций в сфере информационной безопасности подвели итоги прошедшего года и рассказали, чего опасаться в году грядущем. Несмотря на количество подобных итогов и разнообразие упоминаемых тем, больше всего говорилось об одном — об «интернете вещей». Именно эта технология в прошлом году больше всего занимала умы специалистов и чаще всего попадала в новостные сводки. В будущем эта тенденция явно не пойдет на спад. Мы уже рассказывали об IoT, однако абстрактные предположения теперь стали объективной реальностью, поэтому новый материал аналитического центра Falcongaze посвящен угрозам, которые устройства «интернета вещей» несут прямо сейчас.
Ботнеты и уязвимые бытовые приборы
Множество устройств, имеющих выход в интернет, к сожалению, недостаточно защищены от взлома. Многие из них обладают одинаковыми установленными по умолчанию паролями, у некоторых есть широко известные, но неисправленные уязвимости. Разработчики «умных» вещей зачастую халатно относятся к вопросам безопасности, а пользователям, в свою очередь, недосуг разбираться с настройкой каждой вещи в доме, а хочется, чтобы они работали «из коробки». Такая ситуация приводит к катастрофическим последствиям. Самым громким событием, связанным с интернетом вещей, в прошлом году оказался ботнет Mirai. Он практически полностью состоял из скомпрометированных IoT-устройств и был причиной самой масштабной DDoS-атаки в истории.
Суть деятельности злоумышленников состояла в использовании троянской программы, которая проникала на устройства под управлением упрощенной версии Linux, часто применяемой в управлении IoT-устройствами. Причем сам взлом был на удивление несложным — программа методом полного перебора всего 61 известной комбинации дефолтных логинов и паролей получала доступ к устройству. Однако общая численность скомпрометированных устройств, в основном видеорегистраторов, на пике превышала 493 тысяч. Среди них также встречались такие «умные» приборы как терморегуляторы, холодильники и тостеры. В пиковые моменты DDoS-атаки от ботнета Mirai достигали одного терабайта в секунду. Использование этого ботнета при атаке на оператора DNS, несмотря на оперативно принятые меры для отражения атаки, привело к проблемам доступа у целого ряда популярных сервисов, в том числе Twitter, GitHub, Soundcloud и Spotify.
Физическая безопасность
Проникновение высоких технологий в повседневность приносит новые угрозы. Если еще недавно активность злоумышленников в сети была аспектом информационной безопасности, то теперь под угрозой могут находиться жизнь и здоровье людей. Пока это лишь тревожные предположения, однако реальность уже сейчас дает повод беспокоиться о физической безопасности при взаимодействии с IoT-устройствами.
Самый актуальный пример — автомобили, которые становятся все более «умными». Еще пару лет назад автомобили без водителя были сюжетом писателей-фантастов, однако уже сегодня автономные машины ездят по улицам Гонконга, Дубая и ряда штатов США и стран Европы. И эти автономные автомобили иногда попадают в аварии — так, например, широко обсуждаемым стали случаи с летальным исходом в результате сбоев в работе автопилота Tesla. Кто в таких происшествиях должен на себя брать ответственность, владелец машины или производитель оборудования, еще предстоит решить. Даже не принимая в расчет системы для автопилота, современный автомобиль буквально нашпигован различными высокотехнологичными модулями, датчиками и средствами управления, которые, естественно, имеют дистанционное управление, в том числе и через интернет. Все чаще появляются новости о проблемах в автомобилях, связанные не с непосредственно механизмами машины, а с программным обеспечением, безопасность которого, как и в случае с бытовыми IoT-устройствами оставляет желать лучшего. Причем касается эта проблема самых разных производителей: так, осенью прошлого года компания General Motors была вынуждена отозвать более 3 миллионов автомобилей в связи с ошибками в ПО, из-за которых не срабатывали подушки безопасности и преднатяжители ремней безопасности. Также широко известен стал скандал с концерном Volkswagen, когда в автомобили устанавливалось ПО, занижающее реальные показатели выброса вредных веществ. Кроме того, из-за «компьютеризации» автомобилей стал возможным их дистанционный взлом. Подобным образом исследователи и хакеры смогли получить неавторизованный доступ к автомобилям от компаний Chrysler, Tesla, Mitsubishi и ряда других марок.
Если взлом автомобилей — это недостаточно пугающая перспектива, то совсем иначе обстоят дела с медицинской сферой. Высокие технологии предоставляют медицинским работникам огромные возможности, от телемедицины, до современных методов диагностики и лечения. Однако и здесь вопрос с безопасностью далек от разрешения. Занимаясь разработкой в медтехе, специалисты зачастую упускают из виду возможность вмешательства злоумышленников. Так, эксперты информационной безопасности из Университета Вашингтона, проанализировав сервисы и технические средства для телемедицины, пришли к неутешительному выводу — в подавляющем большинстве случаев соединение между пациентом и доктор является уязвимым. Решить эту проблему можно внедрением повсеместного шифрования, однако уже используются инструменты для телемедицины с уязвимыми нешифрованными протоколами. Отдельную опасность также представляют носимые устройства для людей с тяжелыми хроническими заболеваниями, такие как инсулиновые помпы и кардиостимуляторы. Эксперт в сфере информационной безопасности Барнаби Джек в ходе конференции по ИБ Breakpoint рассказал о проведенном им исследовании, в результате которого выяснилось о возможности проведения с такими устройствами атак, которые могут серьезно навредить здоровью человека вплоть до летального исхода. Уязвимые беспроводные передатчики могут давать указания кардиостимуляторам и дефибрилляторам, а большинство устройств могут генерировать ток до 830 вольт. При этом ведомств, прямо отвечающих за качество работы таких устройств, в большинстве стран не существует. Государственные регуляторы в медицинской сфере контролируют медицинскую эффективность устройств, а за качеством применяемого кода следить просто некому.
Приватность владельцев IoT-устройств
Еще одним вопросом, прямо относящимся к разрастающемуся «интернету вещей» является приватность пользователей. Дело в том, что «умные» устройства собирают огромное количество информации о своих «хозяевах». Проконтролировать, что именно знают о владельцах устройства и их производители, становится практически невозможно. В неприятном, но тем не менее все еще оптимистичном сценарии, эта информация может продаваться рекламодателям. Другое дело, что эта информация может в какой-то момент стать добычей злоумышленников. Данные, полученные из таких устройств, могут предоставить максимально полный и подробный портрет пользователя. Уже сейчас с помощью сервиса Shodan можно смотреть видео с огромного количества веб-камер. Пользователи уже обнаружили на нем плантации конопли, банки, колледжи и школы, трансляции со взломанных нательных камер полицейских, частные дома и множество спящих детей, на которых «смотрят» уязвимые бэби-мониторы. Кроме того, многие пользователи опасаются растущих возможностей в связи с этим для государства в слежке за своими гражданами. Спецслужбы многих стран мира часто подвергались критике за необоснованную слежку за предполагаемыми правонарушителями и чрезмерное использование полномочий в цифровой сфере. А домашние «умные» устройства в этом плане дают беспрецедентный объем информации. Так, умная колонка от Amazon стала основным «свидетелем» убийства в штате Арканзас, которое, как считает следствие, совершил ее владелец. Колонка Amazon Echo имеет голосовое управление и, соответственно, «слышит» и записывает практически все, что происходит в доме. Помимо колонки в качестве улик полиция использовала другие устройства «умного дома»: термостат, систему сигнализации и водомер.
Проблемы с «интернетом вещей» очевидны всем, однако их быстрое решение не представляется возможным. Тем не менее подвижки в этом направлении идут. Так, совсем недавно государства всерьёз озаботились этой сферой. В России, например, индустриальный интернет к середине 2017 года может получить свою нормативно-правовую базу. Предполагается утвердить требования к инфраструктуре сбора данных на уровне оборудования и ПО и определить правила сбора, обработки и хранения информации. Американское правительство также все больше озабочено проблемами IoT-устройств. В частности, министр внутренней безопасности США и Департамент внутренней безопасности призвали производителей максимально обезопасить свои устройства от взлома после упомянутой выше мощной DDoS-атаки на DNS-провайдера.