Зомби-апокалипсис в IoT, или как мы помогли сети гипермаркетов спасти миллионы рублей

Предпосылки

Если посмотреть на Google Trends за последний год по запросу «IoT в России, Германии и США», то мы увидим интересную картину: немцы опережают по количеству запросов в Google американцев примерно настолько, насколько американцы опережают русских. При этом количество запросов по названию одного из самых известных IoT-вирусов (Mirai) в Америке или Германии все равно больше, чем все запросы по IoT в России.

В масштабах населения стран это особенно показательно. Исходя из этого, нельзя считать Штаты Меккой промышленного интернета. Но это выборка лидеров среди западных стран. Если взять восточные, то безоговорочным лидером сразу становится Китай. И это с учетом того, что мы берем англоязычный набор, и в Китае Google заблокирован.

Нельзя сказать, что Россия является лидером в мире по внедрению технологий IoT. Тем не менее количество таких запросов за последние пять лет выросло в шесть раз. Это говорит о том, что мы хотим развивать у себя интернет вещей, но плохо понимаем, как. Потому что, к сожалению, система образования специалистов в этой области, мягко выражаясь, хромает.

Но обычно это работает достаточно тяжело.

Устройства нельзя просто привезти, их надо растаможивать, нанимать своих людей, чтобы они занимались внедрением IoT. Повезет, если есть список рекомендованного оборудования, тогда можно попробовать купить девайсы на локальном рынке.

Глаза боятся, а руки не делают

Допустим, крупная иностранная сеть гипермаркетов решит внедрять IoT-устройства в российских магазинах, чтобы соответствовать всем правилам, которые действуют в группе. Дешевле и быстрее всего приобрести девайсы у официальных дистрибьюторов в России. Поможет список рекомендуемого оборудования и их аналогов, но, возможно, они будут не сертифицированы для нашей страны, а это действительно сложно сделать.

Следующим шагом будет настройка, например, 10 тысяч устройств типа роботов-пылесосов, термостатов и CCTV, у которых разные производители и системы управления, а мы помним, что на рынке соответствующих специалистов не так много.

Фото: Sorbis/Shutterstock

По чек-листу настройки нужно сбросить заводские пароли. Например, специалисту повезло, и всего пять базовых паролей раскиданы на 10 тысяч устройств. Тогда на всех этих штуках, прежде чем включить и разнести по помещениям, надо поменять пароль.

Представьте огромное помещение 5-10 тысяч квадратных метров с покрытием Wi-Fi. Это значит, что есть точки доступа, установленные по всему периметру, они сведены на «X» коммутаторов, а эти «X» коммутаторов объединены на «Y» маршрутизаторов. Значит, у «Z» точек доступа может повторяться набор идентификаторов (IP-адрес, VLAN и тому подобное). То есть просто расстановка этих устройств и заведение их в системы управления — уже нетривиальная задача. Хотя, казалось бы, надо просто сбросить дефолтный пароль.

Правильно настроить сетевую связность и обеспечить безопасность IoT-устройств на таком масштабе — просто, но муторно, этакий monkey business. Как показал отчет «Лаборатории Касперского», 75% атак — это простой перебор паролей через Telnet (привет, Mirai). А как показывает практика, хотя бы на одном устройстве окажется дефолтный пароль.

Любимый авось

Окей, представим, что мы живем в идеальном мире, и все это не так. Но какова вероятность, что хотя бы одно устройство из этих 10 тысяч перестало выпускаться и поддерживаться производителем? Работает, как сделали, менять не надо, функции выполняет, а производитель делает новые линейки — и, молодец, пусть делает. 

С момента, когда вендор прекращает продавать устройство, до момента, как перестает его поддерживать, может пройти три-пять лет. Какова вероятность, что есть хоть одно устройство, которое больше не производится и не поддерживается выпуском новых прошивок внутри сети гипермаркета, существующего в нашей стране больше 10 лет? Такая вероятность, наверное, есть.

А какова вероятность, что прошивки выпускаются, но на какие-то устройства их не устанавливают, потому что система управления не умеет делать это автоматически и у нее отсутствует расписание по установке? Какова вероятность, что у одного датчика нет доступа в интернет, потому что это небезопасно, сеть закрыта и нет возможности качать обновления? А что если таких магазинов не один, а восемь-пятнадцать, объединенных в одну логическую локальную сеть с единым выходом в интернет? Где та критическая масса «а если», после которой все эти «мелочи» становятся проблемами? 

Зомби-апокалипсис в IoT на практике

На практике все просто: находится одно устройство с заводским или простым паролем, туда заливается, например, микропрограмма, подбирается пароль и устройство становится ботом. Оно не начинает лихорадочно прыгать на людей с полки или как-то подозрительно себя вести, а спокойно находит следующее уязвимое устройство и начинает подбирать к нему пароль. И самое главное, внешне НИКАК себя не проявляет.

Потом так работают уже два устройства, и с течением времени на огромной территории собирается армия ботов, способная остановить работу огромного гипермаркета. А один час простоя — это потери миллионов рублей.

Фото: Ales Munt/Shutterstock

Есть отчет одной секьюрити-конторы, где говорится, что самые подверженные IoT-рискам индустрии — это ритейл (45% процентов) и HoReCa.

Обычно ритейл — это сетевые истории, и проходимость в них огромная. То же самое с ресторанами и гостиницами, но проходимость у ритейла в разы больше, соответственно, количество IoT-устройств экспоненциально выше, а значит — и попыток атаковать весь этот зоопарк.

Зачем устраивать IoT-апокалипсис?

Главная причина, почему совершается большинство атак — потому что интересно. На втором и третьем местах — промышленный шпионаж и борьба с конкурентами. Нет ничего более прикольного, чем когда ты пошутил над сотней людей, выключив свет в гипермаркете или сделав светомузыку, мигающую в такт последнему хиту Билли Айлиш.

Нам тема IoT-безопасности в ритейле знакома не понаслышке — не так давно мы решали задачу в интересах одной глобальной сети.

Кейс

Началась эта история так: мы тогда только начинали использовать поведенческий анализ трафика сети передачи данных «в гражданских целях». Это сегодня на каждом углу мы слышим об ужасных системах, которые нам заблокируют любимые мессенджеры, но, поверьте, глубокий поведенческий анализ трафика существовал задолго до того, как это стало мейнстримом, кстати, как, например, и блокчейн.

Чуть позже оказалось, что мы не самые умные, и исследования на эту тему пишутся годами. Но то, что повергло нас в шок (а мы не вчера стали заниматься IT, аналитикой и «сесурити»), наверняка уже является проблемой для кого-то еще в нашей стране — подумали мы и оказались правы.

За три дня холодных звонков (ох уж, они, любимые) мы нашли пять компаний и одну КОРПОРАЦИЮ, которые разрешили сделать им презентацию платформы. Честно говоря, зная апатию и предвзятое отношение больших компаний к стартапам, мы, особо ни на что не рассчитывая, поехали на встречу. И вот что у нас вышло.

Дано

• Один международный ритейл (10+ магазинов в России)
• Количество устройств: 15+ тысяч IoT-устройств
• Единая точка выхода в интернет

Проблемы

• Сеть тратит 100 часов в год, чтобы найти зараженное устройство
• Магазины из-за простоя теряют по $40 тысяч в час
• По приблизительным оценкам, потеря данных на 2,4 терабайта (карты лояльности, персональные данные)
• Не менее 2 тысяч клиентов испытали неудобства при совершении покупок в магазинах группы; точное количество клиентов, ушедших к конкурентам, подсчитать невозможно

Причины

• Более 20 поставщиков IoT-устройств от лампочек до сканеров штрихкодов 
• Свои нетривиальные системы управления (разрозненность управления всеми устройствами, так как сколько поставщиков, столько систем управления и мониторинга)
• Замкнутость сети ритейла не позволяет устройствам своевременно обращаться к серверам обновлений
• Часть устройств имеет простые или дефолтные пароли

Решение

По сути, как в истории с нашей лабораторией, которая жила своей ночной жизнью, только в масштабе международной сети гипермаркетов, есть своеобразное «гетто», где камеры пьют ром со сканерами и договариваются избить кассу и телефон за туалетом в четыре утра, нужно было максимально быстро локализовать этот район и нейтрализовать любую угрозу для мирных IoT-граждан. К счастью, для этого у нас есть необходимый стек знаний и инструментов.

Надо уточнить, что мы занимаемся все-таки не одним поведенческим анализом трафика, а развиваем собственную платформу — emma. Это комбинация различных услуг и сервисов, которые способны обеспечить полный спектр потребностей наших заказчиков в направлениях IoT, Security, CASB, IaaS и других.  

emma работает на сетевом уровне (все модели OSI) и способна обработать (проанализировать, решить, что делать, и передать соответствующую команду следующей системе в цепочке) трафик на скорости до 500 (Gbps) гигабит в секунду на одной сервисной ноде.

Еще проще — мы способны видеть все устройства внутри сети, понимать их состояния и влиять на поведение абсолютно незаметно для пользователей. Например, вы держите в руках сканер штрих-кодов, который «болеет», и в этот самый момент он «ломает» своего собрата — мы его детектируем, подавляем паразитный трафик и передаем информацию обо всех действиях в службу безопасности гипермаркета. Вы даже не заметили всех этих манипуляций (и не узнаете о них) и, скорее всего, не заметите, как после вас кто-то заменит этот сканер на другой. 

Конечно, отдельно стоит сказать большое спасибо руководству и сотрудникам нашего клиента за то, что: 

• доверили нам решение этой проблемы (не без проверок и пилотных проектов);
• были максимально открыты и дали все возможные доступы (не без жесткого NDA и одобрения всех допущенных участников проекта в HQ);
• вместе с нами писали политики и правила (все-таки 15+ тысяч устройств);
• на шесть часов закрыли один гипермаркет для проведения тестового запуска и дали возможность «поиграть» в самой большой «лаборатории» (да, мы тоже, как дети и хакеры, любим игрушки и все интересное).

Вывод

В нашем случае проблема решилась установкой выносных сенсоров в каждый магазин заказчика. По сути, сенсор — это и есть некое устройство (сервисная нода), которое анализирует весь проходящий через него трафик. Если трафик является вредоносным или аномальным, то очерчивается список устройств или же выделяется одно из них, на которое накладывается ограничительная политика. Мы локализуем нулевого пациента, расследуем, каким образом он заболел и, если возможно, лечим его.

Благодаря внедрению платформы emma время на детекцию аномалий и зараженных устройств снизилось со 100 часов до 23 минут в год, не было ни одного зомби-апокалипсиса, а клиенты, если и уходили к конкурентам, то по причинам, никак не связанным с IT. Говорят, есть специальные ароматизаторы, которые разрабатывают для ритейла и гостиниц за огромные деньги, но мы про это ничего не знаем.