Присмотритесь к кофеварке. Возможно, именно сейчас она передает хакерам ваши личные данные

Александр Лямин
Александр Лямин

Генеральный директор Qrator Labs

Расскажите друзьям
Полина Константинова

Александр Лямин, генеральный директор Qrator Labs, рассказывает, в чем слабые места IoT-устройств и чем они могут быть опасны именно для вас.

К 2020 году количество IoT-устройств достигнет 50 миллиардов

Электронные устройства, «общающиеся» друг с другом через облака, умные дома, интеллектуальные промышленные системы – все это становится нашей новой реальностью. В далекие 90-е первой вещью, которая смогла подключиться к интернету, стал самый обыкновенный тостер в исполнении Джона Ромки.

Спустя почти 30 лет число вещей класса Internet of Things превысило население планеты: количество умных устройств в 2017 году (с учетом гаджетов) составило, по оценке Juniper Research, порядка 15 миллиардов.

К 2020 году, по прогнозам Cisco IBSG, количество вещей, подключенных к интернету, достигнет 50 миллиардов. Иными словами, на одного жителя планеты будет приходиться по шесть smart-вещей.

«Умные» машины уже фактически окружают нас. Они работают и в быту, и в бизнесе, и в промышленности: чайники, телевизоры, фоторамки, подключенные к сети, – это лишь верхушка айсберга.

Класс устройств IoT сулит нам светлое будущее с автоматизацией процессов, сокращением материальных затрат и экономией времени, однако вводимые новшества добавляют серьезные проблемы с безопасностью.

 

Более 70% устройств IoT имеют «дыры» в прошивке

Как шутят безопасники, S в аббревиатуре IoT означает Security. Как можно заметить, безопасность в Internet of Things отсутствует так же, как и буква S. Объяснение простое: класс IoT нацелен на простого пользователя, разрабатываются эти устройства супербыстро, по минимальной цене и с минимальной маржой, поэтому времени и желания, задуматься о безопасности у производителя умных решений попросту нет.

Многие вендоры осознают, что безопасность —  это долгий процесс, требующий существенных материальных вложений, а потому, стремясь снизить свои издержки, они радикально экономят на обеспечении защиты.  Так, например, самый нашумевший ботнет этого десятилетия Mirai состоял в основном из устройств видеонаблюдения. Взломать их помог зашитый в камеры пароль, который просто нельзя изменить.

Весь IoT — это устройства класса «включил и забыл». Причем со стороны пользователя такие действия вполне ожидаемы и логичны, ведь порой многие вещи кажутся совершенно безопасными, хотя это далеко не так.

Большинство пользователей не ассоциируют свои «умные» утюги, кофеварки и чайники с компьютерами, а потому совершенно не склонны задумываться о необходимости обеспечения их безопасности.

Тем не менее эти предметы уже получили доступ в интернет, стек протоколов TCP/IP и весь необходимый софт, в котором есть огромное количество уязвимостей. По оценке  Hewlett-Packard, более 70% подключенных к интернету устройств имеют «дыры» в прошивке. В среднем в каждом проверенном устройстве выявлено 25 различных уязвимостей.

 

Хакеры устраивают DDoS, пользуясь уязвимостью IoT

По идее вендоры должны брать на себя ответственность за выпускаемое оборудование и гарантировать его безопасное использование: своевременно выпускать апдейты прошивки с исправленными уязвимостями и применять защитные технологии на этапе разработки. Но вендоры в целях экономии средств зачастую тоже вводят режим «выпустил, включил и забыл». Потому «умные» устройства никогда не получат апдейтов, а даже если и получат, то как заставить пользователя установить это обновление?

Большинство из нас заходят в интерфейс управления лишь единожды, делая первоначальную настройку. В итоге мы получаем устройства, которые годами производятся миллионными сериями с известными уязвимостями, что приводит к атакам, способным поставить интернет во всем мире на колени.

Наличие большого количества незащищенных устройств интернета вещей, пусть даже с невысокой вычислительной мощностью, делает их легкой добычей для злоумышленников. Эксплуатируя уязвимости или просто пользуясь слабостью встроенных систем защиты, хакеры создают масштабные ботнеты и используют их для вредоносной активности, например, для организации DDoS-атак.

С помощью все того же нашумевшего ботнета Mirai в конце 2016 года была устроена DDoS-атака против французского хостинг-провайдера OVH, достигшая рекордной скорости 1,2 Тбит/с. Специалисты тогда стали поговаривать, что интернету «конец» и далее функционировать он не сможет, раз появились атаки такого уровня.

Однако это не финал, а лишь начало целого класса угроз, связанных с «коробочками» IoT. Далеко ходить не надо: история 2016 года о ботнете, состоящем из более чем 25 тысяч городских и частных камер наблюдения и созданном для совершения DDoS-атак, уже стала притчей во языцех. Хуже того, как показало исследование WhiteScope LLC, даже автоматизированные мойки автомобилей могут быть взломаны за счет эксплуатации критической уязвимости и использоваться для нападения на ничего не подозревающих клиентов.

 

Развитие мобильных сетей создает новые проблемы для IoT

Масла в огонь подливает и развитие мобильного интернета. Все заметили, каким быстрым и надежным он стал за последнее десятилетие. Проводная связь зачастую бывает в разы медленнее беспроводной, и разница отставания будет только наращиваться, особенно в пригородной зоне.

Уже сегодня появляются сети пятого поколения 5G, и вскоре устройства класса IoT будут подключать уже не к домашним роутерам и маршрутизаторам, а к беспроводным сетям операторов связи напрямую. Вместе с тем развитие скорости и надежности мобильных сетей добавляет новый пласт проблем.

Поскольку умные устройства имеют быстрый доступ в интернет, располагают достаточно высокими вычислительными мощностями, они могут быть использованы как инструментарий для проведения различных атак, в том числе и DDoS.

Если раньше мы видели попытки использовать сети мобильных операторов как плацдарм для DDoS-атак, и жертвой становилась, прежде всего, сама инфраструктура мобильных операторов, что приводило к отключениям сетей, то сейчас все иначе.

В связи с тем, что сети стали выносливее, при проведении атак они «выживают», но проблемы получают все подключенные к ним устройства. И если включая устройство в свою домашнюю сеть, пользователь может ее администрировать, то управление сетью оператора связи целиком зависит от его службы эксплуатации. Пользователь никак не может на нее повлиять, а это несет в себе дополнительные риски.

 

Самые опасные – роутеры

Зараженные сети, состоящие из миллионов взломанных устройств, становятся по-настоящему угрожающей силой, притом не только для бизнеса, но и для частных пользователей. Если в домашней сети появляется устройство, контроль над которым получил злоумышленник, скорее всего, эта «железка» не только участвует в DDoS-атаках, но и собирает огромное количество информации о своем «хозяине»: крадет личную информацию, пароли, банковские данные, перехватывает трафик.

По данным исследования Positive Technologies, наиболее уязвимыми и потенциально самыми опасными устройствами класса IoT являются роутеры. В среднем по миру ежемесячно обнаруживается около десяти уязвимостей в программном обеспечении домашних Wi-Fi и 3G-роутеров.

Злоумышленник, завладев паролем от него, сможет проникнуть в домашнюю сеть и перехватывать передаваемый трафик, то есть вся веб-активность пользователя будет как на ладони, а значит, персональные данные жертвы будут моментально считаны и использованы по усмотрению хакера.

Особенно неприятно то, что злоумышленники добрались не только до клавиатур, мышей, GPS-навигаторов и прочих умных приборов, но даже до бэби-мониторов.

Как защитить устройства интернета вещей

Решение назревшей проблемы следует искать в области регулирования интернета вещей. Очевидно, что рынок остро нуждается в разработке нового подхода к обеспечению безопасности всех устройств IoT. Безусловно, видение самих вендоров, которые привыкли получать «быстрые» деньги и не вкладываться в дорогостоящую разработку, может резко отличаться от мнения профессионального сообщества.

Ответственность в этом вопросе должны взять на себя регулирующие органы, которые помогут построить безопасность интернета вещей на фундаменте стандартов защиты smart-устройств, оперируя тем фактом, что вещи IoT несут в себе действительно серьезную опасность как для пользователей, так и для бизнеса.

Бизнес бизнесом, но как быть в этой ситуации пользователям, пока вендоры не договорились и не разработаны методы защиты IoT?

Ответ напрашивается довольно банальный – защищать данные. То есть на этом этапе пользователям стоит взять этот вопрос в свои руки и заручиться рядом мер, опираясь на которые можно защититься от наиболее распространенных угроз в мире «умных» вещей.

 Необходимо содержать свою сеть «в чистоте»:

  • Сменить установленные по умолчанию пароли

  • Своевременно устанавливать обновления прошивок

  • Защищать маршрутизаторы и роутеры, о чем многие даже не задумываются (по данным исследования Positive Technologies, пароли примерно 15 из 100 роутеров не менялись никогда)

  • Приобретать smart-устройства только у известных вендоров, имеющих опыт в области обеспечения защиты

Подобный комплекс мер не дает 100-процентной гарантии, но существенно снижает шансы попасть «в переплет».


Почему простому пользователю нужно знать об этих опасностях

Конечно, на первый взгляд рядового пользователя, проблема интернета вещей – это не проблема: «Взломали мою кофеварку и с ее помощью кого-то «ддосят»? Ну и пусть, как это касается меня?».

К сожалению, касается, и в будущем коснется еще больше.

Если в домашней сети завелось хотя бы одно взломанное устройство, оно создало отличный плацдарм для кражи данных. Причем воровать могут не только финансы, но и личные данные.

Парадоксально, но факт: на черном рынке данные кредитной карты будут стоить в 3-4 раза дешевле цифровой идентичности пользователя: кто он, где живет, чем увлекается, кто его друзья и прочее. Мошенники могут легко эти данные монетизировать: перепродавать втридорога, использовать их для вымогательства средств у родственников и друзей, взломав аккаунт человека, например, в скайпе.

Кредитная карта ограничена лимитом и защищена программой «антифрод», поэтому украсть можно в лучшем случае несколько тысяч долларов, а обладая персональными данными можно незаконно получать десятки тысяч.

Поэтому главный совет всем, кто задумывается о приобретении умной техники или уже является обладателем таковой: своевременно устанавливайте обновления, следите за чистотой своей сети, не рискуйте, поскольку риск может стоить вам иногда слишком больших средств.


Угрозы IoT будут только нарастать

Современные технологии во многом опережают наше собственное восприятие и понимание цифровой культуры. Мы пока не имеем привычки защищать личные данные не только на телефонах и компьютерах, но и на других устройствах, подключенных к сети.

Однако человечество семимильными шагами движется в сторону гиперподключений и роста трафика. И когда каждая «булавка» в интернете сможет посылать 10 байт, возникнут новые проблемы безопасности, которые надо будет решать, разрабатывая современную инфраструктуру и стандарты защиты устройств.

В будущем угрозы IoT будут только нарастать, и впереди нас еще ждет множество громких атак, связанных с нахождением брешей в умных, но пока таких опасных интернет-вещах.


Материалы по теме:

Годы работы и миллионы инвестиций: почему делать hardware-проект – это боль

Чем различаются IoT и IIoT: найди 11 отличий

Почему умный дом не прижился в России?

Что изменится после внедрения 5G технологии

Как сделать так, чтобы ваш IoT-проект не провалился

 


Самые актуальные новости - в Telegram-канале Rusbase

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter


Комментарии

Зарегистрируйтесь, чтобы оставлять комментарии и получить доступ к Pipeline — социальной сети, соединяющей стартапы и инвесторов.
FinTech Russia
30 марта 2018
Ещё события


Telegram канал @rusbase