23 июля воскресенье
ДОЛЛАР 59.26 0.00
ЕВРО 69.11 0.00
ЮАНЬ 8.76 0.00
ФУНТ 77.01 0.00
НЕФТЬ 51.99 0.62
золото 1168.81 -0.02
МТС
8.4 -0.24
VimpelCom Ltd
0 0.00
Yandex
31.41 +0.16
Mail.Ru Group
28.13 0.00
Ростелеком
66.21 -1.31
QIWI
20.26 +0.25
МегаФон
552.1 -0.88
РБК
8.19 +3.61
Угроза утюгов и матрасов
Авторские колонки 14 ноября 2016 •  therunet

Угроза утюгов и матрасов

Директор учебного центра компании Searchinform Алексей Дрозд объясняет, почему «умные» вещи стали опасными

14 ноября 2016
Алексей Дрозд
Директор Учебного центра компании SearchInform, эксперт по информационной безопасности

Интернет вещей обещает сделать нашу жизнь удобнее: фитнес-браслет отследит пульс, умные часы услужливо передадут все данные на смартфон, а тот отправит мотивационный пост в соцсети. Как только мир воодушевился возможностями IoT, «умнеть» начало все подряд: от телефонов и телевизоров – до свечек и ремней.

Вместе с тем возникла проблема: управление смарт-вещами и гаджетами, с которыми они связаны, может попасть в руки злоумышленников. И чем сильнее интернет вещей проникает в повседневную жизнь, чем больше узнают о нас, тем серьезнее становится угроза.

Что не учли?

Обычно производители умных вещей выпускают продукты, и только после этого решают проблемы безопасности. Причин этому несколько:

1. Производитель реализует простейшую систему защиты.

Примером служит масса randomname-устройств околокитайского происхождения,поддерживающих подключение к Сети. В них есть процедура авторизации, но пара логин-пароль заранее задана производителем, и зачастую после приобретения пользователи не меняют настройки. Это делает устройства уязвимыми, чем и пользуются мошенники для самых разных целей. К примеру, в октябре масштабная атака через интернет вещей обрушилась на Америку.

Хакерам не пришлось изобретать чего-то сверхъестественного, чтобы вывести из строя десятки глобальных интернет-сервисов восточного побережья США. Они всего лишь скомпрометировали множество устройств из интернета вещей, получив к ним доступ простым подбором паролей. Таким образом был создан ботнет и организована мощнейшая DDoS-атака.

2. Производитель не считает уязвимости проблемой.

«Это не баг, это фича!» – часто так производители умных вещей отвечают на запросы о найденных уязвимостях. Тут можно вспомнить свежую историю с Xiaomi: разработчик может удаленно устанавливать на свои смартфоны любые приложения.

Обнаружил это студент, обратив внимание на странное предустановленное приложение AnalyticsCore.apk, которое работает на смартфоне Xiaomi MI4 в режиме 24/7. Связь приложения с сервером происходит без шифрования, что позволяет любому организовать MitM-атаку (Man-in-the-Middle – атака типа «человек посередине), перехватить трафик для прослушки или вовсе подменить его. Что интересно, избавиться от приложения нельзя: даже после удаления AnalyticsCore.apk снова появляется на телефоне через некоторое время.

А что Xiaomi? Упорно игнорировала обсуждение AnalyticsCore.apk на официальном форуме техподдержки компании, но в конце концов дала комментарий: «AnalyticsCore является встроенным компонентом MIUI-системы и используется MIUI для анализа данных, чтобы помочь разработчикам компании улучшить UI продуктов».

3. От такой функциональности никуда не деться.

Некоторые «умные разработки» снабжены функциональностью с «шпионской» составляющей. Хотя изначально производитель просто реализует некую полезную идею.

И если вам не нравится – можете не покупать товар. Так, Samsung предупреждает пользователей о любопытстве своих умных телевизоров на официальном сайте:

«Имейте в виду, что если произносимые Вами слова включают личную или конфиденциальную информацию, эта информация будет среди данных, записанных и переданных сторонней организации при Вашем использовании (функции) распознавания голоса»

Впрочем, нет гарантии, что после отключения функция действительно перестанет работать. Так было с телевизорами LG, которые отправляли трафик независимо от того, запретил пользователь сбор информации или нет. В ответ на просьбу пользователя прокомментировать это в LG посоветовали смириться:

Спасибо за ваше письмо.


Как мы и писали в предыдущем письме, ваш запрос был перенаправлен в центральный офис LG в Соединенном королевстве.


Так как вы, к сожалению, приняли Правила и Условия использования телевизора LG, ваши жалобы должны быть направлены продавцу устройства. Вы должны были ознакомиться с Правилами и Условиями в месте продажи телевизора, по понятным причинам LG не может предоставить комментарии по своим действиям.


Мы приносим свои извинения за неудобства, которые могли вам причинить. Если у вас есть другие вопросы — не стесняйтесь связываться с нами в будущем.


С уважением,
Том

Служба поддержки LG Electronics UK

Что имеем сейчас?

Такая картина безопасности IoT открывается, если заглянуть в недалекое прошлое. К чему это привело в настоящем?

Каждый производитель старается замкнуть экосистему на себе, создавая уникальные (а значит, несовместимые с другими устройствами) протоколы. Постепенно большинство из них уйдут­ с рынка, а другие закрепятся в качестве универсального стандарта, как было с аудио- и видеокассетами, дисками, мобильными операционными системами. Пока этих протоколов много (ZigBee, Insteon, Z-Wave и др.), но довольно скоро рынок определит 2-3 стандарта, которыми будет пользоваться уже весь мир. В России процесс, кстати, идет – сейчас наша карта Интернета вещей выглядит примерно так:

iot_russia

А пока имеем то, что имеем. Проблемы с безопасностью актуальны: устройств уже много, и для их взлома не нужно обладать особо специфическими знаниями. Отсюда – процветающие ботнеты и ряд других угроз.

 

Взять, например, нашумевший троян Mirai, исходный код которого был опубликован в свободном доступе. Вредонос искал устройства, работающие на определённых платформах и доступные через Интернет, а затем подбирал логин\пароль к системной учетке. По разным оценкам Mirai собрал от 300 тысяч до 500 тысяч устройств, которые могут использоваться для хакерских атак на системы с целью вывести их из строя или завладеть системой для осуществления противоправных действий. Отличная иллюстрация состояния защищенности интернета вещей!

Однако ботнетами угроза не ограничивается. Так, с фитнес-трекеров «сливают» различные данные о жизнедеятельности пользователя, а иногда и перехватывают информацию, отправленную в соцсети. С принтеров воруют данные, отправленные на печать, или – лучше – используют устройства в качестве точки входа в сеть компании. Что говорить о смартфонах: возможности «веселья» с этими умными устройствами ограничены, наверное, лишь фантазией злоумышленника. С тех пор как мобильный банкинг пошел в массы нас уже перестали удивлять новости о кражах средств со счетов через смартфоны на Android. Но про мобильную вирусологию можно писать отдельную статью.

 

К чему готовиться?

Несмотря на то, что проблема очевидна, предпринимать реальные шаги к ее решению стали совсем недавно. Так, Министерство внутренней безопасности США (Department of Homeland Security, DHS) намерено разработать ключевые принципы для производителей устройств интернета вещей с целью обеспечить безопасность будущих продуктов. Свою лепту внёс и альянс «Облачная безопасность» (CSA), разработав руководство по обеспечению безопасности IoT.

К июню 2017 года нормативно-правовую базу получит и российский Интернет вещей. Об этом говорится в проекте дорожной карты «Интернет+Город». Поправки к закону «Об информации, информационных технологиях и защите информации» утвердят требования к операторам этой инфраструктуры, а также её техническим и программным средствам. В планах – установка требований к сбору, хранению и обработке технологических данных на территории России, а также разработка образовательных программ и стандартов в области подготовки специалистов для IoT. В документе говорится о развитии сфер, где применяются технологии: жилищно-коммунальное хозяйство (ЖКХ), строительство и транспорт. Реализовать эти мероприятия будут Минкомсвязи, Минэкномразвития, Министерство энергетики, ФСБ, Федеральная служба технико-экспортного контроля (ФСТЭК) и другие ведомства.

Но одними законами здесь не обойтись. Как ни странно, но самую большую сложность в обеспечении безопасности Интернета вещей представляют пользователи. К примеру, у нас есть два умных одинаковых по функциональности устройства и на первом из них предусмотрен высокий уровень защиты, но его цена на порядок выше небезопасного аналога. Пользователь в большинстве случаев не может объективно оценить угрозы, потому выберет дешевый вариант.

Другой аспект этой проблемы: покупатели – не специалисты в сфере защиты данных. Они не будут разбираться в многостраничных инструкциях, читать каждый пункт условий использования и технической документации. Пользователь хочет, чтобы все было просто и быстро. И производитель идет навстречу и предлагает сделать все быстро… и небезопасно: простая настройка в два клика – ваше устройство начнет работать и жить своей параллельной жизнью.

Прогнозы говорят, что к 2020 году количество подключенных к Интернету вещей вырастет до 24 млрд. Эта сеть будет содержать массив критичных данных, утечка которых сможет нанести ущерб не только отдельным людям или организациям, но и экономике страны в целом. И очевидно, что пока скорость обеспечения защиты данных IoT значительно уступает скорости прихода умных устройств в нашу жизнь.

 

Комментарии 0
Зарегистрируйтесь или , чтобы оставлять комментарии.
Войти с помощью: