Хабрахабр

Не выбрасывайте умные лампочки в мусор, или опасность IoT

К 2023 году этот показатель вырастет почти в три раза, до $318 млрд. По оценкам аналитиков GlobalData, объем рынка IoT-решений в прошлом году составил около $130 млрд. Объем же подключенных устройств к 2020 году составит 20-50 млрд штук. Ежегодный рост (GAGR) составляет сейчас около 20%.

Многие из них содержат вшитые учетные данные, уязвимости, легко обнаруживаемые и эксплуатируемые злоумышленниками. К сожалению, умные гаджеты плохо защищены от взлома. И сейчас атаки всё ещё продолжаются, благодаря свежей инкарнации зловреда.
Подсчитано, что ущерб, причиненненый глобальной экономике ботнетами, составил в прошлом году $110 млрд. Пример: быстрое распространение Mirai.

Немного о ботнетах

image

Они постепенно заражают все больше умных устройств и представляют собой опасность как для бизнеса, так и для государства. Кроме Mirai, сейчас актуальны BetaBot, TrickBot, Panda, Ramnit.

Ботнет в состоянии полностью заблокировать работу сервисов какой-либо компании, что приведет к вынужденному простою. Убытки бизнеса, вызванные деятельностью зловредов могут быть очень большими. Еще больше компании придется потратить на ликвидацию последствий взлома. В этом случае убытки составляют в среднем $100 000.

Действовать ботнет может по-разному, включая перехват нажатий клавиш. Также зловред может атаковать сети компаний для кражи корпоративных данных: логины и пароли сотрудников, финансовая информация, технологические разработки.

К сожалению, опасны не только зловреды, но и сами по себе умные устройства.

Умные гаджеты — почему они опасны?

Умные устройства представляют опасность для бизнеса или частного лица даже тогда, когда они уже выброшены и находятся в мусорном контейнере. В некоторых из них хранится информация о доступе к локальным беспроводным сетям и другие данные. И если раньше взломщики охотились за записями и накопителями, которые выбрасывают сотрудники разных компаний, то сейчас может начаться охота и за IoT системами.

Умные лампочки

Команда исследователей приобрела новую лампочку LIFX, подключила ее к беспроводной сети. Специалисты компании Limited Results изучили несколько популярных моделей умных ламп. Затем лампочку выключили и разобрали.

Данные хранились в открытом виде. После загрузки данных, хранящихся на лампочке, оказалось, что в дампе есть доступы от WiFi сети, к которой устройство подключили после покупки. Доступны оказались даже корневой сертификат и частный RSA-ключ.

Вероятно, если бы исследователи проанализировали умные камеры, замки, глазки и т.п., ситуация оказалась бы примерно такой же. И проблемы не только у LIFX, данные загружали и из других умных лампочек.

Термостаты

Злоумышленники не cумели взломать систему «в лоб», поэтому стали искать лазейки. В прошлом году широкую известность получил взлом защищенного (с точки зрения кибербезопасности) казино. После этого взломщики похитили базу данных игроков, которые делают большие ставки, представляя собой громадный интерес для других казино. Одной из них оказался умный термостат, который служил для терморегуляции большого аквариума, установленного в казино.Термостат взломали, войдя в беспроводную сеть.

Умные камеры

Злоумышленники смогли залезть в корпоративную сеть через умные камеры, к которым получили доступ без особого труда. Роберт Ханниган (Robert Hannigan), руководитель британского разведывательного агентства GCHQ в 2014-2017 годы, стал свидетелем взлома сети крупного банка.

Несколько лет назад стал известным случай, когда злоумышленник стал искать подключенные к сети устройства только для того, чтобы пугать детей (например, говорить что-то страшным голосом через внешний динамик). К умным камерам можно отнести и видеоняни.

Роботы-пылесосы

Такой девайс позволяет не только получить доступ к беспроводной сети дома или офиса, но и подглядывать и подслушивать за происходящим. Модели роботов-пылесосов, оснащенные камерами, могут служить надежным инструментов взломщика.

В прошлом году стало известно об уязвимостях сразу нескольких роботов-пылесосов, включая Diqee 360, Xiaomi Mi Robot и других моделей.

И кое-что еще

Чаще всего взламываются роутеры, камеры наблюдения, компоненты систем типа «умный дом». Взлому подвержено большое количество других гаджетов, имя им — легион.

Как оказалось, подавляющее большинство взламываются примерно за полчаса. В январе 2018 года специалисты по информационной безопасности из Университета Бен-Гуриона рассказали о проверке почти двух десятков случайных умных устройств — популярных гаджетов, купленных у производителя. Самый простой способ получить доступ к девайсу — подобрать дефолтный пароль.

В чем же проблема?

Чаще всего производители умных устройств просто не предусматривают какие-либо механизмы противодействия злоумышленникам. Причина проста — большинство компаний стремится к минимальной себестоимости девайса.

Для внедрения механизма информационной защиты нужны деньги и время — ресурсы, которые есть далеко не у всех разработчиков. Если компания не будет постоянно выпускать новинки, она обанкротится.

А ведь любой элемент может содержать в себе уязвимость, о которой никто не знает. Чтобы сократить производственный цикл, компании собирают свои устройства из уже готовых компонентов, выпускаемых разными производителями: процессор, камера, беспроводный модуль связи, аудиочип и т.п. Но на практике ничего подобного не происходит. В идеале комплексное устройство должны проверять несколько недель, изучая возможные дыры.

Конечно, есть и исключения, но их немного. От идеи устройства до его внедрения порой проходит всего пара месяцев, комплексную проверку в такой ситуации выполнить невозможно.

Уязвимости многих из них нельзя устранить, поскольку производитель самого устройства или какого-то из компонентов не выпускает обновлений. Около 90% изученных экспертами умных устройств оказались плохо защищенными. А если и выпускает, то далеко не все пользователи знают о новинке, не говоря уже о достаточном уровне технических знаний для загрузки и обновления новой прошивки.

Как решить проблему?


Надёжный способов защиты от угроз IoT.

Что касается производителей, то для IoT устройств нужны единые стандарты, позволяющие унифицировать отрасль. Есть две возможности — для производителей и для пользователей. К сожалению, ситуация сейчас настолько сложная, что в ближайшем обозримом будущем унифицировать все это не представляется возможным. Вместо «зоопарка» разных решений будут стандартизированные устройства разных типов, включая бытовые и корпоративные гаджеты. Единичные попытки делаются в США и других странах.

И более привычные рекомендации — использовать сложные уникальные пароли, устанавливать обновления при их наличии. Пользователям можно рекомендовать приобретение лишь проверенных временем и другими людьми устройств, не покупать б/у гаджеты (мало ли, вдруг предыдущий владелец оставил «подарок»), изучать модель гаджета в интернете перед покупкой, чтобы убедиться, что для него нет универсального пароля.

Если информационную безопасность IoT-систем сделать одним из приоритетов, положительные изменения можно будет наблюдать уже через несколько недель. В целом же сфера IoT не изменится до тех пор, пока к ней не изменят отношение законодатели, разработчики и пользователи.

Есть ли у вас политика безопасности в отношении IoT гаджетов (личная или корпоративная)?

Какие меры предосторожности у вас? Пользуетесь IoT-гаджетами?

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть