
В декабре множество самых разных компаний, экспертов и организаций в сфере информационной безопасности подвели итоги прошедшего года и рассказали, чего опасаться в году грядущем. Несмотря на количество подобных итогов и разнообразие упоминаемых тем, больше всего говорилось об одном — об «интернете вещей». Именно эта технология в прошлом году больше всего занимала умы специалистов и чаще всего попадала в новостные сводки. В будущем эта тенденция явно не пойдет на спад. Мы уже рассказывали об IoT, однако абстрактные предположения теперь стали объективной реальностью, поэтому новый материал аналитического центра
Ботнеты и уязвимые бытовые приборы
Множество устройств, имеющих выход в интернет, к сожалению, недостаточно защищены от взлома. Многие из них обладают одинаковыми установленными по умолчанию паролями, у некоторых есть широко известные, но неисправленные уязвимости. Разработчики «умных» вещей зачастую халатно относятся к вопросам безопасности, а пользователям, в свою очередь, недосуг разбираться с настройкой каждой вещи в доме, а хочется, чтобы они работали «из коробки». Такая ситуация приводит к катастрофическим последствиям. Самым громким событием, связанным с интернетом вещей, в прошлом году оказался ботнет Mirai. Он практически полностью состоял из скомпрометированных IoT-устройств и был причиной самой масштабной DDoS-атаки в истории.
Суть деятельности злоумышленников состояла в использовании троянской программы, которая проникала на устройства под управлением упрощенной версии Linux, часто применяемой в управлении IoT-устройствами. Причем сам взлом был на удивление несложным — программа методом полного перебора всего 61 известной комбинации дефолтных логинов и паролей получала доступ к устройству. Однако общая численность скомпрометированных устройств, в основном видеорегистраторов, на пике превышала 493 тысяч. Среди них также встречались такие «умные» приборы как терморегуляторы, холодильники и тостеры. В пиковые моменты DDoS-атаки от ботнета Mirai достигали одного терабайта в секунду. Использование этого ботнета при атаке на оператора DNS, несмотря на оперативно принятые меры для отражения атаки, привело к проблемам доступа у целого ряда популярных сервисов, в том числе Twitter, GitHub, Soundcloud и Spotify.
Физическая безопасность
Проникновение высоких технологий в повседневность приносит новые угрозы. Если еще недавно активность злоумышленников в сети была аспектом информационной безопасности, то теперь под угрозой могут находиться жизнь и здоровье людей. Пока это лишь тревожные предположения, однако реальность уже сейчас дает повод беспокоиться о физической безопасности при взаимодействии с IoT-устройствами.
Самый актуальный пример — автомобили, которые становятся все более «умными». Еще пару лет назад автомобили без водителя были сюжетом писателей-фантастов, однако уже сегодня автономные машины ездят по улицам Гонконга, Дубая и ряда штатов США и стран Европы. И эти автономные автомобили иногда попадают в аварии — так, например, широко обсуждаемым стали случаи с летальным исходом в результате сбоев в работе автопилота Tesla. Кто в таких происшествиях должен на себя брать ответственность, владелец машины или производитель оборудования, еще предстоит решить. Даже не принимая в расчет системы для автопилота, современный автомобиль буквально нашпигован различными высокотехнологичными модулями, датчиками и средствами управления, которые, естественно, имеют дистанционное управление, в том числе и через интернет. Все чаще появляются новости о проблемах в автомобилях, связанные не с непосредственно механизмами машины, а с программным обеспечением, безопасность которого, как и в случае с бытовыми IoT-устройствами оставляет желать лучшего. Причем касается эта проблема самых разных производителей: так, осенью прошлого года компания General Motors была вынуждена отозвать более 3 миллионов автомобилей в связи с ошибками в ПО, из-за которых не срабатывали подушки безопасности и преднатяжители ремней безопасности. Также широко известен стал скандал с концерном Volkswagen, когда в автомобили устанавливалось ПО, занижающее реальные показатели выброса вредных веществ. Кроме того, из-за «компьютеризации» автомобилей стал возможным их дистанционный взлом. Подобным образом исследователи и хакеры смогли получить неавторизованный доступ к автомобилям от компаний Chrysler, Tesla, Mitsubishi и ряда других марок.
Если взлом автомобилей — это недостаточно пугающая перспектива, то совсем иначе обстоят дела с медицинской сферой. Высокие технологии предоставляют медицинским работникам огромные возможности, от телемедицины, до современных методов диагностики и лечения. Однако и здесь вопрос с безопасностью далек от разрешения. Занимаясь разработкой в медтехе, специалисты зачастую упускают из виду возможность вмешательства злоумышленников. Так, эксперты информационной безопасности из Университета Вашингтона, проанализировав сервисы и технические средства для телемедицины, пришли к неутешительному выводу — в подавляющем большинстве случаев соединение между пациентом и доктор является уязвимым. Решить эту проблему можно внедрением повсеместного шифрования, однако уже используются инструменты для телемедицины с уязвимыми нешифрованными протоколами. Отдельную опасность также представляют носимые устройства для людей с тяжелыми хроническими заболеваниями, такие как инсулиновые помпы и кардиостимуляторы. Эксперт в сфере информационной безопасности Барнаби Джек в ходе конференции по ИБ Breakpoint рассказал о проведенном им исследовании, в результате которого выяснилось о возможности проведения с такими устройствами атак, которые могут серьезно навредить здоровью человека вплоть до летального исхода. Уязвимые беспроводные передатчики могут давать указания кардиостимуляторам и дефибрилляторам, а большинство устройств могут генерировать ток до 830 вольт. При этом ведомств, прямо отвечающих за качество работы таких устройств, в большинстве стран не существует. Государственные регуляторы в медицинской сфере контролируют медицинскую эффективность устройств, а за качеством применяемого кода следить просто некому.
Приватность владельцев IoT -устройств
Еще одним вопросом, прямо относящимся к разрастающемуся «интернету вещей» является приватность пользователей. Дело в том, что «умные» устройства собирают огромное количество информации о своих «хозяевах». Проконтролировать, что именно знают о владельцах устройства и их производители, становится практически невозможно. В неприятном, но тем не менее все еще оптимистичном сценарии, эта информация может продаваться рекламодателям. Другое дело, что эта информация может в какой-то момент стать добычей злоумышленников. Данные, полученные из таких устройств, могут предоставить максимально полный и подробный портрет пользователя. Уже сейчас с помощью сервиса Shodan можно смотреть видео с огромного количества веб-камер. Пользователи уже обнаружили на нем плантации конопли, банки, колледжи и школы, трансляции со взломанных нательных камер полицейских, частные дома и множество спящих детей, на которых «смотрят» уязвимые бэби-мониторы. Кроме того, многие пользователи опасаются растущих возможностей в связи с этим для государства в слежке за своими гражданами. Спецслужбы многих стран мира часто подвергались критике за необоснованную слежку за предполагаемыми правонарушителями и чрезмерное использование полномочий в цифровой сфере. А домашние «умные» устройства в этом плане дают беспрецедентный объем информации. Так, умная колонка от Amazon стала основным «свидетелем» убийства в штате Арканзас, которое, как считает следствие, совершил ее владелец. Колонка Amazon Echo имеет голосовое управление и, соответственно, «слышит» и записывает практически все, что происходит в доме. Помимо колонки в качестве улик полиция использовала другие устройства «умного дома»: термостат, систему сигнализации и водомер.
Проблемы с «интернетом вещей» очевидны всем, однако их быстрое решение не представляется возможным. Тем не менее подвижки в этом направлении идут. Так, совсем недавно государства всерьёз озаботились этой сферой. В России, например, индустриальный интернет к середине 2017 года может получить свою нормативно-правовую базу. Предполагается утвердить требования к инфраструктуре сбора данных на уровне оборудования и ПО и определить правила сбора, обработки и хранения информации. Американское правительство также все больше озабочено проблемами IoT-устройств. В частности, министр внутренней безопасности США и Департамент внутренней безопасности призвали производителей максимально обезопасить свои устройства от взлома после упомянутой выше мощной DDoS-атаки на DNS-провайдера.