Представьте себе, что сегодня понедельник, 1 сентября 2025 года, 7 часов утра. Ваш смарт-браслет получает информацию, что вы просыпаетесь, и посылает сигнал кофемашине, чтобы та начала варить кофе. Вы откладываете кофе на потом и отправляетесь на пробежку. Пока вы разминаетесь, датчики ваших «умных» часов считывают ваше физическое состояние (сердцебиение, пульс и т. д.) и отправляют эти данные вашему врачу. По дороге домой вы посылаете сигнал кофеварке подогреть остывший кофе.
LG выпустила наушники со встроенными датчиками сердцебиения. Примеров таких много. Есть и обратная сторона всех этих новшеств: доступом к накапливаемым данным ваших смарт-устройств может располагать и тот, кто не имеет на это право. К любому такому устройству «привинчивается» чип с чем-то Linux- подобным, присоединяется Wi-Fi адаптер или Bluetooth, и на мобильный маркетплейс «вывешивается» приложение для управления им. Обеспечивает функционирование всего этого комплекса некая облачная инфраструктура.
Это уже реальность: компания Adhere Tech выпустила таблетницу, которая автоматически посылает информацию о соблюдении приема лекарства, и если пациент пропустил прием, уведомляет его об этом.
Здесь возникает вопрос не только о том, что посторонний может получить информацию о вас, но и о том, как она затем может использоваться. В лучшем случае производители IoT-гаджетов будут предоставлять эти данные рекламодателям. Почему это возможно? Все эти гаджеты придется постоянно обновлять, платить за сервис: поддержка серверов, оплата трафика, работы персонала, скачивать soft, а это, как известно, не бесплатно. Для производителя появится возможность либо перевести вас на подписку, либо искать другие методы монетизации, в том числе и рекламное направление.
Проблемой посерьезнее является безопасность этих «умных» гаджетов. Разработчики признали, что на данный момент они стремятся развить технологию, а безопасность – это расплата за научный прогресс. И что мы имеем в итоге: автомобили, управляемые не вами, слежка в онлайн-режиме за вашим домом, взломанные капельницы с завышенной дозировкой лекарства – и это только начало. Вторая проблема – это необновляемые «дырявые» интерфейсы. К 2020 году нас будет окружать до 30 миллиардов IoT- гаджетов, большая часть из которых так никогда и не получит никаких обновлений. Они то и окажутся кормушкой для злоумышленников.
«Умный» «глупый» дом
Мой дом – островок безопасности. Вполне возможно, но если в нем не поселилось огромное количество IоT- устройств. Все «умные» дома оснащены системами наблюдения, мониторинга и безопасности, которыми можно управлять удаленно. Это целое поле, которое предстоит «вспахать» злоумышленникам. Итак, какие возможности есть у потенциальных хакеров: открыть окна и двери, заполучить данные банковских счетов, перенастроить медицинские устройства. И сделать все это с помощью электронного ключа.
Проблем у этих систем хоть отбавляй. Первая – ненадежная проверка подлинности. Системы, обладающие мобильными и облачными интерфейсами, не требуют ввода паролей необходимой длины и сложности, где-то даже отсутствует блокировка учетной записи после неправильного ввода пароля. Это даже не проблема, а нонсенс, к счастью, это легко решаемо. Недостатки есть и в шифровании, а точнее, в его отсутствии при передаче данных. И все это при том, что механизмы шифрования на транспортном уровне есть, но многие облачные подключения все же остаются уязвимыми.
Исследование, проведенное компанией Hewlett-Packard, выявило, что у 70% IoT-устройств есть серьезные уязвимости, ставящие под угрозу безопасность их владельцев. В среднем в каждом таком гаджете было выявлено 25 различных уязвимостей. Также были обнаружены незашифрованные сетевые сервисы, небезопасный интерфейс, наличие доступа к конфиденциальной информации, недостаточная защита программного обеспечения, недостаточная аутентификация.
А теперь пройдемся по вашему дому и посмотрим, насколько легко управлять вашими «умными» вещами. Многие пользуются устройствами для передачи медиаданных со смартфона или планшета на ТВ, достаточно подключить его к HDMI-выходу телевизора. Так называемый злодей может безо всяких сложностей осуществить flood-атаку на устройство, посылая на него запросы на разъединение, в ответ ваше устройство включает свой Wi-Fi-модуль и подключается к устройству хакера. Бороться с этой атакой можно, выключив телевизор и ожидая, пока злоумышленнику не надоест его затея. Следующими под угрозой находятся всевозможные кофеварки, холодильники, стиральные машины и другие электрические приборы, подключенные к сети.Это очень удобные устройства, которые, к сожалению, дают злоумышленнику возможность узнать пароль к вашей локальной сети Wi-Fi. Когда вы посылаете запрос на устройство, машина вам отвечает в виде зашифрованного пароля, но при этом компоненты ключа шифрования пересылает через открытый незащищенный канал. В итоге ваш пароль скомпрометирован, и злоумышленник может сам выбирать, будете ли сегодня пить кофе или стирать вещи. А представьте, что будет твориться с «умным» городом?
Хакеры уже проявили себя в области взломов интернет – гаджетов. Осенью прошлого года в атаке на сайт ИБ-журналиста Брайана Кребса был использован самый крупный на сегодняшний день ботнет Mirai. Он состоит из более чем 152 000 IP-камер, роутеров и записывающих устройств. Затем с помощью ботнета были атакованы Twitter, Reddit, PayPal, GitHub и другие ресурсы. Mirai сканирует интернет в поисках открытых telnet-портов, регистрируется с дефолтными учетными записями, и новый бот заражен. Был случай и с автомобилями: в прошлом году Crysler отозвала почти 1,5 млн моделей Jeep Cherokee после того, как два хакера удаленно захватили управление над машинами. Им удалось получить доступ к тормозам, рулю, трансмиссии и т. д. Проблемы со взломом IоT-устройств были и у таких компаний, как Tesla, Deutch Telecom.
«Пока все IoT-устройства задают своим владельцам вопрос «Нужно ли выполнить то или иное действие?»
Однако все больше пользователей склоняется к тому, что гаджеты не должны ни о чем спрашивать и принимать решения за нас».
Оливье Рибет, вице-президент направления «Высокие технологии» в Dassault Systemes
Интернет чего?
На первый взгляд, кажется, что все очень плохо и пользоваться «умными» устройствами как минимум неразумно. Но стоит ли так просто отказаться от всех преимуществ гаджетов-помощников? Многие представители IT-компаний считают риски надуманными. В частности, Роб Рэган, ведущий специалист по системам безопасности в компании Bishop Fox, говорит, что риски проникновения хакеров в системы IoT часто преувеличены. «Многие опасаются, что из-за того, что их домашняя система безопасности подключена к интернету, обязательно появится группа киберпреступников, которая пройдется по всем соседям, отключит все системы сигнализации и украдет все вещи. Мне кажется, что такой сценарий далек от реальности. Подобные происшествия случаются не так уж часто даже сейчас. Нет никаких сомнений, что вскоре мы сможем спокойно спать, зная, что интернет охраняет нас. Или что мы контролируем его», – отмечает специалист. Другие эксперты считают, что недостатки безопасности IoT это нормально, ссылаясь на то, что и компьютерные вирусы появились не сразу. Пока эти уязвимости не стали использовать злоумышленники, ни пользователи, ни производители не будут тратить время и деньги на защиту IoT-устройств. На минуточку, ожидается, что к 2020 году объем рынка М2М составит 1,2 триллиона долларов, но на данный момент ни о каких лишних затратах на проверку и обеспечение безопасности речь не идет. В то же время как быть с дефолтными паролями, «дырявыми» интерфейсами, произвольным кодированием? Первое, что нужно сделать, – изменить свое отношение к интернету вещей, это все-таки не просто гаджет или смартфон. Затем нужно создать отдельные, защищенные каналы связи, специализированные методы авторизации, а такжевнедрить технологии, снижающие вероятность использования чужого кода. И это только минимальный набор того, что нужно сделать в первую очередь. IoT-устройства не должны разрешать подключаться по умолчанию, предлагать ограниченный доступ, а не безграничный. В идеале должны отправлять и получать интернет-трафик только после того, как пользователь самостоятельно настроит все параметры безопасности сети домашних. В результате не придется полагаться только на защиту одного межсетевого экрана в Wi-Fi маршрутизаторе. Сегодня многие IT-гиганты объединяются в коалиции для борьбы с уязвимостями и недостатками IoT-устройств. Группа стандартов ISO и Ассоциация стандартов IEEE уже разрабатывают рамочную концепцию, которая стандартизирует безопасность в сфере IoT. Подобные альянсы зачастую работают локально, да и как бороться с тысячами no name гаджетов от недобросовестных производителей, которые массово заполняют дома пользователей. Представьте, что будет, если упадут сеть и сервис: взбесятся климат-контроли, выключатели света перестанут работать, заблокируются «умные» замки или же просто откроются без доступа к интернету. Сказать можно одно – работы в этом направлении все еще очень много, а пока не забывайте выключать свой утюг выходя из дома.