Интернет вещей обещает сделать нашу жизнь удобнее: фитнес-браслет отследит пульс, умные часы услужливо передадут все данные на смартфон, а тот отправит мотивационный пост в соцсети. Как только мир воодушевился возможностями IoT, «умнеть» начало все подряд: от телефонов и телевизоров – до свечек и ремней.
Вместе с тем возникла проблема: управление смарт-вещами и гаджетами, с которыми они связаны, может попасть в руки злоумышленников. И чем сильнее интернет вещей проникает в повседневную жизнь, чем больше узнают о нас, тем серьезнее становится угроза.
Что не учли?
Обычно производители умных вещей выпускают продукты, и только после этого решают проблемы безопасности. Причин этому несколько:
1. Производитель реализует простейшую систему защиты.
Примером служит масса randomname-устройств околокитайского происхождения,поддерживающих подключение к Сети. В них есть процедура авторизации, но пара логин-пароль заранее задана производителем, и зачастую после приобретения пользователи не меняют настройки. Это делает устройства уязвимыми, чем и пользуются мошенники для самых разных целей. К примеру, в октябре масштабная атака через интернет вещей обрушилась на Америку.
Хакерам не пришлось изобретать чего-то сверхъестественного, чтобы вывести из строя десятки глобальных интернет-сервисов восточного побережья США. Они всего лишь скомпрометировали множество устройств из интернета вещей, получив к ним доступ простым подбором паролей. Таким образом был создан ботнет и организована мощнейшая DDoS-атака.
2. Производитель не считает уязвимости проблемой.
«Это не баг, это фича!» – часто так производители умных вещей отвечают на запросы о найденных уязвимостях. Тут можно вспомнить свежую историю с Xiaomi: разработчик может удаленно устанавливать на свои смартфоны любые приложения.
Обнаружил это студент, обратив внимание на странное предустановленное приложение AnalyticsCore.apk, которое работает на смартфоне Xiaomi MI4 в режиме 24/7. Связь приложения с сервером происходит без шифрования, что позволяет любому организовать MitM-атаку (Man-in-the-Middle – атака типа «человек посередине), перехватить трафик для прослушки или вовсе подменить его. Что интересно, избавиться от приложения нельзя: даже после удаления AnalyticsCore.apk снова появляется на телефоне через некоторое время.
А что Xiaomi? Упорно игнорировала обсуждение AnalyticsCore.apk на официальном форуме техподдержки компании, но в конце концов дала комментарий: «AnalyticsCore является встроенным компонентом MIUI-системы и используется MIUI для анализа данных, чтобы помочь разработчикам компании улучшить UI продуктов».
3. От такой функциональности никуда не деться.
Некоторые «умные разработки» снабжены функциональностью с «шпионской» составляющей. Хотя изначально производитель просто реализует некую полезную идею.
И если вам не нравится – можете не покупать товар. Так, Samsung предупреждает пользователей о любопытстве своих умных телевизоров на официальном сайте:
Впрочем, нет гарантии, что после отключения функция действительно перестанет работать. Так было с телевизорами LG, которые отправляли трафик независимо от того, запретил пользователь сбор информации или нет. В ответ на просьбу пользователя прокомментировать это в LG посоветовали смириться:
Как мы и писали в предыдущем письме, ваш запрос был перенаправлен в центральный офис LG в Соединенном королевстве.
Так как вы, к сожалению, приняли Правила и Условия использования телевизора LG, ваши жалобы должны быть направлены продавцу устройства. Вы должны были ознакомиться с Правилами и Условиями в месте продажи телевизора, по понятным причинам LG не может предоставить комментарии по своим действиям.
Мы приносим свои извинения за неудобства, которые могли вам причинить. Если у вас есть другие вопросы — не стесняйтесь связываться с нами в будущем.
С уважением,
Том
Служба поддержки LG Electronics UK
Что имеем сейчас?
Такая картина безопасности IoT открывается, если заглянуть в недалекое прошлое. К чему это привело в настоящем?
Каждый производитель старается замкнуть экосистему на себе, создавая уникальные (а значит, несовместимые с другими устройствами) протоколы. Постепенно большинство из них уйдут с рынка, а другие закрепятся в качестве универсального стандарта, как было с аудио- и видеокассетами, дисками, мобильными операционными системами. Пока этих протоколов много (ZigBee, Insteon, Z-Wave и др.), но довольно скоро рынок определит 2-3 стандарта, которыми будет пользоваться уже весь мир. В России процесс, кстати, идет – сейчас наша карта Интернета вещей выглядит примерно так:
А пока имеем то, что имеем. Проблемы с безопасностью актуальны: устройств уже много, и для их взлома не нужно обладать особо специфическими знаниями. Отсюда – процветающие ботнеты и ряд других угроз.
Взять, например, нашумевший троян Mirai, исходный код которого был опубликован в свободном доступе. Вредонос искал устройства, работающие на определённых платформах и доступные через Интернет, а затем подбирал логин\пароль к системной учетке. По разным оценкам Mirai собрал от 300 тысяч до 500 тысяч устройств, которые могут использоваться для хакерских атак на системы с целью вывести их из строя или завладеть системой для осуществления противоправных действий. Отличная иллюстрация состояния защищенности интернета вещей!
Однако ботнетами угроза не ограничивается. Так, с фитнес-трекеров «сливают» различные данные о жизнедеятельности пользователя, а иногда и перехватывают информацию, отправленную в соцсети. С принтеров воруют данные, отправленные на печать, или – лучше – используют устройства в качестве точки входа в сеть компании. Что говорить о смартфонах: возможности «веселья» с этими умными устройствами ограничены, наверное, лишь фантазией злоумышленника. С тех пор как мобильный банкинг пошел в массы нас уже перестали удивлять новости о кражах средств со счетов через смартфоны на Android. Но про мобильную вирусологию можно писать отдельную статью.
К чему готовиться?
Несмотря на то, что проблема очевидна, предпринимать реальные шаги к ее решению стали совсем недавно. Так, Министерство внутренней безопасности США (Department of Homeland Security, DHS) намерено разработать ключевые принципы для производителей устройств интернета вещей с целью обеспечить безопасность будущих продуктов. Свою лепту внёс и альянс «Облачная безопасность» (CSA), разработав руководство по обеспечению безопасности IoT.
К июню 2017 года нормативно-правовую базу получит и российский Интернет вещей. Об этом говорится в проекте дорожной карты «Интернет+Город». Поправки к закону «Об информации, информационных технологиях и защите информации» утвердят требования к операторам этой инфраструктуры, а также её техническим и программным средствам. В планах – установка требований к сбору, хранению и обработке технологических данных на территории России, а также разработка образовательных программ и стандартов в области подготовки специалистов для IoT. В документе говорится о развитии сфер, где применяются технологии: жилищно-коммунальное хозяйство (ЖКХ), строительство и транспорт. Реализовать эти мероприятия будут Минкомсвязи, Минэкномразвития, Министерство энергетики, ФСБ, Федеральная служба технико-экспортного контроля (ФСТЭК) и другие ведомства.
Но одними законами здесь не обойтись. Как ни странно, но самую большую сложность в обеспечении безопасности Интернета вещей представляют пользователи. К примеру, у нас есть два умных одинаковых по функциональности устройства и на первом из них предусмотрен высокий уровень защиты, но его цена на порядок выше небезопасного аналога. Пользователь в большинстве случаев не может объективно оценить угрозы, потому выберет дешевый вариант.
Другой аспект этой проблемы: покупатели – не специалисты в сфере защиты данных. Они не будут разбираться в многостраничных инструкциях, читать каждый пункт условий использования и технической документации. Пользователь хочет, чтобы все было просто и быстро. И производитель идет навстречу и предлагает сделать все быстро… и небезопасно: простая настройка в два клика – ваше устройство начнет работать и жить своей параллельной жизнью.
Прогнозы говорят, что к 2020 году количество подключенных к Интернету вещей вырастет до 24 млрд. Эта сеть будет содержать массив критичных данных, утечка которых сможет нанести ущерб не только отдельным людям или организациям, но и экономике страны в целом. И очевидно, что пока скорость обеспечения защиты данных IoT значительно уступает скорости прихода умных устройств в нашу жизнь.