31 января вторник
ДОЛЛАР 58.1 -1.73
ЕВРО 56.48 -2.46
ЮАНЬ 81.53 -2.85
ФУНТ 65.45 -2.36
SBER
0 ₽ 0.00
Yandex
0 ₽ 0.00
Mail.Ru Group
0 ₽ 0.00
Ростелеком
0 ₽ 0.00
QIWI
0 ₽ 0.00
Ozon
0 ₽ 0.00

Угроза утюгов и матрасов

Директор учебного центра компании Searchinform Алексей Дрозд объясняет, почему «умные» вещи стали опасными

Угроза утюгов и матрасов
Авторские колонки 14 ноября 2016 •  runet

Угроза утюгов и матрасов

Директор учебного центра компании Searchinform Алексей Дрозд объясняет, почему «умные» вещи стали опасными

14 ноября 2016 👁 49031

Интернет вещей обещает сделать нашу жизнь удобнее: фитнес-браслет отследит пульс, умные часы услужливо передадут все данные на смартфон, а тот отправит мотивационный пост в соцсети. Как только мир воодушевился возможностями IoT, «умнеть» начало все подряд: от телефонов и телевизоров – до свечек и ремней.

Вместе с тем возникла проблема: управление смарт-вещами и гаджетами, с которыми они связаны, может попасть в руки злоумышленников. И чем сильнее интернет вещей проникает в повседневную жизнь, чем больше узнают о нас, тем серьезнее становится угроза.

Что не учли?

Обычно производители умных вещей выпускают продукты, и только после этого решают проблемы безопасности. Причин этому несколько:

1. Производитель реализует простейшую систему защиты.

Примером служит масса randomname-устройств околокитайского происхождения,поддерживающих подключение к Сети. В них есть процедура авторизации, но пара логин-пароль заранее задана производителем, и зачастую после приобретения пользователи не меняют настройки. Это делает устройства уязвимыми, чем и пользуются мошенники для самых разных целей. К примеру, в октябре масштабная атака через интернет вещей обрушилась на Америку.

Хакерам не пришлось изобретать чего-то сверхъестественного, чтобы вывести из строя десятки глобальных интернет-сервисов восточного побережья США. Они всего лишь скомпрометировали множество устройств из интернета вещей, получив к ним доступ простым подбором паролей. Таким образом был создан ботнет и организована мощнейшая DDoS-атака.

2. Производитель не считает уязвимости проблемой.

«Это не баг, это фича!» – часто так производители умных вещей отвечают на запросы о найденных уязвимостях. Тут можно вспомнить свежую историю с Xiaomi: разработчик может удаленно устанавливать на свои смартфоны любые приложения.

Обнаружил это студент, обратив внимание на странное предустановленное приложение AnalyticsCore.apk, которое работает на смартфоне Xiaomi MI4 в режиме 24/7. Связь приложения с сервером происходит без шифрования, что позволяет любому организовать MitM-атаку (Man-in-the-Middle – атака типа «человек посередине), перехватить трафик для прослушки или вовсе подменить его. Что интересно, избавиться от приложения нельзя: даже после удаления AnalyticsCore.apk снова появляется на телефоне через некоторое время.

А что Xiaomi? Упорно игнорировала обсуждение AnalyticsCore.apk на официальном форуме техподдержки компании, но в конце концов дала комментарий: «AnalyticsCore является встроенным компонентом MIUI-системы и используется MIUI для анализа данных, чтобы помочь разработчикам компании улучшить UI продуктов».

3. От такой функциональности никуда не деться.

Некоторые «умные разработки» снабжены функциональностью с «шпионской» составляющей. Хотя изначально производитель просто реализует некую полезную идею.

И если вам не нравится – можете не покупать товар. Так, Samsung предупреждает пользователей о любопытстве своих умных телевизоров на официальном сайте:

«Имейте в виду, что если произносимые Вами слова включают личную или конфиденциальную информацию, эта информация будет среди данных, записанных и переданных сторонней организации при Вашем использовании (функции) распознавания голоса»

Впрочем, нет гарантии, что после отключения функция действительно перестанет работать. Так было с телевизорами LG, которые отправляли трафик независимо от того, запретил пользователь сбор информации или нет. В ответ на просьбу пользователя прокомментировать это в LG посоветовали смириться:

Спасибо за ваше письмо.


Как мы и писали в предыдущем письме, ваш запрос был перенаправлен в центральный офис LG в Соединенном королевстве.


Так как вы, к сожалению, приняли Правила и Условия использования телевизора LG, ваши жалобы должны быть направлены продавцу устройства. Вы должны были ознакомиться с Правилами и Условиями в месте продажи телевизора, по понятным причинам LG не может предоставить комментарии по своим действиям.


Мы приносим свои извинения за неудобства, которые могли вам причинить. Если у вас есть другие вопросы — не стесняйтесь связываться с нами в будущем.


С уважением,
Том

Служба поддержки LG Electronics UK

Что имеем сейчас?

Такая картина безопасности IoT открывается, если заглянуть в недалекое прошлое. К чему это привело в настоящем?

Каждый производитель старается замкнуть экосистему на себе, создавая уникальные (а значит, несовместимые с другими устройствами) протоколы. Постепенно большинство из них уйдут­ с рынка, а другие закрепятся в качестве универсального стандарта, как было с аудио- и видеокассетами, дисками, мобильными операционными системами. Пока этих протоколов много (ZigBee, Insteon, Z-Wave и др.), но довольно скоро рынок определит 2-3 стандарта, которыми будет пользоваться уже весь мир. В России процесс, кстати, идет – сейчас наша карта Интернета вещей выглядит примерно так:

iot_russia

А пока имеем то, что имеем. Проблемы с безопасностью актуальны: устройств уже много, и для их взлома не нужно обладать особо специфическими знаниями. Отсюда – процветающие ботнеты и ряд других угроз.

 

Взять, например, нашумевший троян Mirai, исходный код которого был опубликован в свободном доступе. Вредонос искал устройства, работающие на определённых платформах и доступные через Интернет, а затем подбирал логин\пароль к системной учетке. По разным оценкам Mirai собрал от 300 тысяч до 500 тысяч устройств, которые могут использоваться для хакерских атак на системы с целью вывести их из строя или завладеть системой для осуществления противоправных действий. Отличная иллюстрация состояния защищенности интернета вещей!

Однако ботнетами угроза не ограничивается. Так, с фитнес-трекеров «сливают» различные данные о жизнедеятельности пользователя, а иногда и перехватывают информацию, отправленную в соцсети. С принтеров воруют данные, отправленные на печать, или – лучше – используют устройства в качестве точки входа в сеть компании. Что говорить о смартфонах: возможности «веселья» с этими умными устройствами ограничены, наверное, лишь фантазией злоумышленника. С тех пор как мобильный банкинг пошел в массы нас уже перестали удивлять новости о кражах средств со счетов через смартфоны на Android. Но про мобильную вирусологию можно писать отдельную статью.

 

К чему готовиться?

Несмотря на то, что проблема очевидна, предпринимать реальные шаги к ее решению стали совсем недавно. Так, Министерство внутренней безопасности США (Department of Homeland Security, DHS) намерено разработать ключевые принципы для производителей устройств интернета вещей с целью обеспечить безопасность будущих продуктов. Свою лепту внёс и альянс «Облачная безопасность» (CSA), разработав руководство по обеспечению безопасности IoT.

К июню 2017 года нормативно-правовую базу получит и российский Интернет вещей. Об этом говорится в проекте дорожной карты «Интернет+Город». Поправки к закону «Об информации, информационных технологиях и защите информации» утвердят требования к операторам этой инфраструктуры, а также её техническим и программным средствам. В планах – установка требований к сбору, хранению и обработке технологических данных на территории России, а также разработка образовательных программ и стандартов в области подготовки специалистов для IoT. В документе говорится о развитии сфер, где применяются технологии: жилищно-коммунальное хозяйство (ЖКХ), строительство и транспорт. Реализовать эти мероприятия будут Минкомсвязи, Минэкномразвития, Министерство энергетики, ФСБ, Федеральная служба технико-экспортного контроля (ФСТЭК) и другие ведомства.

Но одними законами здесь не обойтись. Как ни странно, но самую большую сложность в обеспечении безопасности Интернета вещей представляют пользователи. К примеру, у нас есть два умных одинаковых по функциональности устройства и на первом из них предусмотрен высокий уровень защиты, но его цена на порядок выше небезопасного аналога. Пользователь в большинстве случаев не может объективно оценить угрозы, потому выберет дешевый вариант.

Другой аспект этой проблемы: покупатели – не специалисты в сфере защиты данных. Они не будут разбираться в многостраничных инструкциях, читать каждый пункт условий использования и технической документации. Пользователь хочет, чтобы все было просто и быстро. И производитель идет навстречу и предлагает сделать все быстро… и небезопасно: простая настройка в два клика – ваше устройство начнет работать и жить своей параллельной жизнью.

Прогнозы говорят, что к 2020 году количество подключенных к Интернету вещей вырастет до 24 млрд. Эта сеть будет содержать массив критичных данных, утечка которых сможет нанести ущерб не только отдельным людям или организациям, но и экономике страны в целом. И очевидно, что пока скорость обеспечения защиты данных IoT значительно уступает скорости прихода умных устройств в нашу жизнь.

 

Теги: , , , , , ,
Новости smi2.ru
Комментарии 0
Зарегистрируйтесь или , чтобы оставлять комментарии.