Горе от ума: Уязвимости IoT-устройств

За последние 10 лет IoT-устройства (Internet of Things, Интернет вещей), идею которых мы раньше видели лишь в фантастических фильмах, стали привычными составляющими быта, работы и отдыха. Колонки и часы, чайники и пылесосы, дроны и датчики умного дома — эти и многие другие девайсы делают нашу жизнь удобнее.

Однако, к сожалению, IoT-устройства уязвимы к кибератакам. (Давно пора признать: все связанное с интернетом уязвимо). Зачастую у IoT-устройств отсутствует необходимая защита, в отличие от, например, смартфонов и ПК.

По данным исследования Palo Alto Networks, 57% умных устройств подвержены атакам средней и высокой степеней опасности. Согласно Gartner, около 20% организаций испытали по крайней мере одну атаку на устройства интернета вещей за последние три года. Statista пророчит, что к 2025 году число подключенных умных устройств во всем мире достигнет 75 миллиардов, а число атак на них возрастет примерно в пять раз.

У прогресса две стороны, и уязвимости IoT — это не повод выбрасывать Алису и отключать в офисе климат-контроль. Необходимо знать, какие вопросы безопасности следует учитывать, чтобы получить желанный функционал с минимальными рисками. С этим помогут эксперты Digital Security и подскажут, на что стоит обратить внимание при производстве и использовании IoT-устройств.

Безопасность сетевых подключений

Небезопасные сетевые подключения с доступом к интернету ставят под угрозу конфиденциальность данных. Кроме того, через них третьи лица могут получить удаленный контроль над устройством.

Например, этому подвержены Cacagoo IP Camera и Hikvision Wi-Fi IP Camera: неавторизованные пользователи могут изменить настройки и даже отключить камеру. А через умные детские игрушки Toy Furby и Toy My Friend Cayla злоумышленник может в буквальном смысле шпионить за владельцами. Ответственность за этот пункт лежит на производителе устройства.

Надежные пароли

А вот задача установить безопасный пароль по силам пользователю устройства. Простые и популярные пароли без особого труда подбираются методом брутфорсинга. Проявите фантазию или воспользуйтесь сервисом генерации паролей.

Также запомните, что на многих умных устройствах производителем установлены стандартные пароли, и обычно они указаны в инструкции, которую можно найти в интернете. Таким грешат, например, Wi-Fi точки Industrial wireless access point Moxa AP или умный термостат Heatmiser Thermostat — пароли от них указаны в инструкции. Обязательно меняйте дефолтный пароль, если производитель предоставляет такую возможность.

Безопасные настройки

Некоторые заводские настройки делают IoT-устройства уязвимыми с самого начала использования. Например, помимо уже упомянутых выше стандартных паролей, может быть по умолчанию активирована функция, позволяющая осуществлять неавторизованное подключение к устройству и управление им. Среди таких устройств – квадрокоптер Parrot AR.Drone 2.0. и кофемашина ikettle от Smarter Coffee machines. Взываем к ответственности производителей, а пользователям можем посоветовать уделить больше внимания настройкам своих девайсов.

Безопасная передача и хранение данных

И снова предупреждение производителям: отсутствие шифрования при хранении и передаче данных может привести к раскрытию конфиденциальной информации. Казалось бы, кто станет красть адрес электронной почты с помощью бытовой техники? Но и такое возможно: например, взломав холодильник Samsung RF28HMELBSR, хакер может получить учетные данные Google-аккаунта владельца. А через пульт дистанционного управления от Volkswagen возможно перехватить контроль над машиной.

Обновления

Как смартфон и компьютер, умные устройства нуждаются в регулярных обновлениях из доверенных источников. Угрозу представляют уязвимости в устаревшем ПО, небезопасная доставка обновлений на устройство, а также отсутствие механизмов, запрещающих откат к старым версиям прошивки. Например, у принтера Canon отсутствует механизм аутентификации: кто угодно может получить доступ к устройству и обновить или изменить прошивку.

Бывает, что обновить устройство нельзя при всем желании. Например, устройство TP-LINK IP Surveillance Camera устарело и не обновляется. Принимать ли этот риск на себя или заменить устройство — пользователь решает сам.

Физическая защита и безопасные компоненты

Иногда физическая безопасность устройств недооценивается. Тем не менее, она может повлиять на приватность данных сильнее, чем вы думаете. Например, злоумышленник может загрузить процессор в Smart Nest Thermostat (устройство оптимизации температуры в домах и на предприятиях) через периферийное устройство по USB или UART. А колонку Amazon Echo с помощью паяльника можно превратить в полноценное устройство для прослушки.

Это далеко не полный список возможных проблем IoT. Если вы занимаетесь производством данных устройств, вам будет полезен подробный материал с техническими деталями и классификациями уязвимостей по CWE.

Если вы — пользователь устройства и описания уязвимостей вас не интересуют, позвольте повторить основной вывод:

Чтобы завершить статью на позитивной ноте, отметим, что вопросам безопасности IoT уделяют все больше внимания, принимаются новые законы и стандарты, связанные с безопасностью умных устройств, например:

Следим за безопасностью и ждем умного будущего с улучшенными пользовательскими интерфейсами и сверхбыстрой передачей данных!