{"id":14263,"url":"\/distributions\/14263\/click?bit=1&hash=b4dc4ce4b906960991e4705d10ce304ff5052bead202f1bda35bfb08e31596b1","title":"\u0421\u043a\u043e\u043b\u044c\u043a\u043e \u043c\u043e\u0436\u043d\u043e \u043f\u0440\u043e\u0434\u0430\u0442\u044c, \u0435\u0441\u043b\u0438 \u043f\u043e\u043a\u0440\u0430\u0441\u0438\u0442\u044c \u0433\u043b\u0430\u0432\u043d\u0443\u044e \u043a\u043d\u043e\u043f\u043a\u0443 \u0432 \u0447\u0451\u0440\u043d\u044b\u0439","buttonText":"\u0423\u0437\u043d\u0430\u0442\u044c","imageUuid":"edca0fea-02f8-5eb8-ae8c-3678b2acc040"}

Горе от ума: Уязвимости IoT-устройств

За последние 10 лет IoT-устройства (Internet of Things, Интернет вещей), идею которых мы раньше видели лишь в фантастических фильмах, стали привычными составляющими быта, работы и отдыха. Колонки и часы, чайники и пылесосы, дроны и датчики умного дома — эти и многие другие девайсы делают нашу жизнь удобнее.

Однако, к сожалению, IoT-устройства уязвимы к кибератакам. (Давно пора признать: все связанное с интернетом уязвимо). Зачастую у IoT-устройств отсутствует необходимая защита, в отличие от, например, смартфонов и ПК.

А цифры?

По данным исследования Palo Alto Networks, 57% умных устройств подвержены атакам средней и высокой степеней опасности. Согласно Gartner, около 20% организаций испытали по крайней мере одну атаку на устройства интернета вещей за последние три года. Statista пророчит, что к 2025 году число подключенных умных устройств во всем мире достигнет 75 миллиардов, а число атак на них возрастет примерно в пять раз.

У прогресса две стороны, и уязвимости IoT — это не повод выбрасывать Алису и отключать в офисе климат-контроль. Необходимо знать, какие вопросы безопасности следует учитывать, чтобы получить желанный функционал с минимальными рисками. С этим помогут эксперты Digital Security и подскажут, на что стоит обратить внимание при производстве и использовании IoT-устройств.

IoT, в чем проблемы?

Безопасность сетевых подключений

Небезопасные сетевые подключения с доступом к интернету ставят под угрозу конфиденциальность данных. Кроме того, через них третьи лица могут получить удаленный контроль над устройством.

Например, этому подвержены Cacagoo IP Camera и Hikvision Wi-Fi IP Camera: неавторизованные пользователи могут изменить настройки и даже отключить камеру. А через умные детские игрушки Toy Furby и Toy My Friend Cayla злоумышленник может в буквальном смысле шпионить за владельцами. Ответственность за этот пункт лежит на производителе устройства.

Надежные пароли

А вот задача установить безопасный пароль по силам пользователю устройства. Простые и популярные пароли без особого труда подбираются методом брутфорсинга. Проявите фантазию или воспользуйтесь сервисом генерации паролей.

Также запомните, что на многих умных устройствах производителем установлены стандартные пароли, и обычно они указаны в инструкции, которую можно найти в интернете. Таким грешат, например, Wi-Fi точки Industrial wireless access point Moxa AP или умный термостат Heatmiser Thermostat — пароли от них указаны в инструкции. Обязательно меняйте дефолтный пароль, если производитель предоставляет такую возможность.

Безопасные настройки

Некоторые заводские настройки делают IoT-устройства уязвимыми с самого начала использования. Например, помимо уже упомянутых выше стандартных паролей, может быть по умолчанию активирована функция, позволяющая осуществлять неавторизованное подключение к устройству и управление им. Среди таких устройств – квадрокоптер Parrot AR.Drone 2.0. и кофемашина ikettle от Smarter Coffee machines. Взываем к ответственности производителей, а пользователям можем посоветовать уделить больше внимания настройкам своих девайсов.

Безопасная передача и хранение данных

И снова предупреждение производителям: отсутствие шифрования при хранении и передаче данных может привести к раскрытию конфиденциальной информации. Казалось бы, кто станет красть адрес электронной почты с помощью бытовой техники? Но и такое возможно: например, взломав холодильник Samsung RF28HMELBSR, хакер может получить учетные данные Google-аккаунта владельца. А через пульт дистанционного управления от Volkswagen возможно перехватить контроль над машиной.

Обновления

Как смартфон и компьютер, умные устройства нуждаются в регулярных обновлениях из доверенных источников. Угрозу представляют уязвимости в устаревшем ПО, небезопасная доставка обновлений на устройство, а также отсутствие механизмов, запрещающих откат к старым версиям прошивки. Например, у принтера Canon отсутствует механизм аутентификации: кто угодно может получить доступ к устройству и обновить или изменить прошивку.

Бывает, что обновить устройство нельзя при всем желании. Например, устройство TP-LINK IP Surveillance Camera устарело и не обновляется. Принимать ли этот риск на себя или заменить устройство — пользователь решает сам.

Физическая защита и безопасные компоненты

Иногда физическая безопасность устройств недооценивается. Тем не менее, она может повлиять на приватность данных сильнее, чем вы думаете. Например, злоумышленник может загрузить процессор в Smart Nest Thermostat (устройство оптимизации температуры в домах и на предприятиях) через периферийное устройство по USB или UART. А колонку Amazon Echo с помощью паяльника можно превратить в полноценное устройство для прослушки.

Это далеко не полный список возможных проблем IoT. Если вы занимаетесь производством данных устройств, вам будет полезен подробный материал с техническими деталями и классификациями уязвимостей по CWE.

Если вы — пользователь устройства и описания уязвимостей вас не интересуют, позвольте повторить основной вывод:

Перед покупкой IoT-девайса ознакомьтесь с отзывами и подробной информацией о нем. Помните, что, покупая устройства неизвестных производителей, вы не получаете ни гарантий качества, ни гарантий безопасности. Выбирайте новое и наиболее безопасное устройство, уделяйте время настройкам и обновлениям устройств, и, насколько это возможно, повышайте уровень своей осведомленности в информационной безопасности.

Чтобы завершить статью на позитивной ноте, отметим, что вопросам безопасности IoT уделяют все больше внимания, принимаются новые законы и стандарты, связанные с безопасностью умных устройств, например:

Следим за безопасностью и ждем умного будущего с улучшенными пользовательскими интерфейсами и сверхбыстрой передачей данных!

0
3 комментария
Denis Mayorov

А как бороться будем с напастью? Запилим секьюрный роутер с блэкджеком и поведенческой аналитикой, так чтобы из облака подгружать сигнатуры и черные списки?

Ответить
Развернуть ветку
Digital Security
Автор

Сигнатуры и черные списки можно легко обойти. На текущий момент конечный рядовой пользователь едва ли может повлиять на безопасность приобретенных IoT-устройств. Разработчики пока не несут наказания, не платят штрафы за халатное отношение. И пока это не изменится, мала вероятность того, что они серьезно возьмутся за это. Безопасность должна начинаться с разработки безопасной архитектуры, безопасного написания кода, а не быть необязательным дополнением.

Ответить
Развернуть ветку
Pavel Zamyatin

Как известно, S stands in IoT for security.

Ответить
Развернуть ветку
0 комментариев
Раскрывать всегда