Пора в отпуск
6000 миль
за оформление карты
Подробнее
(function(w, d, promoUrl, loc) { var modal, box, closeModalBtn, isModalAnimation, body, html, scrollBarWidth, promoButton; var teaser = d.querySelector('.tinkoff-all-airlines'); if (!teaser) return false; initModal(); preloadImages(['https://leonardo.osnova.io/2755fcfd-f5aa-3496-f0b8-2066ac91e9fa/', 'https://leonardo.osnova.io/0006b8c0-6e01-4b3f-6765-45d1606a2c48/', 'https://leonardo.osnova.io/da12942b-f4f3-2560-40b3-a1c930f4b330/']).then(function() { setTimeout(function() { analyticsEvents(); teaser.classList.add('is-init'); teaser.addEventListener('click', openModal); onDestroy(); }, 100); }); function onDestroy() { var moduleAjaxify = window.Air && window.Air.get('module.ajaxify'); if (moduleAjaxify && moduleAjaxify.on) { moduleAjaxify.on('Before page changed', function() { window.removeEventListener('scroll', scrollHandler); hideModal(); if (teaser) { teaser.removeEventListener('click', openModal); } if (box) { box.removeEventListener('click', stopPropagation); } if (closeModalBtn) { closeModalBtn.removeEventListener('click', closeModalStop); } if (promoButton) { promoButton.removeEventListener('click', clickPromo); } if (modal) { modal.removeEventListener('click', closeModal); modal.remove(); } }); } }; function initModal() { body = d.querySelector('body'); html = d.documentElement; modal = d.querySelector('.tinkoff-all-airlines-promo'); box = d.querySelector('[data-tinkoff-all-airlines-box]'); closeModalBtn = d.querySelector('[data-tinkoff-all-airlines-close]'); isModalAnimation = false; scrollBarWidth = getScrollbarWidth(); box.addEventListener('click', stopPropagation); modal.addEventListener('click', closeModal); closeModalBtn.addEventListener('click', closeModalStop); promoButton = d.querySelector('.tinkoff-all-airlines-promo__button'); if (promoButton) { promoButton.setAttribute('href', promoUrl); promoButton.addEventListener('click', clickPromo); } body.appendChild(modal); }; function clickPromo() { sendEvent('Promo button'); }; function stopPropagation(e) { e.stopPropagation(); }; function closeModalStop(e) { e.preventDefault(); e.stopPropagation(); closeModal(); }; function openModal() { if (isModalAnimation) return false; isModalAnimation = true; sendEvent('Popup', 'Open'); body.style.overflow = 'hidden'; html.style.marginRight = scrollBarWidth + 'px'; modal.classList.remove('is-hidden'); setTimeout(function() { modal.classList.add('is-show'); setTimeout(function() { isModalAnimation = false; }, 300); }, 0); }; function closeModal() { if (isModalAnimation) return false; isModalAnimation = true; hideModal(); sendEvent('Popup', 'Close'); }; function hideModal() { modal.classList.remove('is-show'); setTimeout(function() { modal.classList.add('is-hidden'); body.style.overflow = 'auto'; html.style.marginRight = '0px'; isModalAnimation = false; }, 300); }; function isInViewport(elem) { var bounding = elem.getBoundingClientRect(); return ( bounding.top >= 0 && bounding.left >= 0 && bounding.bottom <= (window.innerHeight || document.documentElement.clientHeight) && bounding.right <= (window.innerWidth || document.documentElement.clientWidth) ); }; function preloadImages(urls) { return Promise.all(urls.map(function(url) { return new Promise(function(resolve) { var image = new Image(); image.onload = resolve; image.src = url; }); })); }; function sendEvent(label, state) { state = state ? state : 'Click'; var value = 'Tinkoff All Airlines 650 (' + loc + ') — ' + label + ' — ' + state; console.log(value); if (window.dataLayer !== undefined) { window.dataLayer.push({ event: 'data_event', data_description: value, }); } }; function getScrollbarWidth() { var outer = d.createElement('div'); outer.style.visibility = 'hidden'; outer.style.overflow = 'scroll'; outer.style.msOverflowStyle = 'scrollbar'; d.body.appendChild(outer); var inner = d.createElement('div'); outer.appendChild(inner); var scrollbarWidth = (outer.offsetWidth - inner.offsetWidth); outer.parentNode.removeChild(outer); return scrollbarWidth; }; function analyticsEvents() { sendEvent('Teaser', 'init'); window.addEventListener('scroll', scrollHandler); scrollHandler(); }; function scrollHandler() { if (isScrolledIntoView(teaser)) { sendEvent('Teaser', 'Show'); window.removeEventListener('scroll', scrollHandler); } }; function isScrolledIntoView(el) { var rect = el.getBoundingClientRect(); var elemTop = rect.top; var elemBottom = rect.bottom; var isVisible = (elemTop >= 0) && (elemBottom <= w.innerHeight); return isVisible; }; }(window, document, 'https://www.tinkoff.ru/cards/credit-cards/all-airlines/promo/form/black-friday/?utm_source=vc0920_cc&utm_medium=ntv.fix&utm_campaign=allairlines.vcbf', 'entry-head'));
Техника
Digital Security
387

Горе от ума: Уязвимости IoT-устройств

В закладки

За последние 10 лет IoT-устройства (Internet of Things, Интернет вещей), идею которых мы раньше видели лишь в фантастических фильмах, стали привычными составляющими быта, работы и отдыха. Колонки и часы, чайники и пылесосы, дроны и датчики умного дома — эти и многие другие девайсы делают нашу жизнь удобнее.

Однако, к сожалению, IoT-устройства уязвимы к кибератакам. (Давно пора признать: все связанное с интернетом уязвимо). Зачастую у IoT-устройств отсутствует необходимая защита, в отличие от, например, смартфонов и ПК.

А цифры?

По данным исследования Palo Alto Networks, 57% умных устройств подвержены атакам средней и высокой степеней опасности. Согласно Gartner, около 20% организаций испытали по крайней мере одну атаку на устройства интернета вещей за последние три года. Statista пророчит, что к 2025 году число подключенных умных устройств во всем мире достигнет 75 миллиардов, а число атак на них возрастет примерно в пять раз.

У прогресса две стороны, и уязвимости IoT — это не повод выбрасывать Алису и отключать в офисе климат-контроль. Необходимо знать, какие вопросы безопасности следует учитывать, чтобы получить желанный функционал с минимальными рисками. С этим помогут эксперты Digital Security и подскажут, на что стоит обратить внимание при производстве и использовании IoT-устройств.

IoT, в чем проблемы?

Безопасность сетевых подключений

Небезопасные сетевые подключения с доступом к интернету ставят под угрозу конфиденциальность данных. Кроме того, через них третьи лица могут получить удаленный контроль над устройством.

Например, этому подвержены Cacagoo IP Camera и Hikvision Wi-Fi IP Camera: неавторизованные пользователи могут изменить настройки и даже отключить камеру. А через умные детские игрушки Toy Furby и Toy My Friend Cayla злоумышленник может в буквальном смысле шпионить за владельцами. Ответственность за этот пункт лежит на производителе устройства.

Надежные пароли

А вот задача установить безопасный пароль по силам пользователю устройства. Простые и популярные пароли без особого труда подбираются методом брутфорсинга. Проявите фантазию или воспользуйтесь сервисом генерации паролей.

Также запомните, что на многих умных устройствах производителем установлены стандартные пароли, и обычно они указаны в инструкции, которую можно найти в интернете. Таким грешат, например, Wi-Fi точки Industrial wireless access point Moxa AP или умный термостат Heatmiser Thermostat — пароли от них указаны в инструкции. Обязательно меняйте дефолтный пароль, если производитель предоставляет такую возможность.

Безопасные настройки

Некоторые заводские настройки делают IoT-устройства уязвимыми с самого начала использования. Например, помимо уже упомянутых выше стандартных паролей, может быть по умолчанию активирована функция, позволяющая осуществлять неавторизованное подключение к устройству и управление им. Среди таких устройств – квадрокоптер Parrot AR.Drone 2.0. и кофемашина ikettle от Smarter Coffee machines. Взываем к ответственности производителей, а пользователям можем посоветовать уделить больше внимания настройкам своих девайсов.

Безопасная передача и хранение данных

И снова предупреждение производителям: отсутствие шифрования при хранении и передаче данных может привести к раскрытию конфиденциальной информации. Казалось бы, кто станет красть адрес электронной почты с помощью бытовой техники? Но и такое возможно: например, взломав холодильник Samsung RF28HMELBSR, хакер может получить учетные данные Google-аккаунта владельца. А через пульт дистанционного управления от Volkswagen возможно перехватить контроль над машиной.

Обновления

Как смартфон и компьютер, умные устройства нуждаются в регулярных обновлениях из доверенных источников. Угрозу представляют уязвимости в устаревшем ПО, небезопасная доставка обновлений на устройство, а также отсутствие механизмов, запрещающих откат к старым версиям прошивки. Например, у принтера Canon отсутствует механизм аутентификации: кто угодно может получить доступ к устройству и обновить или изменить прошивку.

Бывает, что обновить устройство нельзя при всем желании. Например, устройство TP-LINK IP Surveillance Camera устарело и не обновляется. Принимать ли этот риск на себя или заменить устройство — пользователь решает сам.

Физическая защита и безопасные компоненты

Иногда физическая безопасность устройств недооценивается. Тем не менее, она может повлиять на приватность данных сильнее, чем вы думаете. Например, злоумышленник может загрузить процессор в Smart Nest Thermostat (устройство оптимизации температуры в домах и на предприятиях) через периферийное устройство по USB или UART. А колонку Amazon Echo с помощью паяльника можно превратить в полноценное устройство для прослушки.

Это далеко не полный список возможных проблем IoT. Если вы занимаетесь производством данных устройств, вам будет полезен подробный материал с техническими деталями и классификациями уязвимостей по CWE.

Если вы — пользователь устройства и описания уязвимостей вас не интересуют, позвольте повторить основной вывод:

Перед покупкой IoT-девайса ознакомьтесь с отзывами и подробной информацией о нем. Помните, что, покупая устройства неизвестных производителей, вы не получаете ни гарантий качества, ни гарантий безопасности. Выбирайте новое и наиболее безопасное устройство, уделяйте время настройкам и обновлениям устройств, и, насколько это возможно, повышайте уровень своей осведомленности в информационной безопасности.

Чтобы завершить статью на позитивной ноте, отметим, что вопросам безопасности IoT уделяют все больше внимания, принимаются новые законы и стандарты, связанные с безопасностью умных устройств, например:

Следим за безопасностью и ждем умного будущего с улучшенными пользовательскими интерфейсами и сверхбыстрой передачей данных!

Лидер российского рынка в области практической информационной безопасности.
{ "author_name": "Digital Security", "author_type": "editor", "tags": [], "comments": 4, "likes": 6, "favorites": 7, "is_advertisement": false, "subsite_label": "tech", "id": 150042, "is_wide": false, "is_ugc": false, "date": "Thu, 13 Aug 2020 17:28:18 +0300", "is_special": false }
Объявление на vc.ru
0
4 комментария
Популярные
По порядку
0

А как бороться будем с напастью? Запилим секьюрный роутер с блэкджеком и поведенческой аналитикой, так чтобы из облака подгружать сигнатуры и черные списки?

Ответить
0

Сигнатуры и черные списки можно легко обойти. На текущий момент конечный рядовой пользователь едва ли может повлиять на безопасность приобретенных IoT-устройств. Разработчики пока не несут наказания, не платят штрафы за халатное отношение. И пока это не изменится, мала вероятность того, что они серьезно возьмутся за это. Безопасность должна начинаться с разработки безопасной архитектуры, безопасного написания кода, а не быть необязательным дополнением.

Ответить
0

Как известно, S stands in IoT for security.

Ответить

Комментарии

null