Электро самолёт
Философия Стива Джобса
iPhone 16e
Nothing Phone 3a
Оживление фото LumaAI
Велосипед Mercedes
Робота научили делать сальто
Grok vs ChatGPT vs Claude
Генерация видео от Google

Интернет вещей (IoT): как не стать жертвой умных устройств

Интернет вещей (IoT): как не стать жертвой умных устройств

Сегодня в мире насчитывается более 16 миллиардов подключенных устройств интернета вещей, а к 2027 году ожидается, что их число вырастет до 29 миллиардов. Пока в интернете вещей нет стандартов безопасности, а значит, проблема утечек данных в ближайшие годы будет только обостряться. Разбираемся в вопросах безопасности в IoT-среде и механизмах ее защиты.

Что такое интернет вещей (IoT)

Это система взаимосвязанных устройств, компьютеров и цифровых машин. Они помечены уникальными идентификаторами (UID) и способны передавать данные по сети без участия человека.

В России за 2023 год количество девайсов выросло до 80 миллионов. Если лет десять назад дома у нас были только компьютеры и телефоны, то сейчас доступ в интернет есть у камер видеонаблюдения, голосовых помощников, игрушек и даже электрических лампочек. По сути, любой объект, который способен передавать данные по сети и имеет IP-адрес, может стать интернет-вещью.

Любопытные факты про IoT:

● Первым в мире устройством IoT стал автомат с газировкой.

● Первым в мире устройством IoT стал автомат с газировкой.

● Интернет вещей содержит бесконечное количество данных, которые измеряются в зеттабайтах.

● Python — широко используемый язык программирования для разработки приложений интернета вещей.

● В 2023 году в России продано 5,8 млн умных часов.

Какие угрозы для ИБ несут устройства

Риску подвержено всё, что подключено к интернету: от простых бытовых предметов до сложных промышленных инструментов. На самом деле вариантов угроз множество, мы расскажем о самых распространенных.

Отсутствие тестирования. Некоторые производители так спешат вывести продукты на рынок, что в процессе разработки забывают о безопасности. Проблемы обнаруживаются не на этапе тестирования, а когда устройство работает. Например, умный холодильник может предоставить учетные данные для входа в Gmail, а к смарт-замку с отпечатком пальца можно получить доступ с помощью Bluetooth-ключа.

Отсутствие физической защиты. Иногда устройства находятся в удаленных местах и в течение длительного времени работают без вмешательства человека. Хакеры могут подключиться к ним физически, например с помощью флеш-накопителя USB с вредоносным ПО.

Ботнет-атаки. Ботнеты — серия подключенных к интернету устройств, которые созданы для кражи данных, компрометации сетей или рассылки спама. Для выполнения ботнет-атаки хакер создает армию ботов, заражая их вредоносным ПО, и заставляет их отправлять тысячи запросов в секунду. Для проведения крупномасштабных DDoS-атак используют радионяни, веб-камеры, устройства потоковой передачи, принтеры и умные часы.

Отсутствие видимости и управления устройствами. Компании не всегда могут следить за состоянием устройств после их продажи и вовремя реагировать на угрозы. Это означает, что устройства становятся уязвимыми для атак, а иногда и опасными. Если кардиостимуляторы и дефибрилляторы интернета вещей не защищены должным образом, хакеры могут целенаправленно разрядить аккумуляторы, назначить неправильную стимуляцию и электрошок.

Небезопасные интерфейсы. Интерфейсы прикладного программирования (API) — это инструменты, которые позволяют приложениям взаимодействовать друг с другом. Подключив два сервера через API, злоумышленники могут проникнуть в устройства IoT, взломать маршрутизатор, веб-интерфейс или сервер.

Мошеннические устройства. Фальшивое вредоносное устройство IoT устанавливается в защищенных сетях без авторизации. Оно заменяет оригинальное или интегрируется в качестве члена группы, чтобы собирать или изменять конфиденциальную информацию.

Неожиданный пример — фильм ужасов «Детские игры». Кукла Чаки — мошенническое устройство интернета вещей — научилась пользоваться умным домом и сделала его угрозой для жизни людей.

Громкие инциденты

Взлом Tesla

В 2020 году бельгийский исследователь Леннерте Ваутерс воспользовался масштабной уязвимостью Bluetooth и взломал Tesla Model X. Ваутерс собрал устройство из компьютера Raspberry Pi и модуля управления корпусом Model X (BCM). С его помощью перехватил радиосвязь Bluetooth, которую брелок использует для открытия автомобиля. Перезаписал прошивку брелока и получил код разблокировки Model X.

Оказавшись в автомобиле, Ваутерс использовал другую уязвимость, чтобы завести его. Он подключил самодельное устройство к шине CAN (Controller Area Network) через USB-порт, скрытый за панелью под дисплеем. Компьютер Tesla посчитал, что ключ настоящий, и автомобиль завёлся.

Атака Dyn

В октябре 2016 года произошла массовая DDoS-атака на компанию по интернет-инфраструктуре Dyn. Хакеры получили доступ к миллионам устройств IoT по всему миру. Все эти устройства одновременно отправили ложные запросы в Dyn. Атака временно отключила доступ к Twitter, Netflix, Spotify, Box, GitHub, Airbnb, Reddit, Etsy, SoundCloud и другим сайтам. Инцидент был сложной атакой, в которой участвовали десятки миллионов IP-адресов. Одним из источников трафика для атак были устройства, зараженные ботнетом Mirai.

Атака камеры безопасности Verkada

Инцидент с Verkada, компанией, специализирующейся на обеспечении безопасности в Силиконовой долине, был одним из самых заметных случаев взлома из-за неправильной настройки привилегий сотрудников. В марте 2021 года злоумышленники получили доступ к конфиденциальным данным клиентов и просмотрели прямые трансляции с более чем 150 000 камер, установленных на заводах, в больницах, школах, спортзалах, тюрьмах, полицейских участках и в офисах Verkada.

Хакеры использовали учетные данные администратора, которые нашли в интернете. Позже выяснилось, что более 100 сотрудников имели суперадминские права и могли просматривать данные с клиентских камер. В ответ на кибератаку Verkada отключила все внутренние учетные записи администратора, чтобы избежать несанкционированного доступа.

Взлом Jeep

В 2015 году два специалиста по безопасности, Чарли Миллер и Крис Валасек, использовали уязвимость умных функций, чтобы войти в систему управления внедорожника Jeep. Они смогли полностью контролировать автомобиль: ускорять и замедлять его, поворачивать руль, заставлять машину съезжать с дороги или останавливаться, включать дворники и радио. Цепочка шагов от «я хочу взломать этот Jeep» к полному контролю над автомобилем описана в исследовательском отчете. Никто во время инцидента, к счастью, не пострадал — Миллер и Валасек действовали как «добрые хакеры». Они провели взлом с целью выявить уязвимости и улучшить безопасность системы, а не нанести вред.

В 2016 году Миллер и Валасек представили новое исследование. Предыдущий способ взлома автомобиля работал только на скорости до 8 км/час, потому что для перехвата использовалась система автоматической парковки и диагностический режим. Эти режимы обычно работают на низких скоростях или при выключенном двигателе. Теперь исследователи модифицировали бортовое устройство так, чтобы оно передавало ложные данные о скорости, позволяя осуществлять атаку в любом скоростном режиме.

Как пользоваться IoT-оборудованием безопасно?

Безопасность интернета вещей — это меры и правила, разработанные для защиты данных, подключенных устройств и сети в экосистеме. Хотя предсказать заранее все цифровые угрозы практически невозможно, вы все-таки можете управлять рисками.

Используйте надежные пароли. Кажется, что это очевидно, но в реальности одна из самых распространенных угроз ИБ связана именно с паролями: классика жанра пароли 12345 или QWERTY, которые вошли в десятку самых популярных в 2023 году как в России, так и в мире. Если пароль ненадежен, ваше устройство небезопасно — то, что легко запомнить, легко и взломать.

Защищайте Wi-Fi. Сеть Wi-Fi — это шлюз, который хакеры используют для доступа к вашим устройствам IoT. Частая история, когда на роутере так и остается логин и пароль admin, установленный по умолчанию. Киберпреступники их тоже знают и с легкостью получают доступ к сети и устройствам. Меняйте имя сети и пароли Wi-Fi на новые, надежные и без личной информации.

Сегментируйте сеть. Это касается как домашних пользователей, так и организаций. Каждое приложение интернета вещей должно использовать отдельную сеть и/или иметь шлюз безопасности или брандмауэр — чтобы в случае нарушения безопасности на устройстве оно оставалось изолированным от устройства.

Уменьшайте поверхность атаки. Отключайте неиспользуемые устройства IoT от сети, чтобы снизить уязвимость к атакам.

Будьте в курсе обновлений. Устройства IoT нужно своевременно обновлять. Если на смартфонах и компьютерах выскакивает уведомление о доступных новых обновлениях ПО, то об остальных устройствах люди обычно забывают.

Настройте MFA на всех устройствах. Многофакторная аутентификация (MFA) работает как дополнительный уровень безопасности для учетных записей. Она защитит данные в случае, если киберпреступник завладеет паролем.

Одного универсального средства, которое решило бы все проблемы и создало вокруг вас безопасную среду, не существует. Часть вопросов можно решить с помощью ПО, контролирующего действия пользователей, информационные потоки и события системы.

Staffcop Enterprise может осуществлять контроль и блокировку съемных носителей, выявлять уязвимости системы, расследовать инциденты информационной безопасности. Помните, что принятие мер предосторожности — это ответственность не только производителей устройств IoT, но и пользователей.

С нами можно познакомиться ближе и бесплатно протестировать продукт в течение 15 дней — оставляйте заявку на сайте. А также подписывайтесь на соцсети, где мы разбираем кейсы и отвечаем на основные вопросы по ИБ.

11
1 комментарий
[]