Интернет вещей (IoT): как не стать жертвой умных устройств
Сегодня в мире насчитывается более 16 миллиардов подключенных устройств интернета вещей, а к 2027 году ожидается, что их число вырастет до 29 миллиардов. Пока в интернете вещей нет стандартов безопасности, а значит, проблема утечек данных в ближайшие годы будет только обостряться. Разбираемся в вопросах безопасности в IoT-среде и механизмах ее защиты.
Что такое интернет вещей (IoT)
Это система взаимосвязанных устройств, компьютеров и цифровых машин. Они помечены уникальными идентификаторами (UID) и способны передавать данные по сети без участия человека.
В России за 2023 год количество девайсов выросло до 80 миллионов. Если лет десять назад дома у нас были только компьютеры и телефоны, то сейчас доступ в интернет есть у камер видеонаблюдения, голосовых помощников, игрушек и даже электрических лампочек. По сути, любой объект, который способен передавать данные по сети и имеет IP-адрес, может стать интернет-вещью.
Любопытные факты про IoT:● Первым в мире устройством IoT стал автомат с газировкой.
● Первым в мире устройством IoT стал автомат с газировкой.
● Интернет вещей содержит бесконечное количество данных, которые измеряются в зеттабайтах.
● Python — широко используемый язык программирования для разработки приложений интернета вещей.
● В 2023 году в России продано 5,8 млн умных часов.
Какие угрозы для ИБ несут устройства
Риску подвержено всё, что подключено к интернету: от простых бытовых предметов до сложных промышленных инструментов. На самом деле вариантов угроз множество, мы расскажем о самых распространенных.
Отсутствие тестирования. Некоторые производители так спешат вывести продукты на рынок, что в процессе разработки забывают о безопасности. Проблемы обнаруживаются не на этапе тестирования, а когда устройство работает. Например, умный холодильник может предоставить учетные данные для входа в Gmail, а к смарт-замку с отпечатком пальца можно получить доступ с помощью Bluetooth-ключа.
Отсутствие физической защиты. Иногда устройства находятся в удаленных местах и в течение длительного времени работают без вмешательства человека. Хакеры могут подключиться к ним физически, например с помощью флеш-накопителя USB с вредоносным ПО.
Ботнет-атаки. Ботнеты — серия подключенных к интернету устройств, которые созданы для кражи данных, компрометации сетей или рассылки спама. Для выполнения ботнет-атаки хакер создает армию ботов, заражая их вредоносным ПО, и заставляет их отправлять тысячи запросов в секунду. Для проведения крупномасштабных DDoS-атак используют радионяни, веб-камеры, устройства потоковой передачи, принтеры и умные часы.
Отсутствие видимости и управления устройствами. Компании не всегда могут следить за состоянием устройств после их продажи и вовремя реагировать на угрозы. Это означает, что устройства становятся уязвимыми для атак, а иногда и опасными. Если кардиостимуляторы и дефибрилляторы интернета вещей не защищены должным образом, хакеры могут целенаправленно разрядить аккумуляторы, назначить неправильную стимуляцию и электрошок.
Небезопасные интерфейсы. Интерфейсы прикладного программирования (API) — это инструменты, которые позволяют приложениям взаимодействовать друг с другом. Подключив два сервера через API, злоумышленники могут проникнуть в устройства IoT, взломать маршрутизатор, веб-интерфейс или сервер.
Мошеннические устройства. Фальшивое вредоносное устройство IoT устанавливается в защищенных сетях без авторизации. Оно заменяет оригинальное или интегрируется в качестве члена группы, чтобы собирать или изменять конфиденциальную информацию.
Неожиданный пример — фильм ужасов «Детские игры». Кукла Чаки — мошенническое устройство интернета вещей — научилась пользоваться умным домом и сделала его угрозой для жизни людей.
Громкие инциденты
Взлом Tesla
В 2020 году бельгийский исследователь Леннерте Ваутерс воспользовался масштабной уязвимостью Bluetooth и взломал Tesla Model X. Ваутерс собрал устройство из компьютера Raspberry Pi и модуля управления корпусом Model X (BCM). С его помощью перехватил радиосвязь Bluetooth, которую брелок использует для открытия автомобиля. Перезаписал прошивку брелока и получил код разблокировки Model X.
Оказавшись в автомобиле, Ваутерс использовал другую уязвимость, чтобы завести его. Он подключил самодельное устройство к шине CAN (Controller Area Network) через USB-порт, скрытый за панелью под дисплеем. Компьютер Tesla посчитал, что ключ настоящий, и автомобиль завёлся.
Атака Dyn
В октябре 2016 года произошла массовая DDoS-атака на компанию по интернет-инфраструктуре Dyn. Хакеры получили доступ к миллионам устройств IoT по всему миру. Все эти устройства одновременно отправили ложные запросы в Dyn. Атака временно отключила доступ к Twitter, Netflix, Spotify, Box, GitHub, Airbnb, Reddit, Etsy, SoundCloud и другим сайтам. Инцидент был сложной атакой, в которой участвовали десятки миллионов IP-адресов. Одним из источников трафика для атак были устройства, зараженные ботнетом Mirai.
Атака камеры безопасности Verkada
Инцидент с Verkada, компанией, специализирующейся на обеспечении безопасности в Силиконовой долине, был одним из самых заметных случаев взлома из-за неправильной настройки привилегий сотрудников. В марте 2021 года злоумышленники получили доступ к конфиденциальным данным клиентов и просмотрели прямые трансляции с более чем 150 000 камер, установленных на заводах, в больницах, школах, спортзалах, тюрьмах, полицейских участках и в офисах Verkada.
Хакеры использовали учетные данные администратора, которые нашли в интернете. Позже выяснилось, что более 100 сотрудников имели суперадминские права и могли просматривать данные с клиентских камер. В ответ на кибератаку Verkada отключила все внутренние учетные записи администратора, чтобы избежать несанкционированного доступа.
Взлом Jeep
В 2015 году два специалиста по безопасности, Чарли Миллер и Крис Валасек, использовали уязвимость умных функций, чтобы войти в систему управления внедорожника Jeep. Они смогли полностью контролировать автомобиль: ускорять и замедлять его, поворачивать руль, заставлять машину съезжать с дороги или останавливаться, включать дворники и радио. Цепочка шагов от «я хочу взломать этот Jeep» к полному контролю над автомобилем описана в исследовательском отчете. Никто во время инцидента, к счастью, не пострадал — Миллер и Валасек действовали как «добрые хакеры». Они провели взлом с целью выявить уязвимости и улучшить безопасность системы, а не нанести вред.
В 2016 году Миллер и Валасек представили новое исследование. Предыдущий способ взлома автомобиля работал только на скорости до 8 км/час, потому что для перехвата использовалась система автоматической парковки и диагностический режим. Эти режимы обычно работают на низких скоростях или при выключенном двигателе. Теперь исследователи модифицировали бортовое устройство так, чтобы оно передавало ложные данные о скорости, позволяя осуществлять атаку в любом скоростном режиме.
Как пользоваться IoT-оборудованием безопасно?
Безопасность интернета вещей — это меры и правила, разработанные для защиты данных, подключенных устройств и сети в экосистеме. Хотя предсказать заранее все цифровые угрозы практически невозможно, вы все-таки можете управлять рисками.
Используйте надежные пароли. Кажется, что это очевидно, но в реальности одна из самых распространенных угроз ИБ связана именно с паролями: классика жанра пароли 12345 или QWERTY, которые вошли в десятку самых популярных в 2023 году как в России, так и в мире. Если пароль ненадежен, ваше устройство небезопасно — то, что легко запомнить, легко и взломать.
Защищайте Wi-Fi. Сеть Wi-Fi — это шлюз, который хакеры используют для доступа к вашим устройствам IoT. Частая история, когда на роутере так и остается логин и пароль admin, установленный по умолчанию. Киберпреступники их тоже знают и с легкостью получают доступ к сети и устройствам. Меняйте имя сети и пароли Wi-Fi на новые, надежные и без личной информации.
Сегментируйте сеть. Это касается как домашних пользователей, так и организаций. Каждое приложение интернета вещей должно использовать отдельную сеть и/или иметь шлюз безопасности или брандмауэр — чтобы в случае нарушения безопасности на устройстве оно оставалось изолированным от устройства.
Уменьшайте поверхность атаки. Отключайте неиспользуемые устройства IoT от сети, чтобы снизить уязвимость к атакам.
Будьте в курсе обновлений. Устройства IoT нужно своевременно обновлять. Если на смартфонах и компьютерах выскакивает уведомление о доступных новых обновлениях ПО, то об остальных устройствах люди обычно забывают.
Настройте MFA на всех устройствах. Многофакторная аутентификация (MFA) работает как дополнительный уровень безопасности для учетных записей. Она защитит данные в случае, если киберпреступник завладеет паролем.
Одного универсального средства, которое решило бы все проблемы и создало вокруг вас безопасную среду, не существует. Часть вопросов можно решить с помощью ПО, контролирующего действия пользователей, информационные потоки и события системы.
Staffcop Enterprise может осуществлять контроль и блокировку съемных носителей, выявлять уязвимости системы, расследовать инциденты информационной безопасности. Помните, что принятие мер предосторожности — это ответственность не только производителей устройств IoT, но и пользователей.
С нами можно познакомиться ближе и бесплатно протестировать продукт в течение 15 дней — оставляйте заявку на сайте. А также подписывайтесь на соцсети, где мы разбираем кейсы и отвечаем на основные вопросы по ИБ.
Как не стать жертвой умных устройств? Надо быть умнее!