Не выбрасывайте умные лампочки в мусор, или опасность IoT

4adc3c25208096c1c93e4d53ef19f033.jpg

По оценкам аналитиков GlobalData, объем рынка IoT-решений в прошлом году составил около $130 млрд. К 2023 году этот показатель вырастет почти в три раза, до $318 млрд. Ежегодный рост (GAGR) составляет сейчас около 20%. Объем же подключенных устройств к 2020 году составит 20–50 млрд штук.

К сожалению, умные гаджеты плохо защищены от взлома. Многие из них содержат вшитые учетные данные, уязвимости, легко обнаруживаемые и эксплуатируемые злоумышленниками. Пример: быстрое распространение Mirai. И сейчас атаки всё ещё продолжаются, благодаря свежей инкарнации зловреда.
Подсчитано, что ущерб, причиненненый глобальной экономике ботнетами, составил в прошлом году $110 млрд.

Немного о ботнетах


image

Кроме Mirai, сейчас актуальны BetaBot, TrickBot, Panda, Ramnit. Они постепенно заражают все больше умных устройств и представляют собой опасность как для бизнеса, так и для государства.

Убытки бизнеса, вызванные деятельностью зловредов могут быть очень большими. Ботнет в состоянии полностью заблокировать работу сервисов какой-либо компании, что приведет к вынужденному простою. В этом случае убытки составляют в среднем $100 000. Еще больше компании придется потратить на ликвидацию последствий взлома.

Также зловред может атаковать сети компаний для кражи корпоративных данных: логины и пароли сотрудников, финансовая информация, технологические разработки. Действовать ботнет может по-разному, включая перехват нажатий клавиш.

К сожалению, опасны не только зловреды, но и сами по себе умные устройства.

Умные гаджеты — почему они опасны?


Умные устройства представляют опасность для бизнеса или частного лица даже тогда, когда они уже выброшены и находятся в мусорном контейнере. В некоторых из них хранится информация о доступе к локальным беспроводным сетям и другие данные. И если раньше взломщики охотились за записями и накопителями, которые выбрасывают сотрудники разных компаний, то сейчас может начаться охота и за IoT системами.

Умные лампочки

Специалисты компании Limited Results изучили несколько популярных моделей умных ламп. Команда исследователей приобрела новую лампочку LIFX, подключила ее к беспроводной сети. Затем лампочку выключили и разобрали.

927af72e9a9da3f3e50349f794bdfc64.png

После загрузки данных, хранящихся на лампочке, оказалось, что в дампе есть доступы от WiFi сети, к которой устройство подключили после покупки. Данные хранились в открытом виде. Доступны оказались даже корневой сертификат и частный RSA-ключ.

И проблемы не только у LIFX, данные загружали и из других умных лампочек. Вероятно, если бы исследователи проанализировали умные камеры, замки, глазки и т.п., ситуация оказалась бы примерно такой же.

Термостаты

3alfcdfwrw3zlscz00zbmbwhgvi.jpeg

В прошлом году широкую известность получил взлом защищенного (с точки зрения кибербезопасности) казино. Злоумышленники не cумели взломать систему «в лоб», поэтому стали искать лазейки. Одной из них оказался умный термостат, который служил для терморегуляции большого аквариума, установленного в казино.Термостат взломали, войдя в беспроводную сеть. После этого взломщики похитили базу данных игроков, которые делают большие ставки, представляя собой громадный интерес для других казино.

Умные камеры

Роберт Ханниган (Robert Hannigan), руководитель британского разведывательного агентства GCHQ в 2014–2017 годы, стал свидетелем взлома сети крупного банка. Злоумышленники смогли залезть в корпоративную сеть через умные камеры, к которым получили доступ без особого труда.

К умным камерам можно отнести и видеоняни. Несколько лет назад стал известным случай, когда злоумышленник стал искать подключенные к сети устройства только для того, чтобы пугать детей (например, говорить что-то страшным голосом через внешний динамик).

Роботы-пылесосы

Модели роботов-пылесосов, оснащенные камерами, могут служить надежным инструментов взломщика. Такой девайс позволяет не только получить доступ к беспроводной сети дома или офиса, но и подглядывать и подслушивать за происходящим.


В прошлом году стало известно об уязвимостях сразу нескольких роботов-пылесосов, включая Diqee 360, Xiaomi Mi Robot и других моделей.

И кое-что еще

Взлому подвержено большое количество других гаджетов, имя им — легион. Чаще всего взламываются роутеры, камеры наблюдения, компоненты систем типа «умный дом».

В январе 2018 года специалисты по информационной безопасности из Университета Бен-Гуриона рассказали о проверке почти двух десятков случайных умных устройств — популярных гаджетов, купленных у производителя. Как оказалось, подавляющее большинство взламываются примерно за полчаса. Самый простой способ получить доступ к девайсу — подобрать дефолтный пароль.

В чем же проблема?


Чаще всего производители умных устройств просто не предусматривают какие-либо механизмы противодействия злоумышленникам. Причина проста — большинство компаний стремится к минимальной себестоимости девайса.

Если компания не будет постоянно выпускать новинки, она обанкротится. Для внедрения механизма информационной защиты нужны деньги и время — ресурсы, которые есть далеко не у всех разработчиков.

Чтобы сократить производственный цикл, компании собирают свои устройства из уже готовых компонентов, выпускаемых разными производителями: процессор, камера, беспроводный модуль связи, аудиочип и т.п. А ведь любой элемент может содержать в себе уязвимость, о которой никто не знает. В идеале комплексное устройство должны проверять несколько недель, изучая возможные дыры. Но на практике ничего подобного не происходит.

От идеи устройства до его внедрения порой проходит всего пара месяцев, комплексную проверку в такой ситуации выполнить невозможно. Конечно, есть и исключения, но их немного.

Около 90% изученных экспертами умных устройств оказались плохо защищенными. Уязвимости многих из них нельзя устранить, поскольку производитель самого устройства или какого-то из компонентов не выпускает обновлений. А если и выпускает, то далеко не все пользователи знают о новинке, не говоря уже о достаточном уровне технических знаний для загрузки и обновления новой прошивки.

Как решить проблему?


8555baa3730e961bd478e763d803ebcc.jpg
Надёжный способов защиты от угроз IoT.

Есть две возможности — для производителей и для пользователей. Что касается производителей, то для IoT устройств нужны единые стандарты, позволяющие унифицировать отрасль. Вместо «зоопарка» разных решений будут стандартизированные устройства разных типов, включая бытовые и корпоративные гаджеты. К сожалению, ситуация сейчас настолько сложная, что в ближайшем обозримом будущем унифицировать все это не представляется возможным. Единичные попытки делаются в США и других странах.

Пользователям можно рекомендовать приобретение лишь проверенных временем и другими людьми устройств, не покупать б/у гаджеты (мало ли, вдруг предыдущий владелец оставил «подарок»), изучать модель гаджета в интернете перед покупкой, чтобы убедиться, что для него нет универсального пароля. И более привычные рекомендации — использовать сложные уникальные пароли, устанавливать обновления при их наличии.

В целом же сфера IoT не изменится до тех пор, пока к ней не изменят отношение законодатели, разработчики и пользователи. Если информационную безопасность IoT-систем сделать одним из приоритетов, положительные изменения можно будет наблюдать уже через несколько недель.

Есть ли у вас политика безопасности в отношении IoT гаджетов (личная или корпоративная)?

Пользуетесь IoT-гаджетами? Какие меры предосторожности у вас?

© Habrahabr.ru