Про безопасность “умных” гаджетов
Я давно собирался написать эту статью, но все никак руки не доходили, а тут твит Паши @pqorama с презентации Intel меня наконец-то подтолкнул высказаться на эту тему.
Городской тырнет вещей от Intel и GE. Фонарный столб следит за погодой, прохожими, машинами- там камеры и микрофоны pic.twitter.com/7MJhQBhPir
— Pavel Kushelev (@pqorama) August 16, 2016
Моя первая реакция, когда я читаю новости о таких «умных столбах» — это не то, что «столб следит за погодой, машинами и тд», а то, как с помощью этого столба кто-то, кто необязательно имеет право на доступ к информации, поступающей с этого столба, следит за окружающим миром. Те, кто подписан на мой канал в Телеграмме, посвященный информационной безопасности, могут практически каждый день читать об очередных хаках, утечках и взломах, и я уверен, что дальше будет только хуже.
Есть такой твиттер-аккаунт — @internetofshit, он публикует информацию о всевозможных новых «умных» гаджетах, обыгрывая известный акроним IoT — Internet of Things — в своем аккаунте. Следя за современными домашними гаджетами, можно проследить достаточно четкий тренд, когда к какому-то традиционному устройству прикручивается чип с чем-то Linux-подобным, добавляется адаптер WiFi или Bluetooth, а в App Store заталкивается приложение для управления этим устройством. Завершает этот комплекс обычно некая облачная инфраструктура, которая обеспечивает управление устройством с мобильного телефона. Проблем с этим я вижу две. О первой автор аккаунта @internetofshit написал большую статью для The Verge, которую я настоятельно рекомендую вам прочитать целиком.
Если резюмировать суть первой проблемы, в том числе и изложенной в статье, то можно сказать, что рано или поздно большинство производителей этой «умной электроники» будут продавать данные о вас рекламодателям или тем, кто заплатит больше денег за информацию о вас. Все эти умные включатели, лампочки, розетки, климат-контроли и прочие — это гаджеты, которые пользователи не меняют каждый год, «потому что вышла новая модель». Купив такое устройство и заплатив за него деньги, вы используете не только устройство, но и сервис (тот самый клауд). Поддержка серверов, оплата трафика, оплата персонала, какие-то обновления — все это требует денег, поэтому вас как пользователя либо будут переводить на подписку, либо производителю придется искать другие методы монетизации, и рекламное направление (как продажа ваших данных крупным рекламодателям) выглядит лежащим на поверхности решением. Не говоря уже о том, что производители будут, не особо задумываясь, отрубать старые устройства, пытаясь заставить купить вас версию поновее. В любом случае, речь о том, что очень часто это умное устройство, которое вас пока что радует тем, как оно «облегчает жизнь», на самом деле не принадлежит вам. В общем, почитайте, вам понравится.
Но есть и вторая часть проблемы, которая не поднимается в этой статье, и меня она беспокоит даже больше, чем подписка или продажа информации о пользователях. Речь идет о безопасности этих «умных гаджетов», которые зачастую оказываются не только «не очень умными», но еще и дырявыми с точки зрения информационной безопасности как дуршлаг. Разработчики таких устройств вообще не особо задумываются о том, чтобы обезопасить устройства, каналы передачи данных или свою облачную инфраструктуру, и в итоге мы читаем всевозможные ужасы по этому поводу:
— вибратор, который передает данные о настройках вибрации гаджета в облако в открытом виде;
— детские мониторы с видео и аудио, к которым по ночам подключаются какие-то извращенцы и разговаривают с детьми, за которыми эти мониторы наблюдают
— автомобили, которые можно взломать и удаленно управлять акселлератором или рулем
— капельницы, к которым можно подключиться и удаленно управлять дозировкой лекарства, потенциально изменяя дозировку до летальной
— умные телевизоры, к встроенным камерам которых подключаются злоумышленники и записывают на видео происходящее в вашей гостиной (или спальне).
Я могу продолжать перечислять подобные примеры очень долго, но, я думаю, в целом вы хорошо представляете, о чем я. Проблема не только в том, что многие из этих новомодных умных гаджетов «дырявые» из коробки, и подвергают опасности пользователей, но в и том, что зачастую производители даже не планируют обновлять свои устройства, оставляя их торчащими наружу всеми своими дырявыми интерфейсами. (или, например, пользователи особо даже не запариваются тем, что нужно, оказывается, скачать новую прошивку и установить ее на систему управления светом или «умным» замком, управляющим доступом в квартиру). Это в какой-то мере завязано на первую проблему, озвученную выше — когда вы покупаете устройство, его стоимость может и не включать потенциальные расходы производителя на дальнейшую разработку, тестирование и доставку обновлений до конечного пользователя. И когда я читаю о том, что в ближайшие несколько лет нас будет окружать до 40 миллиардов IoT-гаджетов, то я в первую очередь испытываю ужас от того, что огромная часть этих устройств никто не получит никаких обновлений и будет использоваться злоумышленниками в своих целях: от доступа к данным пользователя до распространения вредоносного ПО и ботнетов.
Нельзя сказать, что ничего не делается в этом направлении, организации вроде IoT Security Foundation пытаются организовать процесс «ветирования» гаджетов в вопросах уязвимостей и недостатков, и обеспечить поддержку производителям и пользователям для обеспечения более безопасного функционирования таких устройств. Но, как показывает практика, подобные альянсы очень часто заканчиваются красивыми словами и сайтами, а тысячи no-name азиатских производителей продолжат клепать «дырявые» IoT устройства, которыми массовые пользователи наполнят свои дома. Можете называть меня луддитом, но я с опаской отношусь к тренду «компьютеризации всего», не спешу быть на этой волне, и рекомендую вам не спешить. И дело вовсе не в том, что «да _они_ и так о тебе всё знают» — речь не столько об Apple, Google или Facebook, или о правоохранительных органах (ФБР, ФСБ, NSA и тд), а речь о частных данных в руках злоумышленников, речь об ransomware, вымогающем у вас деньги на компьютерах, телефонах, а скоро и на IoT-устройствах, и тд. К сожалению, в моем представлении этот тренд с ухудшением безопасности напрямую зависит от количества устройств вокруг нас, и лучше не станет. Пойду копать землянку в лесу.
PS и это я еще даже не копнул тему интеграции с клауд-сервисами. Термостаты, которые врубают +40, когда падает сервис, кошачья кормушка, которая перестает выдавать корм животным без доступа к серверам, выключатели света, которыми нельзя управлять, когда отваливается интернет, умные замки, которые нельзя разблокировать без доступа к интернету (или, что хуже, которые открывают двери, когда отваливается интернет), и тд. Дальше будет только веселее, поверьте.