Активное развитие рынка «умных» устройств сейчас можно сравнить с развитием Интернета 20 лет назад – тот же постепенный, незаметный переход от использования исключительно в промышленности до привычной составляющей быта простого человека. Но есть одно ключевое различие: вопросы безопасности в Интернете и в среде «умных» устройств.
Особенности обеспечения ИБ для промышленных IoT
Первые компьютерные вирусы развивались совместно с Интернетом, но за ними следовали антивирусные продукты, уничтожавшие большинство эпидемий в зародыше. Все громкие истории об эпидемиях с 1990-х гг. до наших дней – те самые редкие случаи промашек в работе антивирусного ПО, а о многих миллионах, если не о миллиардах случаев, где антивирус спасал положение и эпидемия не успевала развиться, история просто умалчивает: ведь так и должно быть.
Совсем другая ситуация с «умными» вещами. Немного о термине: IoT – Internet of Things – Интернет вещей, т. е. устройства, подключаемые к Всемирной сети, которыми хозяин может управлять удаленно либо они могут действовать автоматически по заложенному в них алгоритму или настройкам. Угрозы для них начали появляться не сразу, число вредоносных программ сначала росло довольно медленно, в то время как никаких адекватных мер противодействия им не было принято и, по сути, не принято до сих пор!
Возможно, одной из причин такого мнимого спокойствия является отсутствие неуправляемых эпидемий: как известно, проблемы любят игнорировать до тех пор, пока они не разрастутся до катастрофических масштабов. А ситуация уже близка к этому: если за четыре месяца 2016 г. специалисты компании «Доктор Веб» выявили 729 590 атак, направленных против «умных» устройств, то за аналогичный период 2017-го – в 32 раза больше – 23 741 581. За весь 2018 г. их было зафиксировано 99 199 434, а за первые полгода 2019 г. – уже 73 513 303. Но, несмотря на столь огромные цифры, большинство людей проблему до сих пор не видят. Связано это с рядом факторов, первый из которых – незаметность для хозяина вредоносной деятельности на его устройстве.
Стоит отметить, что большая часть всех «умных» устройств используют в том или ином виде модификации ОС Linux, соответственно их инфицирование сводится к работе с данной ОС. Что же касается процессорной составляющей, то наиболее часто используются процессоры и контроллеры ARM, MIPS, MIPSEL, PowerPC и Intel x86_64. Так, более трети всех атак приходится на «троянца» Linux.Mirai – он делает зараженное устройство частью ботнета, который использовался хакерами для организации DDoS-атак («отказ от обслуживания», когда сайт бомбардируется множеством запросов, в результате перегружается и оказывается не в состоянии их обработать, отчего становится недоступным для пользователей) на различные интернет-ресурсы. При этом владелец устройства даже не догадывается, что его прибор участвует в какой-то интернет-войне.
Есть и более критичные случаи, которые могли обернуться настоящими катастрофами, но по каким-то причинам не получили огласки в СМИ и, по сути, так и остались лишь «краткими статьями на профильных ресурсах». Так, еще в июле 2015 г. двум исследователям безопасности «умных» устройств удалось получить удаленный контроль над автомобилем марки Jeep, причем не только к его дополнительным функциям вроде радио и брызговиков, но и к рулевому управлению и тормозной системе. В качестве проверки автомобиль был дистанционно отправлен в кювет, сидящий за рулем водитель ничего не смог сделать, а о проблеме безопасности был уведомлен производитель. В результате были экстренно отозваны более 1,4 млн (!!!) автомобилей, имеющих эту уязвимость. Очевидно, будь эта проблема обнаружена злоумышленниками или хакерами-террористами, количество жертв могло быть огромным. Этот случай, несмотря на свою показательность, остался в основном достоянием экспертов по кибербезопасности. Учитывая, что, по прогнозам Института страховой информации, уже к 2030 г. четверть всех автомобилей будут иметь автопилот, подобные бреши в их защите просто недопустимы.
То же самое можно сказать и о проблеме защиты беспилотных летательных аппаратов – от простейших квадрокоптеров до более функциональных дронов. И если взлом и перехват управления обычного квадрокоптера может просто испортить день его владельцу, то последствия перехвата боевого БПЛА трудно даже представить.
Если взлом и угон транспорта кажется чем-то очень серьезным, то можно подумать, что взлом чего-то незначительного некритичен. Например, обычный датчик дыма или температуры: ну, получат к нему доступ злоумышленники, что с того? А если это датчик дыма на стратегическом объекте, где в результате может быть подана ложная тревога или наоборот – не замечен пожар? Или термодатчик на… атомной станции? К счастью, подобные ситуации пока не слишком вероятны: на особо важных объектах используется по большей части защищенная проводная связь и дистанционное вторжение практически исключено. Но, как и в случае с беспилотным транспортом, беспроводные устройства и интеллектуальные системы все активнее внедряются на промышленных предприятиях, в том числе на стратегически важных объектах.
Домашние IoT
Атаки против промышленных объектов и их защита – отдельный вопрос, там и хакеры весьма опытные, и противостоят им целые службы информационной безопасности и прочие полезные специалисты. А что в быту? Комплексные системы типа «умный дом», IP-видеокамеры для наблюдения за помещениями, детские игрушки, в конце концов, – все эти устройства имеют доступ в Интернет и, как следствие, могут подвергаться атакам.
Сразу расстроим сторонников теории «да кому я нужен»: вы нужны всем. Небольшое исследование, проведенное специалистом по информационной безопасности Иоганном Ульрихом еще летом прошлого года, показало: к подключенному к Интернету IoT-устройству почти сразу пытаются подсоединиться различные боты из сети. И эти попытки с разных устройств и адресов происходят каждые две минуты! Вопрос лишь в том, будет ли проникновение успешным и станет ли ваше устройство частью ботнета или вы получите более серьезные проблемы.
Четкой статистики пока не собрано, поскольку типов IoT-устройств сейчас великое множество, они имеют разные функции и возможности, а значит, и их взлом может давать злоумышленникам широкий набор доступных действий с ними. Попробуем суммировать наиболее известные неприятности, которые доставляет людям использование взломанного (еще есть название – «скомпрометированного») домашнего устройства:
- усиление уже упомянутого ботнета. Для владельца устройства – наиболее предпочтительный вариант: хотя бы самому хуже не сделает;
- кража персональных данных. Это могут быть как личные данные, которые злоумышленники могут продать разве что компаниям, занимающимся таргетированием рекламы, так и сведения, представляющие коммерческую ценность, что открывает простор для действий мошенников;
- вредительство и хулиганство. Случаи, когда «умный» холодильник заказал своему хозяину пару сотен пицц хоть и кажутся анекдотичными, но имеют место быть. И внезапно срабатывающие датчики дыма или газа вместе с мигающими по всей квартире лампочками – не всегда привидения или полтергейст, обычно это просто взломанный хаб «умного» дома. И это в легких случаях. Хуже, когда через детскую игрушку с ребенком начинает общаться не заложенная в «умного мишку» программа, а некто с неясными мотивами. Наглядно эту проблему проиллюстрировала ситуация с игрушками компании Spiral Toys, которые из-за взлома базы данных и возможности перехвата управления устройствами доставили много головной боли своим владельцам;
- шпионаж. IP-камеры и микрофоны, встроенные во многие IoT-устройства, – достаточное условие, чтобы сделать вашу жизнь если не достоянием общественности, то уж точно вынести ее пикантные моменты в Интернет. И хорошо, если попадут эти записи в руки обычных хулиганов, которые посмеются и забудут, а не более ушлых людей, которые могут использовать их в качестве ориентира для воров или даже для шантажа. И, как ни странно, детские игрушки используются для шпионажа едва ли не чаще, чем камеры и микрофоны.
С такими трудностями чаще всего сталкиваются обычные люди. И главная проблема здесь в том, что большая часть атак на IoT-устройства оказывается успешной. С чем это связано и чем вообще руководствуются осуществляющие их злоумышленники?
Подробно рассматривать их причины не имеет смысла: как и любое незаконное кибер-действие они имеют один из четырех мотивов:
- исследовательский – взлом в данном случае не преследует каких-то целей, кроме поиска уязвимостей и передачи информации о них разработчику устройства. Обычно этим занимаются специалисты по ИБ и аудиторы. Самый редкий мотив;
- разведывательный – та или иная деятельность спецслужб. Разумеется, подобное нигде не афишируется и применяется в основном в тех самых «стратегических» случаях;
- преступный – этим термином можно обозначить все мотивы, связанные с действиями во вред жертве или с извлечением личной выгоды. Наиболее распространенный мотив, но далеко не самый опасный. По некоторым данным, таким мотивом руководствуются примерно 95% всех взломщиков;
- террористический – не важно, устраивают атаку религиозные фанатики либо идейные террористы другого толка, – их действия всегда направлены не на причинение вреда кому-то конкретно или на личное обогащение, а просто «против всех». Поскольку обычно цель террористов – наиболее важные промышленные объекты и государственные структуры, которые лучше защищены, пока в этом направлении все относительно тихо.
Успешная кибератака – всегда совокупность двух факторов, которые могут присутствовать в той или иной пропорции: мастерство хакера и огрехи в защите. Как показывают практика и статистика, в атаках на «умные» устройства первый компонент стремится к нулю, поскольку большая часть атак проводится в автоматическом режиме, зато «цветет и пахнет» второй. Если копнуть глубже, становятся очевидными причины этой проблемы:
- многие устройства вообще не имеют никакой защиты. К ним можно подключиться с любого смартфона в зоне их действия. Это относится к большинству бытовой техники и управляемым со смартфона детским игрушкам;
- значительная часть вещей имеет простейшее сочетание «логин – пароль» для доступа к их настройкам и управлению (уровня admin-admin). И все бы ничего, но технически они устроены так, что изменить эти данные невозможно. В результате удаленная атака методом подбора получит доступ к устройству в считанные секунды;
- почти во всех устройствах передача данных, в том числе паролей, идет в незашифрованном виде. При перехвате таких данных можно получить как пароль доступа к устройству, так и всю информацию, которую оно куда-либо передавало. Особенно это актуально для IP-камер, устанавливаемых для внешнего и внутреннего видеонаблюдения. Многочисленные гуляющие по сети данные доступа к камерам, разбросанным по всему миру, – прямое следствие этого и предыдущего пунктов;
- даже если устройство поддерживает шифрование, смену пароля и в целом имеет адекватную защиту, пользователи банально не заморачиваются с его настройкой, сохраняя заводские параметры, те самые пароли вида admin, сводя на нет все усилия производителей оборудования по обеспечению безопасности.
Как защищать IoT
Рассуждать о том, как бороться с атаками, можно с точки зрения производителя и с позиции потребителя. Как мы уже выяснили, разработчики вниманием к вопросам безопасности похвастаться не могут. Почему? Точно сказать нельзя, но логичный вывод напрашивается сам: они пока просто не видят угроз или значительно их недооценивают. В самом деле, выпуская автомобиль, его создатели изначально заботятся о противоугонной системе – мало ли. Но будет ли кто-то в здравом уме ставить сигналку в посудомоечную машину? Нет. Вернее, до недавних пор она там и не требовалась. Теперь же, если посудомойка является частью системы «умный дом», она в самом деле нуждается в «сетевой противоугонной системе». И чем быстрее разработчики IoT-устройств в полной мере осознают произошедшие в мире изменения, которые они же и обеспечили, тем скорее «умные» вещи станут еще и безопасными.
Но что делать нам, пользователям, которые могут оперировать лишь предоставленными разработчиком устройства инструментами? Ведь на действия создателей устройств мы влиять не можем, но будем надеяться, что в дальнейшем и они будут прикладывать все усилия для обеспечения надежности и безопасности своих продуктов. Итак, чтобы работа с IoT-устройством не принесла разочарований и была максимально полезной, при его приобретении и эксплуатации постарайтесь придерживаться следующих правил:
- при выборе устройства обращайте внимание на наличие тех или иных защитных функций (шифрование передаваемых данных, возможность смены пароля доступа и т. д.);
- предварительно выбрав изделие, ознакомьтесь с отзывами пользователей в Интернете, а заодно поищите информацию о компании-производителе: какая у нее репутация, были ли зафиксированы более-менее известные случаи утечек данных или иных проблем с безопасностью у ее изделий;
- после приобретения устройства потратьте на его изучение и настройку столько времени, сколько потребуется, – в дальнейшем это сэкономит вам много сил, нервов и опять же времени на устранение последствий взлома устройства. Выставьте все настройки, измените установленный по умолчанию пароль, настройте приложение на смартфоне, через которое будет осуществляться управление;
- защитите свой смартфон! По важности и критичности этот пункт первичен, как бы хорошо ни были настроены и запаролены ваши устройства. Если вредоносное ПО без проблем работает на вашем смартфоне, на который завязано большинство домашних IoT-устройств, остальная защита бессмысленна – данные все равно утекут на сторону. Единственный способ выполнить этот пункт – установить на мобильное устройство надежный антивирусный комплекс, включающий не только антивирус, но и брандмауэр.
Заключение
Как видно, инструментов у пользователей не очень много. И общий итог, который можно подвести сейчас, не самый утешительный. Ни производители, ни пользователи не прикладывают достаточно усилий для защиты IoT-устройств от взлома, предпочитая тактику «ничего не вижу, ничего не слышу». К счастью, постепенно понимание необходимости защиты приходит ко всем: кто-то осознает необходимость защиты, оплачивая сотню заказанных пицц, кто-то после множества исков разгневанных клиентов. Но так или иначе процесс идет в нужную сторону. Путь назад, к проводам и простым устройствам, означает деградацию, IoT может, должен и будет развиваться – это хорошо и правильно. И вместе с ним будут развиваться технологии защиты и обеспечения безопасности во всех сферах – от атомной энергетики до «умного» чайника.