Горе от ума: Уязвимости IoT-устройств
За последние 10 лет IoT-устройства (Internet of Things, Интернет вещей), идею которых мы раньше видели лишь в фантастических фильмах, стали привычными составляющими быта, работы и отдыха. Колонки и часы, чайники и пылесосы, дроны и датчики умного дома — эти и многие другие девайсы делают нашу жизнь удобнее.
Однако, к сожалению, IoT-устройства уязвимы к кибератакам. (Давно пора признать: все связанное с интернетом уязвимо). Зачастую у IoT-устройств отсутствует необходимая защита, в отличие от, например, смартфонов и ПК.
А цифры?
По данным исследования Palo Alto Networks, 57% умных устройств подвержены атакам средней и высокой степеней опасности. Согласно Gartner, около 20% организаций испытали по крайней мере одну атаку на устройства интернета вещей за последние три года. Statista пророчит, что к 2025 году число подключенных умных устройств во всем мире достигнет 75 миллиардов, а число атак на них возрастет примерно в пять раз.
У прогресса две стороны, и уязвимости IoT — это не повод выбрасывать Алису и отключать в офисе климат-контроль. Необходимо знать, какие вопросы безопасности следует учитывать, чтобы получить желанный функционал с минимальными рисками. С этим помогут эксперты Digital Security и подскажут, на что стоит обратить внимание при производстве и использовании IoT-устройств.
IoT, в чем проблемы?
Безопасность сетевых подключений
Небезопасные сетевые подключения с доступом к интернету ставят под угрозу конфиденциальность данных. Кроме того, через них третьи лица могут получить удаленный контроль над устройством.
Например, этому подвержены Cacagoo IP Camera и Hikvision Wi-Fi IP Camera: неавторизованные пользователи могут изменить настройки и даже отключить камеру. А через умные детские игрушки Toy Furby и Toy My Friend Cayla злоумышленник может в буквальном смысле шпионить за владельцами. Ответственность за этот пункт лежит на производителе устройства.
Надежные пароли
А вот задача установить безопасный пароль по силам пользователю устройства. Простые и популярные пароли без особого труда подбираются методом брутфорсинга. Проявите фантазию или воспользуйтесь сервисом генерации паролей.
Также запомните, что на многих умных устройствах производителем установлены стандартные пароли, и обычно они указаны в инструкции, которую можно найти в интернете. Таким грешат, например, Wi-Fi точки Industrial wireless access point Moxa AP или умный термостат Heatmiser Thermostat — пароли от них указаны в инструкции. Обязательно меняйте дефолтный пароль, если производитель предоставляет такую возможность.
Безопасные настройки
Некоторые заводские настройки делают IoT-устройства уязвимыми с самого начала использования. Например, помимо уже упомянутых выше стандартных паролей, может быть по умолчанию активирована функция, позволяющая осуществлять неавторизованное подключение к устройству и управление им. Среди таких устройств – квадрокоптер Parrot AR.Drone 2.0. и кофемашина ikettle от Smarter Coffee machines. Взываем к ответственности производителей, а пользователям можем посоветовать уделить больше внимания настройкам своих девайсов.
Безопасная передача и хранение данных
И снова предупреждение производителям: отсутствие шифрования при хранении и передаче данных может привести к раскрытию конфиденциальной информации. Казалось бы, кто станет красть адрес электронной почты с помощью бытовой техники? Но и такое возможно: например, взломав холодильник Samsung RF28HMELBSR, хакер может получить учетные данные Google-аккаунта владельца. А через пульт дистанционного управления от Volkswagen возможно перехватить контроль над машиной.
Обновления
Как смартфон и компьютер, умные устройства нуждаются в регулярных обновлениях из доверенных источников. Угрозу представляют уязвимости в устаревшем ПО, небезопасная доставка обновлений на устройство, а также отсутствие механизмов, запрещающих откат к старым версиям прошивки. Например, у принтера Canon отсутствует механизм аутентификации: кто угодно может получить доступ к устройству и обновить или изменить прошивку.
Бывает, что обновить устройство нельзя при всем желании. Например, устройство TP-LINK IP Surveillance Camera устарело и не обновляется. Принимать ли этот риск на себя или заменить устройство — пользователь решает сам.
Физическая защита и безопасные компоненты
Иногда физическая безопасность устройств недооценивается. Тем не менее, она может повлиять на приватность данных сильнее, чем вы думаете. Например, злоумышленник может загрузить процессор в Smart Nest Thermostat (устройство оптимизации температуры в домах и на предприятиях) через периферийное устройство по USB или UART. А колонку Amazon Echo с помощью паяльника можно превратить в полноценное устройство для прослушки.
Это далеко не полный список возможных проблем IoT. Если вы занимаетесь производством данных устройств, вам будет полезен подробный материал с техническими деталями и классификациями уязвимостей по CWE.
Если вы — пользователь устройства и описания уязвимостей вас не интересуют, позвольте повторить основной вывод:
Перед покупкой IoT-девайса ознакомьтесь с отзывами и подробной информацией о нем. Помните, что, покупая устройства неизвестных производителей, вы не получаете ни гарантий качества, ни гарантий безопасности. Выбирайте новое и наиболее безопасное устройство, уделяйте время настройкам и обновлениям устройств, и, насколько это возможно, повышайте уровень своей осведомленности в информационной безопасности.
Чтобы завершить статью на позитивной ноте, отметим, что вопросам безопасности IoT уделяют все больше внимания, принимаются новые законы и стандарты, связанные с безопасностью умных устройств, например:
- CCPA в Калифорнии (California Consumer Privacy Act)
- Закон о развитии интернета вещей (DIGIT act, США)
- Ряд законов, ориентированных на IoT от правительства Великобритании
- NIST Privacy Framework (Национальный институт стандартов и технологий, США)
Следим за безопасностью и ждем умного будущего с улучшенными пользовательскими интерфейсами и сверхбыстрой передачей данных!