Кто и как взламывает «интернет вещей»

Все чаще можно услышать про хакерские атаки нового, ранее неизвестного типа: взломщики действуют не через компьютеры непосредственно, а обращаются к «подключенным системам» — web-камерам, элементам умных домов и носимым гаджетам, — собирая из них «зомби-сети» или получая через эти устройства доступ к персональной информации. Объекты, входящие в то, что называют «интернетом вещей», защищены куда слабее, чем непосредственно компьютеры, а доступ к ним дает потенциально не меньше возможностей, чем традиционный взлом.

Internet of things или IoT — огромное пространство предметов, о подключении которых к сети всего несколько лет назад трудно было и помыслить. Порой это довольно бесполезные — и потому кажущиеся совершенно безопасными — вещи. Большинство пользователей не ассоциирует свои «умные» кофеварки и холодильники с компьютерами, а поэтому не задумывается о необходимости обеспечения их безопасности.

Этим и пользуются взломщики. В июне 2016 года был обнаружен ботнет из более чем 25 тысяч городских и частных камер наблюдения и цифровых видеомагнитофонов, созданный группой хакеров для совершения DDoS-атак, а уже к осени стали известны случаи, когда в состав зараженной сети входило до миллиона устройств. И хотя вычислительные мощности, доступные устройствам такого рода, достаточно невелики по сравнению с компьютерными, будучи объединенными в систему таких масштабов они становятся по-настоящему угрожающей силой. Например, июньская «зомби-сеть» отправляла более пятидесяти тысяч http-запросов в секунду, а та, которая атаковала сайт Брайана Кребса, «выдала» интенсивность запросов в 700 Гб/с. Этого вполне достаточно, чтобы обрушить под их лавиной многие солидные интернет-ресурсы, имеющие очень высокий порог сопротивляемости к большим нагрузкам.

Так ли нова проблема «бунта вещей»?

Проникновение «умных вещей» в частные дома началось не так давно. В отличие от них, CCTV, конвейерные роботы и системы безопасности, контролирующие, например, двери и лифты охраняемых объектов, возникли не вчера.

Для бизнеса и государства вызовы, связанные с безопасностью интернета вещей, существуют уже достаточно давно. Борьба с ними на этих фронтах тоже идет не первый год. В Кэмбридже уже несколько лет проходит National Security of Things Forum по вопросам безопасности интернета вещей, а защита персональных данных пациентов больниц, доступ к которым можно получить через носимые устройства, и прорехи в безопасности медицинских учреждений, включая и те, которые доступны через IoT, — проблема, с которой борются с начала 2010-х годов.

Что входит в IoT?

Интернет вещей — это все устройства, так или иначе подключенные к сети: от таких невинных, как smart-часы, фитнес-браслеты и роботы-пылесосы (сюда же входят домашний и автомобильный климат-контроль, управлять которыми вы можете со смартфона), беспилотные летательные аппараты и автомобили, торговые автоматы и сельскохозяйственное оборудование и до непосредственно связанных с безопасностью людей приборов, задействованных в хирургических операциях, и средствах контроля охлаждающих контуров атомных электростанций.

Первые общедоступные вещи такого рода появились в 2008–2009 годах. По оценке компании Cisco, к апрелю 2014 года в мире было больше 12 млн подключенных устройств, а к концу 2016-го к ним добавилось еще шесть миллиардов. Прогнозируется, что через пять лет Internet of Things разрастется до 50 млрд устройств. Иными словами, на одного жителя планеты будет приходиться почти десяток smart-устройств. Падение стоимости «умных вещей» позволит им проникнуть и на рынки развивающихся стран, а дальнейший рост, вероятно, станет и вовсе экспоненциальным.

Всего «вещей» в мире уже сейчас больше полутора триллионов, и большинство из них вполне могут быть «подключены».

Что не так с безопасностью интернета вещей?

По оценке компании Hewlett-Packard, больше 70% устройств, входящих в интернет вещей, имеют уязвимости, у 60% из них — небезопасный web-интерфейс. При этом большинство из них располагают доступом к таким данным своих владельцев, как адрес, e-mail и даже банковский счет.

Часто это связано с тем, что производители, стремясь снизить свои издержки, радикально экономят на обеспечении безопасности. В свою очередь, фирмы-поставщики дешевых камер практически игнорируют включение в свои продукты средств защиты, поскольку, по их оценкам, для большинства пользователей камер низкая стоимость гораздо важнее. 9 января 2017 года Федеральная торговая комиссия США даже подала иск против D-Link из-за плохой защиты веб-камер и роутеров.

Инструменты взлома и интересы хакеров

Каждый связанный с сетью объект имеет идентификационный номер — IP-адрес — и подключен теми или иными портами согласно определенному протоколу передачи данных. Например, у веб-камеры это 554 порт и Real Time Streaming Protocol. Именно через эти порты хакеры внедряются в устройства и получают контроль над ними. Сегодня существует множество инструментов для поиска незащищенных портов и получения доступа к ним. Расскажем о некоторых из них.

Shodan

Наиболее широкие возможности предоставляет поисковая система Shodan — «злой Google», как ее часто называют. Разработанная Джоном Мэзерли и названная в честь враждебного людям искусственного интеллекта из первой части игры System Shock, Shodan умеет не только выявлять случайные открытые IP-адреса и находить уязвимые веб-камеры, но и фильтровать их по номеру порта, стране и городу нахождения, операционной системе и даже доменному имени, в котором осуществляется поиск. С недавнего времени поисковик позволяет получить доступ не только к открытым портам, но и к защищенным. Так можно взламывать камеры, принтеры, роутеры и множество других устройств.

Именно через Shodan хакерам удалось обнаружить уязвимости в подключениях управления системой доступа к реактору ядерной станции и одного из используемых учеными ускорителей атомных частиц.

Shodan к сегодняшнему дню превратилась в инструмент профессионального доступа. Ее популярность настолько высока, что доступ к ней осуществляется на платной основе: первые 10 запросов бесплатно, 50 — если вы завели аккаунт, далее — за $20 в год.

Хикка

Если вас интересует только просмотр камер — к вашим услугам такие инструменты, как «Йоба» и «Хикка», разработанные анонимусами Двача. И если первая была просто брутфорс-машиной, занимавшейся подбором паролей по заранее заданному списку, то вторая имеет не только более широкие возможности, но и постоянно улучшается: ее исходный код выложен на GitHub, где «Хикку» развивают активисты.

Но часто и «просто просмотр камер» оказывается не таким уж невинным развлечением. Ведь многие устройства наблюдения стоят отнюдь не на улице или в углу супермаркета, а дома у людей, не подозревающих о возможности их взлома, — или в местах, где им, казалось бы, совсем не место. Те же пользователи Двача использовали свой поисковик для подглядывания за web-камерами, установленными в публичных домах и туалетах.

Эта публика — те же люди, которые, взяв на вооружение FindFace, устроили массированную кибертравлю девушек, занимающихся проституцией и снимавшихся в порно. Загружая в FF скриншоты из роликов и профайлов, они находили с его помощью их аккаунты в VK. Затем компрометирующая информация сообщалась родственникам и друзьям жертв травли. Учитывая это, «Хикка» находится (по большому счету) «в плохих руках» — ведь камеры есть везде.

Интернет вещей и глобальная слежка

Прослушивание телефонов и взлом веб-камер уже давно стали повседневной практикой спецслужб. О вторжениях правительств в частную жизнь с помощью интернета вещей пока неизвестно — у государства и так достаточно возможностей контроля. Вероятно, в распоряжении спецслужб есть и предназначенные для этого инструменты, просто для них пока что не нашлось своего Сноудена. Именно бывший сотрудник Агентства национальной безопасности в феврале 2014 года рассказал про Optic Nerve — программу, позволявшую британской разведке за шесть месяцев собрать почти два миллиона скриншотов из видеочатов Yahoo. А где одна разведка — там и другая.

«Зомби-сети»

Ботнет — сеть компьютеров или устройств, зараженных вирусами, которые имеют доступ к их операционным мощностям. Ресурсы «зомби» могут использоваться хакером для осуществления распределенных расчетов и усиления собственных мощностей, но чаще всего они нужны исключительно для того, чтобы в нужный момент обеспечивать лавинообразный поток запросов в рамках DDoS-атак, когда под натиском чрезмерно высокого количества обращений становятся недоступны сайты или системы.

Случай с камерами и видеомагнитофонами — не первый пример создания «зомби-сети» из объектов интернета-вещей. С точки зрения хакера, CCTV и холодильники привлекательнее компьютеров: обычно пользователю не видно, насколько загружены ресурсы такого устройства. Тут важно и то, что часто мощности smart-квартир и промышленного оборудования простаивают без дела — и оказываются в полном распоряжении взломщиков. Например, большинство частных камер наблюдения не ведут запись, а только транслируют потоковое видео, за которым большую часть времени никто и не смотрит.

Что пугает пользователей?

Использование их собственности в преступных целях или теоретически возможный вуаеризм не слишком беспокоят пользователей, насколько можно судить по статистике. В то же время интернет вещей бросает и более будоражащие вызовы. Известен случай, когда хакер взломал радионяню и накричал на младенца.

После атак на медицинское оборудование и носимые приборы, о возможности которых стало известно в последние годы, многие задумались об отказе от «подключенности» в области здравоохранения. Например, после публикации данных о возможности удаленного управления кардиостимулятором Дик Чейни, бывший вице-премьер США, потребовал у обслуживающих его врачей закрыть канал, по которому данные с его устройства передавались в больницу, и сделать стимулятор автономным.

В начале октября много шума наделал успешный взлом инсулиновой помпы, который осуществил на примере собственного устройства страдающий диабетом хакер, получивший доступ через незащищенный Wi-Fi канал. Этот эпизод чуть было не повлек за собой отзыв с рынка помп Johnson & Johnson, но в итоге компания ограничилась тем, что разослала всем пользователям предупреждения и назвала риск «переоцененным».

Именно такого рода «ужасы» заставляют людей всерьез задуматься о том, насколько на самом деле безопасен Internet of Things. Так, обсуждение книги Сэмюэля Грингарда «Будущее уже здесь», посвященной вызовам интернета вещей, вышло за пределы IT-сообщества.

На самом деле не все так страшно. По данным Джулиан Голдман, директора кафедры биомедицинской инженерии в Partners HealthCare, пока что зафиксированные случаи взлома медицинских систем имеют своей целью, как правило, не частных лиц, а больницы в целом. Причем порой это связано даже не с вымогательством, а с защитой интересов пациентов.

Например, хакер Мартин Готтфильд атаковал базу госпиталя в Бостоне, чтобы придать огласке жестокое обращение тамошних врачей с пятнадцатилетней пациенткой, пережившей психологическую травму.

Главной же проблемой интернета вещей в медицине Голдман называет обилие устаревшего оборудования, которое не обновлялось больше десяти лет и часто уже не поддерживается производителями. Это вообще глобальная проблема для IoT в бизнесе, социальном секторе и в государственных структурах наравне с инертностью самих этих организаций, не спешащих с обновлением своего оборудования. Иными словами, не менее важной угрозой, чем хакерская атака, для конечного пользователя является его собственная неосведомленность и отсутствие оперативного реагирования разработчиков на обнаруженные уязвимости.

На пути к безопасному интернету вещей

Исследователь вопросов кибербезопасности Скотт Эрвен считает, что понимания пользователями потенциальных угроз недостаточно, и полагает, что профессиональное сообщество должно взять ответственность в этом вопросе на себя, в том числе и оказывать давление на производителей. Инструментами такого давления Эрвен называет государственные регулирующие органы и общества защиты прав потребителей.

Отвечая на требования такого рода инициатив, Федеральная торговая комиссия США провела более пятидесяти дел в отношении компаний, не обеспечивающих достаточного уровня защищенности используемых ими сетей, продуктов и сервисов и провела серию семинаров Start With Security, посвященных необходимости включать разработку методов обеспечения приватности и безопасного использования в самые ранние этапы разработки продуктов.

Как и любая киберпреступная деятельность, атаки на IoT не знают границ. На Национальном американском форуме по безопасности интернета вещей в 2015 году представитель Министерства внутренней безопасности США Роберт Сильвер так сформулировал эту проблему: «Это транснациональный вопрос, который нельзя решить в рамках одной страны». Такие заявления фактически призывают к международному регулированию, а значит, и к контролю правительств над развитием отрасли и возможностями ее внедрения в повседневную жизнь. Можно вспомнить про проблемы, с которыми должны были бы столкнуться Google Glass на российском рынке, где устройства записи и наблюдения, не выглядящие как таковые, законодательно запрещены.

С инициативами по контролю за интернетом вещей на государственном уровне выступили и в Еврокомиссии. Заместитель европейского комиссара по цифровой экономике и обществу Тибо Клейнер говорит, что регулирование должно вестись на межгосударственном уровне, потому что речь идет не столько об отдельных предметах, но и в первую очередь о сетях и облачных хранилищах, к которым они подключены.

В России такое регулирование, скорее всего, войдет в зону ответственности Ассоциации интернета вещей, созданной в конце 2016 года. Российский представитель компании Fortinet, занимающейся интернет-безопасностью, Дмитрий Рагушин говорил, что, по его данным, если все пойдет по графику, к июню 2017 года соответствующие поправки будут внесены в закон «Об информации, информационных технологиях и защите информации».

Альтернативы регулированию

Необходимость регулирующих действий обосновываются тем, что отрасль не желает вводить механизмы саморегуляции. Но они могут отрицательно повлиять на IoT, сдерживая его развитие, тормозя внедрение инновационных практик. Возможно, вместо регулирования, начинающегося уже на этапе разработки, можно ввести систему сертификации, как у Национального управления безопасности на транспорте в США или у аналогичной ей EuroNCAP, считает Питер Зятько.

Зятько, ранее известный как Mudge, — бывший хакер из сообщества L0pht, который после дачи показаний в Конгрессе в 1998 году поступил на работу в DARPA, а позже был нанят в отдел кибербезопасности Google. В 2013 году он создал проект Cyber Independent Testing Lobaratory, исследующий вопросы безопасности IoT и смежных областей и ведущий просветительскую работу среди потребителей. Основное занятие лаборатории сейчас — разработка системы предпродажного тестирования IoT-устройств и их сертификации CyberUL.

Эксперт по вопросам сетевой преступности Роб Грэм относится к этой инициативе отрицательно. По его словам, это скорее инструмент вытягивания финансирования из государственного бюджета, не приносящий практической пользы. Грэм говорит, что нельзя проводить аналогию между производством автомобилей и производством гаджетов. В то время как EuroNCAP ищет случайные сбои в электронике машин, в случае с интернетом вещей мы имеем дело с наличием злой воли человека, желающего взломать систему.

«95% успешных атак — это фишинг, SQL-инъекции и плохие пароли. Еще 5% — устаревший софт, уязвимости которого производитель уже успел залатать, но пользователь не торопится устанавливать обновления. Выходит, что то, чем занимаются в CITL, — это только 0,1% потенциальных угроз, — говорит Грэм, — а смягчение риска, даже если бы оно распространялось на большую область, не равно его устранению».

Грэм приводит в пример тот факт, что ВМФ США заплатил компании Microsoft $20 млн за продолжение поддержки операционной системы Windows XP, установленной на военных компьютерах. К тому моменту системе было уже 15 лет.

Как защититься самому

Пока не разработаны методы защиты IoT сверху (а также для того, чтобы их создание, быть может, и не понадобилось), нам стоит взять этот вопрос в свои руки. Вот краткий чек-лист, опираясь на который можно существенно повысить свою безопасность в мире умных вещей.

Личная безопасность пользователя

  • Читайте «Политику конфиденциальности», чтобы точно знать, кому поставщик оборудования может передавать ваши данные.

  • Смените установленный по умолчанию пароль. Казалось бы, это очевидно, но весь брутфорс построен на переборе дефолтных и наиболее популярных паролей.

  • Убедитесь, что соединение с сетью и связь между устройствами зашифрованы.

  • Своевременно устанавливайте обновления. (Не забывайте убедиться в том, что это и правда обновления, а не попытка вторгнуться в ваше устройство под видом апдейта от разработчика.)

  • Следите за безопасностью самого центрального управляющего узла, будь то ваш домашний компьютер или смартфон. Не пренебрегайте антивирусами.

  • Защищайте маршрутизаторы и роутеры: большинство пользователей никогда не обновляют их прошивки, чем очень любят пользоваться хакеры.

  • Хардкорный совет: при необходимости переводите свои умные устройства и системы в автономный режим, не связанный с сетью.

Ответственность разработчика

  • На этапе разработки не пренебрегайте возможностью выкладывать свой код на GitHub: мы живем в прозрачном мире, и безопасность конечных пользователей дороже потенциальной возможности того, что кто-то ваш код оттуда утащит (тем более что это маловероятно). Доступ к коду сторонних программистов поможет обнаружить те уязвимости, которые вы могли упустить.

  • Заливайте схемы эпоксидкой: метод, известный со времен картриджей для 8-битных приставок, до сих пор эффективен. Это не позволит потенциальным взломщикам узнать, как устроено ваше устройство на физическом уровне.

  • Блокируйте прошивку.

  • По умолчанию отключайте функции удаленного доступа, которыми пользуются только продвинутые пользователи.

  • Требуйте от пользователя установить пароль при первом запуске устройства.

  • Откажитесь от автоматической загрузки обновлений.

  • Обеспечьте надежное шифрование подключений к интернету и связей между устройствами в рамках экосистемы.

  • Будьте честны с пользователями. Напишите понятную и читабельную «Политику конфиденциальности» и ни в коем случае не продавайте их данные «налево».

  • Поддерживайте продукт, обновляйте его, действуя особенно быстро, если обнаружена уязвимость.

Преимуществ больше, чем угроз

Несмотря на то что может показаться, что интернет вещей полон опасностей, а со всех сторон пользователя поджидают вуайеристы, хакеры и недобросовестные поставщики, преимущества IoT все равно выше потенциальных издержек. Те опасности, с которыми мы не можем справиться сегодня, уйдут на второй план — с ростом цифровой культуры или под натиском регуляторов.

В то же время останется главный вызов, на который интернет вещей пока только намекает, но со временем, по мере его развития, эта проблема будет становиться все острее. Люди слишком охотно впускают в свою жизнь устройства, о которых знают слишком мало. Развитие технологий вообще опережает развитие человека, и, возможно, через какое-то время мы придем к принятию «конца приватности».

Но пока что, с ростом объема интернета вещей и интернета вообще, пора задуматься о том, что уже в ближайшее время нам придется выбирать, какие области жизни важнее защитить и какие из личных данных приоритетнее, — охватывать системами безопасности все области жизни станет невозможно или попросту чересчур хлопотно.

Источник материала
Настоящий материал самостоятельно опубликован в нашем сообществе пользователем admin на основании действующей редакции Пользовательского Соглашения. Если вы считаете, что такая публикация нарушает ваши авторские и/или смежные права, вам необходимо сообщить об этом администрации сайта на EMAIL abuse@proru.org с указанием адреса (URL) страницы, содержащей спорный материал. Нарушение будет в кратчайшие сроки устранено, виновные наказаны.

Читайте также:

Отправить ответ

Оповестить
wpDiscuz