«Интернет вещей» — это не только резко поумневшие предметы вокруг нас. Это еще и примерно миллиард потенциальных уязвимостей во всех этих умных чайниках, кофеварках и тапочках. И способов испортить нам жизнь, эксплуатируя эти уязвимости, довольно много. Предлагаем вспомнить несколько наиболее пугающих. Чтоб променад мимо электрочайника был страшным не только ночью, но и днем.
Ring Home. Опасность дома
Видеокамера, постоянно подключенная к интернету и способная бесшумно начать съемку в любой момент. Не правда ли, звучит как социальный эксперимент для бесстрашных людей без комплексов? Казалось бы, хороший способ успокоить своего внутреннего параноика — использовать решение от известной компании. Что страшного может случиться, если вы используете решение Ring Home от FAANG (а это решение разработано именно Amazon)? Случилось аж две страшных вещи.
Во-первых, Android-приложение камеры передавало пользовательские данные — имена, IP-адреса и сетевые данные — через сторонние трекеры. Во-вторых, злоумышленникам удалось взломать системы дверных замков и систему домашнего мониторинга. Причем довольно очевидным, «дедовским» способом. Для этого они нашли учетные записи со стандартными и предсказуемыми учетными данными. Получив доступ к устройствам, они даже словесно домогались до своих жертв. О таких случаях сообщило 30 человек из 15 семей.
С одной стороны, здесь нет прямой вины Amazon. Причина в том, что конкретные пользователи не создали надежные имена и пароли своих учетных данных. С другой стороны, такая ситуация точно не должна быть сюрпризом ни для кого, и большие компании точно должны быть в состоянии что-то с ней сделать.
После инцидента Amazon разослала всем пользователям настоятельные рекомендации использовать надежные пароли, регулярно их менять, подключить двухфакторную аутентификацию, а также не делиться своими учетными записями нигде.
IoT — тема не только пугающая, но и интересная. Вот несколько текстов в блоге Selectel, которые рассказывают, как использовать силу IoT исключительно в мирных и добрых целях.
Nortek Control. Опасность на работе
Разумеется, стоит вам выйти из дома, и количество потенциальных опасностей резко возрастет. И самое очевидное место для «чего-то плохого» — это офис. В мае 2019 года компания с прекрасным названием Applied Risk нашла 10 уязвимостей в устройствах системы контроля доступа к помещениям Nortek Linear eMerge.
Они позволяли злоумышленникам получать доступ к учетным данным, произвольно открывать и запирать двери, а также выводить оборудование из строя. Что характерно, компания не посчитала эту проблему серьезной и сначала предпочла не замечать ее, несмотря на то, что количество обращений исчислялось десятками тысяч, более чем в ста странах.
St Jude Medical. Опасность на больничной койке
Вопрос, который висит в воздухе с самого начала этого текста: а можно ли убить, используя уязвимости IoT? Ответ достаточно очевиден (приготовьтесь услышать ожидаемое и страшное). Да, можно. В 2017 году американское Управление по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA) заявило, что кардиостимуляторы компании St. Jude Medical имеют уязвимости, которые могут позволить хакеру получить доступ к устройству.
Есть возможность разрядить батарею или изменить мощность прибора. Компания отреагировала быстро и автоматически обновила прошивку на устройствах. FDA отдельно заявило, что ни один пациент не пострадал в результате этой уязвимости.
Стоит отметить, что этому событию предшествовал судебный процесс между St. Jude Medical и исследовательской компанией Muddy Waters. Ранее она заявляла о существовании такой уязвимости, однако получила от производителя кардиостимуляторов лишь иск в суд. Достаточно веский повод задуматься, насколько на самом деле для больших компаний важна ваша безопасность и ваша жизнь.
Mirai. Опасность от вашего тостера
Один из самых знаменитых ботнетов, который даже несет в себе своеобразную идейную составляющую. Алгоритм его работы достаточно стандартный: он атакует сетевые устройства под управлением Linux, превращая их в свою персональную DDoS-армию. Зараженные устройства постоянно сканируют интернет на предмет доступных IP-адресов, однако существует диапазон IP, которые он заражать не будет. Это, в частности, адреса Почтовой службы США и Пентагона.
Впервые он был обнаружен в 2016 году — живучесть и богатая биография ботнета просто удивляет. Он использовался в ходе атаки на провайдера Dyn (это привело к падению GitHub, Twitter, Reddit, Netflix, Airbnb и других), французского провайдера OVH и многих других атак. В буквальном переводе с японского Mirai значит «будущее», по одной из версий он был назван в честь телевизионного аниме-сериала 2011 года Mirai Nikki. Всего же было заражено более полумиллиона устройств по всему миру.
Изначально Mirai использовался создателями для DDoS-атак на серверы Minecraft и компании, предлагающие DDoS-защиту. Цель была предсказуемая — вымогательство. После того, как создатели Mirai опубликовали его исходный код, он начал распространяться как настоящий вирус — появилось множество его модификаций. Последняя из них (Mozi) была задокументирована в этом году.
Этот ботнет стал лучшей наглядной демонстрацией серьезной проблемы — избытка IoT-устройств, которые никак не защищены.
Что можно сделать
Многие IoT-устройства не имеют встроенной защиты от злоумышленников, и эта задача перекладывается непонятно на кого — то ли на покупателей, то ли на администраторов сетей, в которых эти устройства будут работать. Как результат — за безопасность отвечает «никто». Так как устройства IoT разрабатываются с учетом простоты использования, они теоретически могут быть защищены на момент покупки, но становятся уязвимыми, когда хакеры находят новые проблемы безопасности или ошибки.
В 2020 году в мире работало почти 27 миллиардов активных IoT-устройств, ожидается, что к 2025 году их число вырастет до 75 миллиардов. По статистике, у 84 % компаний есть проблемы с обеспечением безопасности для них. Таким образом, можно считать, что на сегодняшний день в мире существует примерно 22 миллиарда способов причинить вам неприятности разной степени тяжести.
Судя по всему, это тот случай, когда проблема не исчезнет сама по себе, без законодательных действий «сверху». И в некоторых странах уже начали активно действовать. Так, в американских штатах Калифорния и Орегон уже приняты законы, обязывающие производителей IoT-устройств снабжать их «разумными средствами безопасности». Это, например, уникальные пароли, регулярные обновления безопасности и раскрытие уязвимостей.
А Европейское агентство по сетевой и информационной безопасности (ENISA) опубликовало руководство по обеспечению информационной безопасности в течение всей производственной цепочки IoT-устройств. Таким образом, безопасность при использовании «интернета вещей» — дело времени. Если к тому времени не появятся новые пугающие угрозы, конечно.
Комментарии (23)
TokarLimadze
11.08.2021 16:09событию предшествовал судебный процесс между St. Jude Medical и исследовательской компанией Muddy Waters. Ранее она заявляла о существовании такой уязвимости, однако получила от производителя кардиостимуляторов лишь иск в суд.
Нашли уязвимость, за это их хотели засудить. В интересное время живем.
Gryphon88
11.08.2021 18:51История старая, и не думаю. что скоро будут какие-то изменения. Для этого шаги должны делать и пользователи, и производители, и государство:
пользователи привыкнут к сетевой гигиене (перво-наперво не выставлять в сеть, особенно глобальную, то, что можно не выставлять. Прощай, распознавание голоса на серверах гигантов!),
производители найдут в себе совесть (однонаправленные каналы связи, независимая исполнительная и коммуникационные части, уход с полноценных ОС, традиционная инженерная культура разработки),
а государство с профессиональными сообществами доработают стандарты.
Я не думаю, что разработчиков будут когда-нибудь сажать за преступную небрежность: всё-таки дел в отношении производителей замков и сейфов немного, меньше, чем ограблений.
Stavr666
12.08.2021 10:11уход с полноценных ОС
Это утопия, слишком дорогая в реализации и сопровождении. В эту сторону уже врядли когда-то технология двинется.
Gryphon88
12.08.2021 10:56Почему? RTOS не намного дороже и значительно секурнее. Вообще мне не очень понятно, зачем нужно то самое сопровождение. Как часто вы обновляете ПО микроволновки или холодильника? Достаточно четко очертить круг сценариев использования и проработать его, можно даже упороться по верификации. Конечно, всегда найдётся кадр, сваривший пельмени в чайники или погладивший носки принтером, но на него все будут смотреть как на идиота.
Gold_fish
12.08.2021 10:37+1Вы в это верите? Какую сетевую гигиену можно ожидать от людей выставляющих всю свою жизнь в соц сети? От людей досихпор ведущихся на тупые банковские разводы?
Люди на столько привыкли к облачным сервисам, что перестали задумываться о том где и как хранятся их персональные данные.
Крупные корпорации отдали критически важную информацию в паблик облака. О какой сетевой гигиене может вообще идти речь?
Gryphon88
12.08.2021 10:52Это зависит от уровня шумихи, связанной с уроном от выложенных данных, в идеале, конечно, если бы "обманутые" пользователи пытались судиться с облаком или иным пабликом. А если урона нет, то может всё хорошо? :) Про банковские разводы: это про "Ваша карта заблокирована, сообщите CVV и номер из SMS" или про условия банковского обслуживания и программы лояльности?
Gold_fish
12.08.2021 10:56Про CVV.
Вот именно, что пока человек на не ощутит реальный урон на себе (потеряет деньги) никакая шумиха не напугает. Ну подумаешь чайник начал ддосить, ну сброшу до заводских настроек. Ну утекли ПД, ну написал/позвонил +1 лишний спамер.
Gryphon88
12.08.2021 11:07То, что кто-то потерял деньги, это ни о чём не говорит другим людям. Собственно, гигиена начинается с объяснений друзьям/родственникам/в школе/etc "не делай так" Конечно, это ничего не гарантирует, сбитые при переходе на красный свет пешеходы подтверждают это.
Сейчас ситуация обратная: знакомые требуют регистрироваться в соцсетях и мессенджерах, "а как мы общаться будем?", а рекрутеры могут отказать человеку без профиля в соцсети или с пустым профилем. "Как общаться, как общаться"... есть что сказать - позвони, хочешь потрындеть - пошли пить пиво.
AlexanderS
12.08.2021 10:41Прощай, распознавание голоса на серверах гигантов!
Сразу затеплилась надежда на толчок в развитии качественных оффлайновых распознавалок. Но… проблема в том, что в подавляющем большинстве общества это никому не нужно — люди вообще не задумываются как, и где, и что происходит, отсюда такое наплевательское отношение к расшариванию, не то что своих ПД, а своей жизни в целом.Gryphon88
12.08.2021 11:10Качественные оффлайновые распознавалки вполне себе существуют, особенно учитывая, что распознать голос одного конкретного человека на конкретном языке значительно проще, чем распознать любой голос на любом языке. Но даже voice recognition tutorial на питоне начинаются с "вот так подключаемся к серверам гугл/амазон".
AlexanderS
12.08.2021 11:28Я лет 5 назад назад искал оффлайновый движок. Можно даже на локальный сервер. Но несмотря на обилие, как-то везде было не очень. А если нужен русский язык, то вообще всё печально. Не знаю — может быть сейчас Sphinx серьёзно подтянули?
Gryphon88
12.08.2021 11:40Я игрался с Dragon/Drafonfly и Flashlight/ASR, но не дошел до уровня внедрения глубже "прикольно, работает".
NeoCode
11.08.2021 21:53А интересно, кто нибудь из хабровчан пользуется интернетом вещей?
Я — нет. Из «вещей» есть только чайник с bluetooth, просто потому что продавец посоветовал по критерию надежности. Ни разу не воспользовался этой функциональностью, все равно воду нужно наливать руками:)
Tarakanator
12.08.2021 09:57Я буквально вчера заказа комплектующие к умному дому.(для начала датчик освещённости и диммер)
Но тут нюанс. Я решился попробовать умный дом только когда это стало возможно на собственном сервере без облаков.
Воду можно налить заранее. И умный чайник в теории позволит сделать себе кнопку нагрей воду до 78 градусов, чтобы я заварил себе зелёный чай.
Gryphon88
12.08.2021 10:44Если считать самопал, то таки да: датчик перелива расширительного бачка и пара датчиков на утечку газа и сухой ход насоса. Но скорее всего не тру: к wifi не подключены, в облака не лезут, снаружи локалки недоступны :)
red76
12.08.2021 15:22Пользуюсь МиХом, но это пока. Хочу все-таки сделать внутри дома всю автоматизацию в ДМЗ, а всякую ерунду типа прогноза погоды и прочего уже с доступом в интернет делать.
Silvarum
15.08.2021 18:16Я пользуюсь интернетом вещей, но без этого самого «интернета». Всё управляется через локальный Home Assistant в изолированном VLAN'е. А так полно барахла уже собрал — управление кондиционером, теплым полом, вытяжкой в санузле, освещением, термоклапанами для радиаторов отопления, приводами для штор, арматурой водоснабжения плюс всякие датчики (в основном ZigBee) температуры, влажности, движения и присутствия, протечки воды, утечки газа и т.п.
Не зря родилась поговорка «The S in IoT stands for Security».
usr00210
12.08.2021 09:17"Многие IoT-устройства не имеют встроенной защиты от злоумышленников " - дело не в простоте устройств, а в их дешевизне. Исключением являются медицинские устройства класса III по классификации FDA, да и то, только потому, что это жестко регулируемый класс устройств, разработка которого влетает в копеечку.
Во все эти дешевые (и зачастую маленькие) девайсы, просто не впихнуть нормальный функционал с PKI, брэндмауэрами и проч. К тому же, многие конторы все езе разрабатывают конкретные устройства, а не решения в виде замкнутых экосистем.
Tarakanator
12.08.2021 10:23Как раз наоборот. Замкнутых экосистем полно.
А вот устройств которые работают везде по стандарту, без привязки к вендору уже много, но ещё не все.
Нахрена мне замкнутая экосистема, если это сделает недоступным для меня 90+% оборудования?
XanKraegor
15.08.2021 17:45Зачем утюгу выход в интернет? Зачем у кардиостимулятора распространенный беспроводной протокол передачи данных?
Надо рублем голосовать за такие устройства, которые работают оффлайн. Поместить их в VLAN. Подключаться к ним издалека через VPN к домашней сети. Иметь настроенный файрволл, IPS/IDS. Блокировать любые попытки куда-до достучаться как от устройства умного дома, так и к нему, за исключением четко определенных.
Вы можете сказать, что это сложнааа и обычный юзер такое не сможет / захочет. Да, всё так. Именно поэтому такой подход нужно продвигать в качестве отраслевого стандарта, в идеальном случае - предписания регуляторов. Собиратели персональных данных за нас это делать не будут.
saintbyte
Наверно 15 лет назад мы прикалывались на тему что злые хакеры ограбили холодильник подключившись через утюг - теперь это не кажется смешным