О том, что устройства IoT небезопасны, говорят едва ли не с момента появления Интернета вещей. Но и до сих пор многие «умные» приборы и техника не имеют надлежащей защиты от взлома. Или же такая защита компрометируется самими пользователями.

Типичные уязвимости устройств IoT

Уязвимости — такие слабости в коде системы или устройства, которые могут поставить под угрозу конфиденциальность и безопасность пользователя. Эксплойты могут возникать как в результате несовершенства кода, так и из-за ошибок пользователей.

Трудность обновлений

Невозможность легко обновить или поставить патчи — одна из очевидных проблем устройств IoT. Отсутствие безопасных механизмов обновления и невозможность автоматических обновлений приводит к тому, что разработчикам сложно, а порой и невозможно, закрыть эксплойты в коде.

А поскольку эти устройства предназначены для выполнения специфических функций, их вычислительные возможности весьма ограничены. В результате остается очень мало места для внедрения надежных механизмов безопасности и защиты данных.

Также нередки случаи, когда используются ненадежные и устаревшие компоненты. Это позволяет некоторым производителям выпускать более дешевые устройства IoT, однако они создают угрозу безопасности для своих владельцев.

Слабые пароли и пароли по умолчанию

Учетные данные, которые легко угадать или которые жестко запрограммированы, предоставляют хакерам прекрасную возможность напрямую атаковать устройство. И поскольку в системах часто установлены заводские пароли, злоумышленнику не составит труда подобрать их. То же касается и qwerty-подобных паролей. В данном случае люди рассуждают так: «Ну кому нужны эти мои системы?» А вы точно уверены, что никому? Тогда читайте дальше.

Уязвимые базовые компоненты

Они влияют на миллионы развернутых интеллектуальных устройств. Чтобы сократить расходы и ускорить процесс изготовления многие производители используют недорогие и доступные компоненты. Эти компоненты включают готовые модули с открытым исходным кодом. Проблемы могут возникнуть из-за уязвимостей в зависимостях программного обеспечения или системах, если устройство использует устаревшие или небезопасные программные компоненты, библиотеки или платформы. Не исключено, что эти компоненты наследуют уже известные злоумышленникам уязвимости, тем самым расширяя поле угроз.

Отсутствие шифрования

Шифрование данных исключает возможность просмотра конфиденциальной информации посторонними лицами в случае ее кражи. Оно широко используется для защиты данных во время их передачи. Поэтому разумно предположить, что большинство людей будут ожидать, что данные, передаваемые между устройствами, будут зашифрованы. Но, к сожалению, подавляющее большинство передаваемых данных в IoT не шифруется. Причина проста: эти устройства обычно служат более десяти лет, а модернизация связана с трудностями, описанными выше.

Сетевые уязвимости

Квалифицированные похитители данных могут причинить значительный вред, просто изучив IP с незащищенных устройств IoT. Эти айпи могут использоваться для определения точного местонахождения и адреса проживания пользователя. Поэтому специалисты по интернет-безопасности советуют использовать VPN, чтобы скрывать свои айпи и защитить соединение IoT. Впрочем, веб-интерфейс, внутренний API и облачные интерфейсы тоже не всегда защищены должным образом, что часто позволяет злоумышленникам получать доступ через эксплойты на сетевом уровне.

Неосведомленность пользователей

Отсутствие у пользователей элементарных знаний сетевой безопасности тоже может сделать умные устройства открытыми для атак. Поэтому типичный пользователь IoT становится легкой мишенью для киберпреступника, пытающегося получить доступ к сети организации с помощью фишинговой атаки или средств социальной инженерии. И нередки случаи, когда простое электронное письмо с вредоносным вложением приводит к компрометации всех устройств, подключенных к этой сети.

Отсутствие физической защиты

Устройства IoT рассредоточены, а значит не имеют какой-либо контролируемой среды. В результате получение доступа к физическому уровню устройства IoT часто не представляет проблемы для злоумышленников. А из-за множества других уязвимостей дело обычно не ограничивается манипулированием только одним «заимствованным» устройством.

Проблемы цифровых сертификатов

Пройдет еще лет 10, и квантовые вычисления станут активно применяться повсюду. И это произойдет еще до того, как многие из умных устройств закончат свой жизненный цикл. Поэтому для защиты этих устройств уже понадобятся «квантовостойкие» сертификаты. Это будет важно, потому что квантовые компьютеры смогут легко взламывать шифрование RSA, что сделает большинство современных сертификатов IoT устаревшими. Таким образом, речь не просто о наличии цифрового сертификата, пусть даже с длительным сроком действия. Речь о надежных сертификатах — таких, которые смогут противостоять неизбежной угрозе со стороны квантовых мощностей.

Долгий срок службы устройств

Хотя мы регулярно меняем наши телефоны, другие устройства IoT могут эксплуатироваться годами. Большинство людей не так часто меняют свои холодильники, кондиционеры и автомобили. И это означает, что устройства должны быть защищены с учетом будущих угроз. Про квантовую опасность мы уже говорили, но есть и другие соображения, которые также необходимо учитывать. Например, создание условий для потенциальных обновлений в будущем. Впрочем, последнее не всегда осуществимо, ведь производители порой не хотят включать даже базовые функции обновления в свои IoT-устройства.

О причинах, по которым безопасность IoT имеет решающее значение

Итак, почти все устройства IoT имеют проблемы с безопасностью. В подавляющем большинстве из них отсутствуют базовые функции безопасности, такие как шифрование данных при передаче и хранении. Когда об угрозах безопасности сообщается публично, это может только усугубить ситуацию, поскольку многие устройства IoT не могут обновляться. Таким образом, как только обнаружена уязвимость в системе безопасности, устройство подвергается постоянному риску. Но риску чего? Не все представляют, чем это опасно на самом деле.

На первый взгляд идея обезопасить свой кондиционер или стиральную машину может показаться глупой. Но это только на первый взгляд. Ведь главная опасность заключается в том , что устройство IoT может служить «мостом» между физическим и цифровым миром. В этом случае кибератаки могут привести к самым неприятным последствиям. 

Например, посторонние могут следить за каждым вашим шагом, взломав ваши камеры, которые вы установили дома. Для бизнеса риски могут быть еще выше, если хакеры получили удаленное управление техникой. Что уж говорить про доступы к кардиостимуляторам и операционному оборудованию — здесь на кону уже жизнь пациентов. Конечно, большинство эксплойтов IoT не приведут к таким последствиям для обычного пользователя, но это не означает, что к угрозе не следует относиться серьезно.

IoT-устройства могут многое рассказать о вас

Многие из IoT-устройств (автомобиль, фитнес-трекер и т. д.) хранят данные о том, где мы находимся и чем занимаемся. Но большинству устройств IoT необходимо устанавливать связь с сервером регулярно. Нам же нужно, чтобы эти соединения были безопасными. Однако, как мы уже выяснили, шифрование информации в среде IoT проблематично, что существенно уменьшает конфиденциальность передаваемых данных.

Вы можете возразить: «Ну и что, что кто-то узнает показатели моей тренировки?» А как насчет того, что злоумышленник будет знать, дома ли вы в данный момент? И чем больше у вас незащищенных устройств, тем больше информации у преступников. Просто подумайте о том, сколько информации можно получить со всей вашей техники и устройств, которые подключены к сети.

Ваши устройства IoT могут работать на кого-то другого

Зайдите на кухню и спросите: «Ты опять майнишь биткоины, холодильник?» Возможно, вас примут за сумасшедшего ваши домочадцы, но только не те люди, которые знают, как обстоят дела с безопасностью в IoT. Люди нередко задаются вопросом: что же нужно хакерам от их безобидных IoT-устройств? Ответ прост и банален: конечно, их вычислительная мощность.

Эти устройства можно использовать в составе ботнетов, и вместе они будут представлять серьезный актив для того же майнинга. Киберпреступники взламывают тысячи устройств и создают ботнеты из устройств, которыми они могут легко управлять. Это дает им возможность запускать DDoS-атаки, взламывать другие компьютеры, майнить криптовалюту, а также скрывать свою личность, перенаправляя интернет-трафик через ботнет. Так что безопасность IoT — это не шутка.

Веселые истории экран покажет наш…

В завершение расскажем о нескольких забавных случаях, произошедших за несколько последних лет. Герои этих историй даже не подозревали о том, что их «умные» устройства могут кому-то понадобиться.

Хакеры умнее умных домов

В 2019 году киберпреступники целые сутки издевались над семейной парой из Милуоки. Супруги установили в своем доме умную камеру Nest, не менее умный термостат, а также дверной звонок, подсоединенный всё к той же системе. Сентябрьским вечером они вернулись домой и обнаружили, что температура в термостате установлена на 90 градусов (к счастью, по Фаренгейту). И когда они решили ее понизить, это не сработало, а даже наоборот — температура начала расти.

Вскоре после этого они услышали голос на кухне, который говорил через камеру Nest, осыпая супругов оскорблениями, а затем сменился песней непристойного содержания. Пара сменила пароли в системе своего «умного дома», но проблемы остались. Дело в том, что хакер сначала взломал их Wi-Fi, а затем и Nest, поэтому смена паролей не лишила его доступа к системе.

Однако в данном случае уязвимость исходила вовсе не от Nest: кибератака была результатом взлома уже скомпрометированного пароля. Как заявили представители Google, Nest не была взломана, а проблема была в клиентах, использующих скомпрометированные пароли. Также представители компании посоветовали перейти на двухфакторную аутентификацию:

«Пользователи Nest могут перейти на аккаунт Google, предоставляющий доступ к дополнительным инструментам и автоматическим средствам защиты, таким как обнаружение подозрительных действий и двухфакторная аутентификация, которую используют уже миллионы пользователей».

У семи нянек дитя без глаза

А вот еще одна нашумевшая история. В марте 2021 года была взломана облачная служба видеонаблюдения Verkada. Злоумышленники получили доступ к прямым трансляциям с более чем 150 000 камер, принадлежащим клиентам Verkada. Эти камеры были установлены на заводах, в больницах, школах, тюрьмах и других местах.

Самое интересное, как хакеры получили такой доступ. Очень просто: используя данные учетной записи одного из администраторов, найденные в Интернете. Позже было обнаружено, что привилегии «суперадминистратора» имели более 100 сотрудников Verkada, что давало им доступ к тысячам камер клиентов. Вот каковы риски, связанные с выдачей привилегий чрезмерному количеству пользователей.

Всё как на ладони

С конца 2019 и на протяжении всего 2020 года по Америке прокатилась еще одна волна взломов устройств IoT. А началось всё в Миссисипи, где хакер взломал домашнюю камеру видеонаблюдения Ring. Родители установили камеру Ring в спальне своих трех дочерей. Они хотели следить за тем, что происходит там во время их отсутствия, так как у одной из девочек были проблемы со здоровьем. Однако через четыре дня после установки камеры встроенный динамик начал транслировать пошловатую песенку, а когда одна из девочек включила свет, мужчина заговорил с ней и стал оскорблять ее, называя себя Санта-Клаусом.

По словам главы семейства, была взломана система безопасности Ring. Косвенно это могло быть подтверждено другими подобными случаями, которые произошли в Коннектикуте, Флориде и Джорджии, где хакеры тоже выкрикивали оскорбления через камеры. Однако представители Ring заявили, что компания серьезно относится к безопасности своих устройств, а проблема была в том, что злоумышленники получили учетные данные пользователей другими способами:

«Служба безопасности Ring расследовала этот инцидент, и у нас нет доказательств несанкционированного вторжения или компрометации систем или сети Ring. Недавно нам стало известно об инциденте, когда злоумышленники получили учетные данные некоторых пользователей Ring (имя и пароль) из отдельной внешней службы, не относящейся к Ring, и повторно использовали их для входа в учетные записи Ring».

Впрочем, тот факт, что хакерам достаточно ввести имя пользователя и пароль, чтобы получить доступ к устройствам, говорит о слабой защищенности устройств IoT. И в Ring почти сразу заявили, что компания начала рассылать электронные письма миллионам своих клиентов с рекомендацией использовать многофакторную аутентификацию.

В итоге эксперты не нашли никаких доказательств того, что платформа Ring была взломана. И рекомендовали клиентам компании избегать повторного использования старых паролей, потому что они уже могли быть скомпрометированы в результате предыдущих утечек данных, а пользователи даже не знали об этом.

Выводы

Автоматизация и ИИ: эти технологии уже используются в глобальном масштабе. Но важно понимать, что автоматизация и искусственный интеллект — это всего лишь куски кода. Поэтому, если киберпреступники получают к ним доступ, они могут взять автоматизацию под свой контроль и делать все, что захотят. И описанные выше забавные случаи — это далеко не самое страшное, что может случиться. Вот почему крайне важно обеспечить защиту от таких посягательств.

Если наши гаджеты Интернета вещей не обладают адекватной защитой, мы можем только догадываться о том, сколько ценных данных могут украсть у нас хакеры. По самым свежим данным Finances Online, 98% трафика устройств IoT не имеет шифрования, то есть действительно защищено только каждое 50-е устройство! Исходя из этой статистики, легко предположить, что риски безопасности IoT на самом деле критические, и описанные выше атаки,— это только начало.

Комментарии (9)


  1. VYudachev
    13.12.2022 20:43

    Как известно, буква S в аббревиатуре IoT означает Security.


    1. Antra
      13.12.2022 21:26

      И в каких из приведенных примеров IoT устройства были реально взломаны? По-моему проблемы были из-за утечек паролей, а не самих устройств.

      У смартфонов, камер и прочего есть свои проблемы. Но вешать на них проблемы из-за простого пароля от гугл аккаунта все же не стоит.

      С Ring - тоже очень сомневаюсь, что камеры висели на публичных IP адресах, доступных из Интернета. Стопудово доступ к ним получили не напрямую, а через серверы Ring, войдя в аккаунт пользователя [с помощью утекшего пароля].


      1. VYudachev
        13.12.2022 21:56

        Я не специалист по инфосеку и буду рад, если меня поправят профессионалы, но безотносительно к приведенным конкретным примерам часто устройства интернета вещей разрабатываются компаниями, для которых безопасность — не основной приоритет. Многие разработчики стараются выйти на рынок как можно быстрее, чтобы оправдать ожидания инвесторов и успеть занять нишу. В таких условиях они игнорируют проблемы безопасности или решают их формально. Ну и в целом, насколько я понимаю, в индустрии до сих пор не установлены единые стандарты безопасности, поэтому разработчики не несут никакой ответственности перед пользователями.

        Служба безопасности Ring расследовала этот инцидент, и у нас нет доказательств несанкционированного вторжения или компрометации систем или сети Ring.

        Я горячо поддерживаю презумпцию невиновности, но хотелось бы понять: можно где-то ознакомиться с предпринятыми шагами, или доказательств нет, потому что плохо искали? Возможно, я дилетант и оптимист, но мне кажется, если разработчики IoT начнут придерживаться единых открытых стандартов, в том числе и по безопасности, то будет повторение ситуации, когда IBM сделали компьютерную архитектуру открытой. Экспоненциальный рост и совместимость.


        1. Antra
          14.12.2022 21:03
          +1

          безопасность — не основной приоритет

          Что есть, то есть. Глупо было бы с этим спорить. Но это за пределами моей области контроля, как пользователя IoT устрйоств. Максимум - могу не покупать устройства компаний ну совсем уж наплевательски относящихся к безопасности.

          В данном же случае я больше о том, что большинство устройств недоступно непосредственно из Интернета (только они сами могут подключатьсч куда-нибудь в облако) Поэтому их уязвимости не так страшны, их просто не получится легко эксплуатировать. (Я сейчас не говорю о домашних Wi-Fi маршрутизаторах, которые как раз часто из Интернента доступны, и там беда).

          И вместо пугалок про страшные опасные камеры и холодильники полезнее было бы людей подвигать в сторону безопасности. А то ведь сейчас как? "Взломали камеру" - виноват производитель камеры. А сам пользователь не при делах, "жертва производителя". Хотя это именно его ответственность. Использовал бы нормальные пароли, разные для разных сервисов, многофакторную аутентификацию - проблем бы не было. Даже при наличии ошибок в прошивках. Ну или взломали бы вообще всех пользователей в случае уязвимостей облачного сервиса по управлению этим барахлом, а не отдельные аккаунты.

          И пока будет такое самоуспокоение и перекладывание ответственности, будут и "взломы" даже суперзащищенных устройств без единой уязвимости.


  1. Sun-ami
    13.12.2022 21:51
    +2

    Какие-то сплошные общие слова. Есть ли примеры взлома из-за уязвимостей в устаревших версиях пакетов с открытым исходным кодом? Например, lwIP?


    1. select26
      13.12.2022 22:58
      +1

      Какая разница какая причина взлома? Какая конечному потребителю разница - Open Source или нет?
      Находят уязвимости в популярнейших продуктах, выпускаемыми миллионными тиражами. И не всегда производители озаботились покрытием тестами своих продуктов и даже не всегда можно обновить их.
      Сколько примеров с бэкдорами в роутерах и камерах было? Сколько ботнетов на роутерах!
      Зачастую через год-два после выпуска перестают выпускать обновления. Для таких систем как Android - это просто гарантированное наличие уязвимостей.
      И все только потому, что нет ответственного подхода к вопросам безопасности. Главное - маркетинг!


      1. Sun-ami
        14.12.2022 01:47

        Разница в том, что если использована библиотека Open Source с уязвимостью — для взлома достаточно просто знать об этом факте (а разглашение этого факта — очень часто требует лицензия на библиотеку), или хотя бы предположить, что она использована (а библиотек не так много, поэтому легко перебрать все варианты). А если использована проприетарная библиотека — каждое устройство нужно взламывать отдельно, это намного труднее. Обновлять ПО всех IoT-устройств после каждой найденной уязвимости — нереально, поэтому если со старыми Open Source библиотеками всё так плохо — Open Source библиотеки просто вообще нельзя использовать, если угроза взлома есть в принципе. А бэкдоры и заводские пароли — это вообще отдельная тема.


  1. Ztare
    14.12.2022 02:06

    Все описанные проблемы опять являются в большинстве следствием основной и главной проблемы номер 1 - ублюдский менеджмент требующий строго облачные решение и облачные привязки, с целью потенциально подсадить аудиторию на подписку. Все проблемы в статье умножаются на 0 если решение локальное. Надо прямо запретить любые облачные умные устройства. Хочешь в дом - го в локаль, учись делать локальные решения. Сколько примеров взломов и превращания кучи железа в мусор (облако устарело, клиентов не набралось, плотить не хотят, долгосрочная стратегия нашего стабильного мегастартапа умной кнопки туалетного бачка поменялась через месяц после запуска), все мало


    1. Antra
      14.12.2022 21:17

      Тоже не люблю облака. Но в данном случае, с камерами, вы что пердлагаете?

      Их же покупают именно чтобы смотрть "издалека". Думаете, если каждый пользователь будет сам заморачиваться с удаленным доступом к свое камере (термометру, чему угодно), это будет безопаснее просмотра изображения через облако, предлагаемое производителем?