Аквариум у входа в отель-казино Silverton в Лас-Вегасе (примерно такой находился в казино, которое подверглось взлому)

Если нужно проникнуть в локальную сеть хорошо защищённого казино — что вы предпримете на месте хакера? Постараетесь узнать пароли пользователей и админа? Достанете биографические сведения о сотрудниках, разошлёте им личные письма от имени родственников с персональными аттачментами, которые они обязательно откроют — и поставят себе трояна? Просканируете серверные порты, выставленные наружу? Да, эти методы были эффективны для таргетированных атак в прошлом. Некоторые эффективны и сейчас. Но проблема в том, что компьютерная инфраструктура готова к отражению именно таких атак. Отдел безопасности давно внедрил авторизацию через криптографические токены, так что админский пароль вам ничего не даст.

Поэтому хакеры ищут новые векторы атак. Огромное подспорье оказывают устройства интернета вещей (IoT). На первый взгляд это безобидные девайсы: беспроводные термостаты, датчики температуры и контроллеры освещения, интеллектуальные счётчики, камеры видеонаблюдения, «умные» кондиционеры и многие другие устройства, подключенные по беспроводной связи к локальной сети и управляемые удалённо. Через них и происходит проникновение. Это не теоретическая, а вполне реальная угроза. Более того, иногда в прессу просачиваются истории успешных взломов, которые состоялись как раз по такому сценарию.

Исполнительный директор компании Darktrace, которая специализируется на информационной безопасности, Николь Иган (Nicole Eagan) недавно рассказала посетителям лондонской конференции WSJ CEO Council Conference об одном таком случае.

Хакерам удалось проникнуть в локальную сеть казино и скопировать базу данных хайроллеров (VIP-игроки на высоких ставках). Эта база составляет коммерческую тайну и имеет исключительную ценность для конкурентов. Возможно, операцию заказали как раз-таки конкуренты, чтобы переманить к себе самых богатых клиентов.

По словам специалиста, злоумышленники получили доступ в сеть через беспроводной термостат, установленный в аквариуме на входе в казино. «Нападавшие использовали это, чтобы закрепиться в системе, — сказала Николь Иган. — Затем нашли базу данных хайроллеров и вытянули её из сети».

На конференции вместе с Иган выступал Роберт Ханниган (Robert Hannigan), руководитель британского разведывательного агентства GCHQ в 2014-2017 годы. Он согласился, что атаки через устройства IoT становятся всё большей проблемой для компаний: «Интернет вещей порождает тысячи новых устройств. В ближайшие годы их запихнут в интернет, что усложняет ситуацию. Я видел банк, который взломали через камеры видеонаблюдения, потому что эти устройства покупались исключительно из-за низкой стоимости».

Главная беда — пароли по умолчанию


Роберт Ханниган считает, что для устройств интернета вещей следует принять минимальные стандарты безопасности, потому что рынок не способен отрегулировать себя самостоятельно рыночными методами. Но даже если это и произойдёт, то впереди ещё несколько лет «хаоса», когда каждый будет защищать себя как может. В течение этого времени у хакеров будет много относительно простых способов взлома.

Недавно исследователи из Университета Бен-Гуриона (Израиль) опубликовали статью, в которой проанализировали основные уязвимости в домашних «умных» устройствах. Они купили 16 популярных коммерческих гаджетов — и изучили, насколько легко их взломать. Результаты неутешительные: для 14 из 16 устройств удалось подобрать пароль и подключить гаджет к ботнету быстрее чем за 30 минут. Изначально исследователи планировали разбирать приборы и искать слабые места в защите, но выяснилось, что это не нужно. В подавляющем большинстве случаев проще всего оказалось подобрать пароль, установленный по умолчанию.

Как выяснилось, в большинстве гаджетов для массового рынка установлены простые пароли по умолчанию, которые пользователи редко меняют. Вполне возможно, что история с термостатом в аквариуме казино — как раз такой случай. Возможно, владельцы казино не позаботились о надёжной аутентификации термостата в сети через защищённую платформу PKI для IoT с использованием модулей аппаратного шифрования.

Специалисты дают такие советы по базовой безопасности интернета вещей:

  1. Покупать устройства IoT только от надёжных производителей и вендоров.
  2. Избегать бывших в использовании устройств.
  3. Собрать в онлайне информацию по каждому устройству — узнать, известен ли пароль по умолчанию для него.
  4. Установить сильный пароль минимум из 16-ти символов.
  5. Не использовать повторно одни и те же пароли.
  6. Регулярно обновлять программное обеспечение.
  7. Внимательно рассмотреть преимущества и риски подключения устройства к интернету.

Пароль по умолчанию — не единственная точка отказа в системе безопасности при использовании устройств IoT. Злоумышленники могут воспользоваться также уязвимостями в приложениях, через которые осуществляется удалённое управление. Например, несанкционированный доступ к роботу-пылесосу позволяет провести полноценную видеоэкскурсию по дому жертвы.


Наверняка в ближайшее время мы услышим ещё немало новостей о таких интересных взломах, как кража базы данных казино через термостат в аквариуме.

Комментарии (22)


  1. kvazimoda24
    25.04.2018 10:59
    +1

    Эм… А почему термостат был в общей сети казино, почему админы не изолировали все подобные термостаты и прочие климат контроли в отдельную сетку? Мне кажется, управляемый коммутатор на фоне только этого одного термостата стоит копейки.


    1. antonn
      25.04.2018 11:48
      +1

      Из ссылки ниже:

      Руководство заведения выделило для коммуникаций аквариума VPN-соединение, изолированное от финансовой сети. Тем не менее, когда устройство проверила система обнаружения угроз от Darktrace, были выявлены аномальные трансферы данных.


      Жаль что подробностей крайне мало, на ум приходит только криворукая настройка сети, чем и воспользовались злоумышленники.


      1. kvazimoda24
        25.04.2018 12:18

        Ничего не понятно. Зачем аквариуму VPN, что за сервер в Финляндии? Вообще, зачем термостату выход в интернет?


        1. sirocco
          25.04.2018 12:27

          Как зачем выход в интернет? Сейчас тенденция такая, всем выход в интернет нужен. Чтоб логи и статистику хранить, чтоб работать по хитрым сценариям которые бы легко задавались, обновлять прошивку… У меня сейчас весы в интернет просятся, выключатели sonoff, почти все девайсы умного дома от Xiaomi. И ко всему прочему производитель так распорядился, что все они хотя ещё много чего, например доступ к местоположению и т.д.


          1. kvazimoda24
            25.04.2018 12:33

            Вот я и не понимаю, зачем им всем интернет. Когда контроллер умного дома хочет в инет, я ещё могу понять, но термостат… И даже то, что термостат полез в инет, непонятно, как он пролез к важной информации казино. Но тут уже действительно, скорее всего, косяк админов, что сеть криво настроили.


        1. antonn
          25.04.2018 12:31

          Возможно аквариум со своей инфраструктурой, типа умных розеток, которые управляются через свой сервер со смартфона. Может они рыбок кормят из приложения на смартфоне :)


          1. kvazimoda24
            25.04.2018 13:21

            И каждый день термостат перенастраивают.
            Вообще, с этим "умным" домом, мне кажется, народ потерял суть. Все сейчас зачем-то привязывают свои термостаты и выключатели к облакам, чтобы можно было этими выключателями управлять со смартфона. Но это не умный дом, это выключатель/термостат с управлением через смартфон, что, на мой взгляд, дико неудобно. Уж точно термостат для аквариума должен один раз настраиваться и на всю жизнь аквариума или термостата.


            1. antonn
              25.04.2018 14:03

              Я полностью согласен что большинство «фич» являются оверкилом, но может быть там мега-аквариум другого не предоставляет (сам негодовал что не смог разобрать протокол розеток (умные с wi-fi) для написания своего сервера в интранете, вместо облака производителя — нечего ему делать у меня дома). Не только термостат, но и аэратор, кормежка, освещение, подмешивание воды, мониторинг всего дела. Мало ли что вкладывается в понятие «аквариум», особенно если это инсталляция во всю стену, с десятками тонн воды, кучей разных видов живности. Там одна чистка в копеечку влетит, наверняка обслуживание отдано сторонней конторе, которая, в том числе для себя, внедряет это «управляющее облако».


              1. kvazimoda24
                25.04.2018 22:19

                Хорошо, если отдали на аутсорс, то каким образом надо было настроить сеть, чтобы термостат мог пролезть в сеть с критичной инфой? Это прлучается, что контора обслуживающая аквариум имеет полный доступ в сеть казино? Тогда хакеры это мелочь.


        1. tvr
          25.04.2018 13:23

          Ничего не понятно. Зачем аквариуму VPN, что за сервер в Финляндии?


          Управление аквариумом отдано на аутсорс, чего тут непонятного, всё в тренде.
          Ну или рыбкам надоела блокировки информационная замкнутость и они, так же в тренде, пробросили VPN в более открытую информационно среду.


          1. kvazimoda24
            25.04.2018 22:19

            Чуть выше ответил


        1. White_Scorpion
          26.04.2018 11:07

          Да хотя бы для того, чтобы отписать хотя бы кому нибудь о том, что температура в аквариуме понизилась на полградуса из-за чего любимая рыбка владельца казино, купленная по цене казино, может сдохнуть.


        1. KorP
          26.04.2018 13:31

          Вообще, зачем термостату выход в интернет?

          Корм рыбкам заказывал :)


  1. Andrew_Pinkerton
    25.04.2018 10:59
    +4

    Прочитал заголовок, и на мгновение показалось что я уже на Хабре видел похожую статью.
    Нет, не показалось. Вот же она в прошлом году (29 июля 2017)
    GlobalSign_admin вы там хоть проверяйте материал перед публикацией.


    1. bespechny
      26.04.2018 18:05

      Тут картинка красивее, и всё после впечатления не от просто отчета, а от доклада на конференции)
      Ещё и за год отличные сертификаты аутентификации ИоТ придумали и внедрили)
      Опять же — китайцы освоили выпуск термостатов… никому не надо домой?)

      И все недопонимание, скорее всего, от «трудностей перевода»
      Оно не хочет в интернет, а просто умеет жить по вифи)


  1. kartvladek
    25.04.2018 18:42

    А еще через термостат можно смс закинуть и позвонить.


    1. klirichek
      26.04.2018 13:41

      Ну или уху сварить...


  1. dec123
    25.04.2018 22:30

    BMS сети как минимум живут в своем VLAN, как максимум в физически отдельной сети.
    ИМХО если это не утка, то термостату «помогли» изнутри (кто то из сотрудников)


    1. 9660
      26.04.2018 06:48

      Доступ к файлам базы с важной инфой из локальной сети удивляет не менее.


      1. antonn
        26.04.2018 08:35

        Так не обязательно доступ к самим файлам, достаточно попытаться подобрать пароль на учетку с соответствующими привилегиями (о чем вторая часть статьи).


  1. EvilBlueBeaver
    26.04.2018 09:26

    Буква S в аббревиатуре IoT означает Secutiry.


  1. CoreTeamTech
    26.04.2018 11:52

    Больше похоже на то, что владельцы казино таким образом вывели часть средств. Человеческий фактор (криворукость), конечно, тут тоже мог иметь место. Но! Это же казино. Их пытаются обмануть, обокрасть, ограбить, взломать, чуть ли не каждый день.