Аквариум у входа в отель-казино Silverton в Лас-Вегасе (примерно такой находился в казино, которое подверглось взлому)
Если нужно проникнуть в локальную сеть хорошо защищённого казино — что вы предпримете на месте хакера? Постараетесь узнать пароли пользователей и админа? Достанете биографические сведения о сотрудниках, разошлёте им личные письма от имени родственников с персональными аттачментами, которые они обязательно откроют — и поставят себе трояна? Просканируете серверные порты, выставленные наружу? Да, эти методы были эффективны для таргетированных атак в прошлом. Некоторые эффективны и сейчас. Но проблема в том, что компьютерная инфраструктура готова к отражению именно таких атак. Отдел безопасности давно внедрил авторизацию через криптографические токены, так что админский пароль вам ничего не даст.
Поэтому хакеры ищут новые векторы атак. Огромное подспорье оказывают устройства интернета вещей (IoT). На первый взгляд это безобидные девайсы: беспроводные термостаты, датчики температуры и контроллеры освещения, интеллектуальные счётчики, камеры видеонаблюдения, «умные» кондиционеры и многие другие устройства, подключенные по беспроводной связи к локальной сети и управляемые удалённо. Через них и происходит проникновение. Это не теоретическая, а вполне реальная угроза. Более того, иногда в прессу просачиваются истории успешных взломов, которые состоялись как раз по такому сценарию.
Исполнительный директор компании Darktrace, которая специализируется на информационной безопасности, Николь Иган (Nicole Eagan) недавно рассказала посетителям лондонской конференции WSJ CEO Council Conference об одном таком случае.
Хакерам удалось проникнуть в локальную сеть казино и скопировать базу данных хайроллеров (VIP-игроки на высоких ставках). Эта база составляет коммерческую тайну и имеет исключительную ценность для конкурентов. Возможно, операцию заказали как раз-таки конкуренты, чтобы переманить к себе самых богатых клиентов.
По словам специалиста, злоумышленники получили доступ в сеть через беспроводной термостат, установленный в аквариуме на входе в казино. «Нападавшие использовали это, чтобы закрепиться в системе, — сказала Николь Иган. — Затем нашли базу данных хайроллеров и вытянули её из сети».
На конференции вместе с Иган выступал Роберт Ханниган (Robert Hannigan), руководитель британского разведывательного агентства GCHQ в 2014-2017 годы. Он согласился, что атаки через устройства IoT становятся всё большей проблемой для компаний: «Интернет вещей порождает тысячи новых устройств. В ближайшие годы их запихнут в интернет, что усложняет ситуацию. Я видел банк, который взломали через камеры видеонаблюдения, потому что эти устройства покупались исключительно из-за низкой стоимости».
Главная беда — пароли по умолчанию
Роберт Ханниган считает, что для устройств интернета вещей следует принять минимальные стандарты безопасности, потому что рынок не способен отрегулировать себя самостоятельно рыночными методами. Но даже если это и произойдёт, то впереди ещё несколько лет «хаоса», когда каждый будет защищать себя как может. В течение этого времени у хакеров будет много относительно простых способов взлома.
Недавно исследователи из Университета Бен-Гуриона (Израиль) опубликовали статью, в которой проанализировали основные уязвимости в домашних «умных» устройствах. Они купили 16 популярных коммерческих гаджетов — и изучили, насколько легко их взломать. Результаты неутешительные: для 14 из 16 устройств удалось подобрать пароль и подключить гаджет к ботнету быстрее чем за 30 минут. Изначально исследователи планировали разбирать приборы и искать слабые места в защите, но выяснилось, что это не нужно. В подавляющем большинстве случаев проще всего оказалось подобрать пароль, установленный по умолчанию.
Как выяснилось, в большинстве гаджетов для массового рынка установлены простые пароли по умолчанию, которые пользователи редко меняют. Вполне возможно, что история с термостатом в аквариуме казино — как раз такой случай. Возможно, владельцы казино не позаботились о надёжной аутентификации термостата в сети через защищённую платформу PKI для IoT с использованием модулей аппаратного шифрования.
Специалисты дают такие советы по базовой безопасности интернета вещей:
- Покупать устройства IoT только от надёжных производителей и вендоров.
- Избегать бывших в использовании устройств.
- Собрать в онлайне информацию по каждому устройству — узнать, известен ли пароль по умолчанию для него.
- Установить сильный пароль минимум из 16-ти символов.
- Не использовать повторно одни и те же пароли.
- Регулярно обновлять программное обеспечение.
- Внимательно рассмотреть преимущества и риски подключения устройства к интернету.
Пароль по умолчанию — не единственная точка отказа в системе безопасности при использовании устройств IoT. Злоумышленники могут воспользоваться также уязвимостями в приложениях, через которые осуществляется удалённое управление. Например, несанкционированный доступ к роботу-пылесосу позволяет провести полноценную видеоэкскурсию по дому жертвы.
Наверняка в ближайшее время мы услышим ещё немало новостей о таких интересных взломах, как кража базы данных казино через термостат в аквариуме.
Комментарии (22)
Andrew_Pinkerton
25.04.2018 10:59+4Прочитал заголовок, и на мгновение показалось что я уже на Хабре видел похожую статью.
Нет, не показалось. Вот же она в прошлом году (29 июля 2017)
GlobalSign_admin вы там хоть проверяйте материал перед публикацией.bespechny
26.04.2018 18:05Тут картинка красивее, и всё после впечатления не от просто отчета, а от доклада на конференции)
Ещё и за год отличные сертификаты аутентификации ИоТ придумали и внедрили)
Опять же — китайцы освоили выпуск термостатов… никому не надо домой?)
И все недопонимание, скорее всего, от «трудностей перевода»
Оно не хочет в интернет, а просто умеет жить по вифи)
dec123
25.04.2018 22:30BMS сети как минимум живут в своем VLAN, как максимум в физически отдельной сети.
ИМХО если это не утка, то термостату «помогли» изнутри (кто то из сотрудников)
CoreTeamTech
26.04.2018 11:52Больше похоже на то, что владельцы казино таким образом вывели часть средств. Человеческий фактор (криворукость), конечно, тут тоже мог иметь место. Но! Это же казино. Их пытаются обмануть, обокрасть, ограбить, взломать, чуть ли не каждый день.
kvazimoda24
Эм… А почему термостат был в общей сети казино, почему админы не изолировали все подобные термостаты и прочие климат контроли в отдельную сетку? Мне кажется, управляемый коммутатор на фоне только этого одного термостата стоит копейки.
antonn
Из ссылки ниже:
Жаль что подробностей крайне мало, на ум приходит только криворукая настройка сети, чем и воспользовались злоумышленники.
kvazimoda24
Ничего не понятно. Зачем аквариуму VPN, что за сервер в Финляндии? Вообще, зачем термостату выход в интернет?
sirocco
Как зачем выход в интернет? Сейчас тенденция такая, всем выход в интернет нужен. Чтоб логи и статистику хранить, чтоб работать по хитрым сценариям которые бы легко задавались, обновлять прошивку… У меня сейчас весы в интернет просятся, выключатели sonoff, почти все девайсы умного дома от Xiaomi. И ко всему прочему производитель так распорядился, что все они хотя ещё много чего, например доступ к местоположению и т.д.
kvazimoda24
Вот я и не понимаю, зачем им всем интернет. Когда контроллер умного дома хочет в инет, я ещё могу понять, но термостат… И даже то, что термостат полез в инет, непонятно, как он пролез к важной информации казино. Но тут уже действительно, скорее всего, косяк админов, что сеть криво настроили.
antonn
Возможно аквариум со своей инфраструктурой, типа умных розеток, которые управляются через свой сервер со смартфона. Может они рыбок кормят из приложения на смартфоне :)
kvazimoda24
И каждый день термостат перенастраивают.
Вообще, с этим "умным" домом, мне кажется, народ потерял суть. Все сейчас зачем-то привязывают свои термостаты и выключатели к облакам, чтобы можно было этими выключателями управлять со смартфона. Но это не умный дом, это выключатель/термостат с управлением через смартфон, что, на мой взгляд, дико неудобно. Уж точно термостат для аквариума должен один раз настраиваться и на всю жизнь аквариума или термостата.
antonn
Я полностью согласен что большинство «фич» являются оверкилом, но может быть там мега-аквариум другого не предоставляет (сам негодовал что не смог разобрать протокол розеток (умные с wi-fi) для написания своего сервера в интранете, вместо облака производителя — нечего ему делать у меня дома). Не только термостат, но и аэратор, кормежка, освещение, подмешивание воды, мониторинг всего дела. Мало ли что вкладывается в понятие «аквариум», особенно если это инсталляция во всю стену, с десятками тонн воды, кучей разных видов живности. Там одна чистка в копеечку влетит, наверняка обслуживание отдано сторонней конторе, которая, в том числе для себя, внедряет это «управляющее облако».
kvazimoda24
Хорошо, если отдали на аутсорс, то каким образом надо было настроить сеть, чтобы термостат мог пролезть в сеть с критичной инфой? Это прлучается, что контора обслуживающая аквариум имеет полный доступ в сеть казино? Тогда хакеры это мелочь.
tvr
Управление аквариумом отдано на аутсорс, чего тут непонятного, всё в тренде.
Ну или рыбкам надоела
блокировкиинформационная замкнутость и они, так же в тренде, пробросили VPN в более открытую информационно среду.kvazimoda24
Чуть выше ответил
White_Scorpion
Да хотя бы для того, чтобы отписать хотя бы кому нибудь о том, что температура в аквариуме понизилась на полградуса из-за чего любимая рыбка владельца казино, купленная по цене казино, может сдохнуть.
KorP
Корм рыбкам заказывал :)