Такая обеспокоенность не может не радовать — это здорово, что о безопасности мы начинаем задумываться до того, как станет уже поздно. Однако, мы забываем про другой тренд, набирающий обороты — IoT и, в частности, робототехника, уже среди нас. Эти технологии пока не массовые, как смартфоны, но уже реальные, существующие, эксплуатируемые. Однако, что мы имеем на выходе — вопрос обеспечения безопасности в роботах, умных выключателях, видеокамерах и прочих новинках, проникающих в нашу жизнь, лежит исключительно на совести производителя. Нет ни регламентов, ни стандартов, ни минимальных требований защищенности таких устройств, постоянно «смотрящих» в интернет.
Хорошо, если пользователь знаком с информационной безопасностью, понимает, что нужно обновлять прошивки роутера, не использовать дефолтные пароли, использовать где это необходимо и возможно средства защиты от уязвимостей и вирусов. Но представьте себе соседа, который слабо себе представляет, какие угрозы может нести умный тройник, подключенный к его смартфону через роутер, которому настроили этот роутер год назад и он его не касался и в общем то не планирует — ведь работает, зачем что-то менять. Какие последствия может внести в вашу жизнь такое вот незащищенное устройство такого беспечного соседа, оказавшись в зоне внимания злоумышленника.
Абсолютной безопасности не существует, но по моему мнению, чем сложнее что-то сломать, тем обычно меньше находится желающих это сделать. Поэтому стремиться к этому нужно. В настоящее время я начал заниматься сбором best practices в части обеспечения безопасности подобного рода устройств.
Все текущие, известные мне стандарты ИБ можно разделить на общие стандарты, учитывающие специфику промышленных систем, в частности наличие в сети таких элементов, как промышленная система управления и разного рода датчики, и отраслевые стандарты, учитывающие особенности конкретной отрасли.
Все стандарты базируются на стандартах ISO/IEC серии 27000 (либо ISO/IEC 1799, если появились ранее 2007 г.) и используют базовые определения стандарта ISO/IEC 15408. Многие отраслевые стандарты основаны на общих стандартах ISA SP99 и NIST SP800-82. Особое внимание необходимо обратить на стандарт ISA/IEC 62443, который разрабатывается в целях создания стандарта нового поколения на базе ISA99. Однако все эти документы никак не учитывали особенностей IoT и IoR, а особенностей масса.
Поэтому буду рад, если в будущем появятся желающие принять участие в этой работе. Возможно в будущем инициативная группа примет участие в разработке стандарта безопасности в IoT и IoR, так как сейчас есть понимание как это должно происходить и уже есть люди с опытом, правда в части работы над стандартом по обеспечению безопасности автоматизированных банковских систем. Регулятор, отвечающий за направление, конечно другой, но принципы примерно понятны. В общем, надеюсь, что озвученные выше доводы в меньшей степени паранойа и в большей — здравый смысл и прогнозирование и надеюсь, что подобные мысли и желание что-то изменить к лучшему посещает не только меня.
Комментарии (6)
Quiensabe
21.08.2015 21:12+1Не очень понял смысл статьи (как-то она закончилась резко), но вот мысль понравилась.
Например я — в инет выхожу через time capsul`у, купленную лет 5 назад, прошивку на ней никогда не обновлял, вопрос — чем мне это грозит? Я вроде не далекий от ИТ человек, но ответа не знаю. Что и как с этим сделать? тоже не знаю…
Если реально понадобится — думаю разберусь, обновлю прошивку. Но вот когда до этого руки дойдут — неясно…
Так что, ИМХО, нужно не стандарт придумывать («картинка по 10 стандартов»), а сделать максимально доступной информацию о проблеме и решениях.
Например так. Делаем сайт, на главной список галочек «Каким оборудованием и технологиями вы пользуетесь: роутер, андроид-смартфон, торренты, google chrome, firefox, winows 10,… и т.п. „
Человек отмечает галочки, если нужно что-то уточнят (есть ли брандмаузер и т.п.).
После этого по каждому пункту ему показывают “страшилку» — чем потенциально это грозит. А также пошаговую инструкцию как эту проблему решить. Или хотя бы ссылки на такие инструкции…
Думаю такой сайт бы пользовался большим спросом. Потому, что сейчас люди пытаются как-то защититься, хоть немного, но не всякому хватит терпения разобраться, а потом опыта, чтобы все правильно сделать…
Что думаете? Или подобное уже есть?
Color
21.08.2015 23:02+1Поддерживаю автора. Совсем непонятно, отчего такая негативная реакция.
Тема действительно актуальна. Умный дом и IoT, как его подмножество, является очень критичным ко взлому узлом, так как напрямую может влиять на физическое состояние человека. Например, та же WiFi лампочка, выключенная в определенный момент злоумышленником, может привести к тому, что ничего не подозревающий хозяин лампочки споткнется в темноте и свернет себе шею.
Я сомневаюсь, что многие производители подобных девайсов утруждают себя пентестингом и прочим ИБ. Из-за чего имеется ситуация, что даже объединенные в систему со сложной системой защиты данных, сами периферийные устройства будут сквозить дырами, как печально известные японские умные унитазы.
Насчет стандартов я не могу сказать, так как далек от этого со стороны их создания, но вот хороший сайт-мануал про то, какими могут быть атаки, как защитить свои устройства и сеть, при помощи каких средств это можно сделать, а также списочек «best practices» точно поможет общему делуcesium
22.08.2015 09:57По собственному опыту могу сказать, что да, действительно большинство систем автоматизации как для производства, так и для «умных домов», живут в «идеальном мире». У подавляющего большинства, трафик не шифруется, авторизации нет, у тех у кого есть авторизация, нет защиты от перебора паролей. Хотя есть и системы где это так или иначе решено.
По сути дела из-за того что нет унификации, по автоматизации и «умным домам», злоумышленнику придется серьезно «попотеть» взламывая объект автоматизации. Если коротко, то придется пройти следующие этапы:
1. Проникнуть в локальную сеть. Например, взломав точку доступа или подсунув троянскую программу.
2. Изучить компоненты сети, и отыскать элементы «умного дома». Например, по мак адресам, открытым портам или используя специальные программы, для поиска тех или иных систем автоматизации.
3. Если в системе есть свободно программируемые контроллеры, то чтобы их перепрограммировать, сохранив при этом прежний функционал и интегрировать совой вредоносный, нужно добыть программу, и желательно «исходник». Изучить ее, сделать изменения, и незаметно «залить» на контроллер.
4. Дальше уже использовать в соответствии с коверным планом.
По факту, это требует обширных знаний, массы времени и денег. Хотя есть более простой способ, надо взломать производителя работ, который эту систему установил, как правило, он имеет все: пароли, программы которые были установлены, исходники и карту сети. Как вариант, производителя работ, можно убедить передать нужные материалы. При наличии информации, о том кто производил работы по автоматизации, атаковать объект становиться значительно проще. С другой стороны, если целью атаки будет вывод из строя и/или затруднение работы, то тут задача упрощается до проникновения в локальную сеть объекта. Как показала практика, многие контроллеры можно тупо повесить «пакетами смерти», или создать условия при которых контроллер перестанет отвечать.
Где то год назад, я задавался вопросом, как много систем «умный дом», вполне конкретного производителя, «торчат» в интернете. В общем за один день, методом перебора IP диапазона, мне удалось найти несколько контроллеров, причем у 3 контроллеров, пароля не было совсем. Мало того, я смог скачать программу, и при желании мог залить свою.
По моему скоромному мнению, после того как количество IoT устройств будет существенным, а протоколы будут более менее унифицированы, тогда мы увидим рост «хулиганских» взломов, то есть взломов ради взлома. Пока в IoT будут интегрированы чайники, лампочки, термометры. Говорить о вреде для дома, сложновато. Для того чтобы действительно сделать что то серьезное надо атаковать систему безопасности и энергетические установки (котлы отопления, генераторы). Но даже сейчас, охранные компании, равно как и газовщики о огромным скрипом пускают «умников» в отображение информации о состоянии системы, управлять же разрешают только на уровне установок, с огромными оговорками. Единственное, что реально сейчас поломать, это приводы на разных устройствах, таких как жалюзи, экраны, ворота. Лично знаю о нескольких случаях, когда были «убиты» приводы дорогих экранов, так как детям очень нравилось опускать и понимать экран ради развлечения.
rPman
21.08.2015 23:12Как обычно это бывает в наших реалиях, сами производители не пошевелятся, пока их не пнут, в нашем случае это (я имею в виду улучшение ситуации с безопасностью) возможно только с помощью государственного аппарата, лицензирование контроль и прочие не очень веселые вещи, которые в лучшем случае для конечного пользователя выливаются в высокие цены, а про худшие реалии типа абсолютного контроля государства над своими и не только подданными… даже думать не хочется.
Хорошим направлением в правильную сторону может быть развитие открытых стандартов не только на софт но и на железо, которое позволит хотя бы технически передать контроль над IoT сетями кому-то другому, отличному от их производителю, и/или во всю использовать взаимозаменяемость компонентов, подмешивая в одной сети компоненты от разных производителей (с разными проблемами безопасности) что значительно повысит стоимость атаки.
p.s. ой какие страшные и веселые вещи нас буду ждать в будущем, и детский лепет с взбесившимися унитазами или игры в pacman на освещении всего города/квартала это будет реально детский лепет.
amarao
Да что ж это за набег такой? Какой-то сеошник кинул клич «всем срочно писать про ИИ и роботов с гуманитарной точки зрения»?
Robotofob
Вообще в статье писал про безопасность в IoT (Internet of Things, интернет вещей то бишь). А про ИИ и про роботов тут по паре предложений. Но если после прочтения у Вас осталось такое мнение, возможно действительно что-то пошло не так))