Comments 6
Да что ж это за набег такой? Какой-то сеошник кинул клич «всем срочно писать про ИИ и роботов с гуманитарной точки зрения»?
Не очень понял смысл статьи (как-то она закончилась резко), но вот мысль понравилась.
Например я — в инет выхожу через time capsul`у, купленную лет 5 назад, прошивку на ней никогда не обновлял, вопрос — чем мне это грозит? Я вроде не далекий от ИТ человек, но ответа не знаю. Что и как с этим сделать? тоже не знаю…
Если реально понадобится — думаю разберусь, обновлю прошивку. Но вот когда до этого руки дойдут — неясно…
Так что, ИМХО, нужно не стандарт придумывать («картинка по 10 стандартов»), а сделать максимально доступной информацию о проблеме и решениях.
Например так. Делаем сайт, на главной список галочек «Каким оборудованием и технологиями вы пользуетесь: роутер, андроид-смартфон, торренты, google chrome, firefox, winows 10,… и т.п. „
Человек отмечает галочки, если нужно что-то уточнят (есть ли брандмаузер и т.п.).
После этого по каждому пункту ему показывают “страшилку» — чем потенциально это грозит. А также пошаговую инструкцию как эту проблему решить. Или хотя бы ссылки на такие инструкции…
Думаю такой сайт бы пользовался большим спросом. Потому, что сейчас люди пытаются как-то защититься, хоть немного, но не всякому хватит терпения разобраться, а потом опыта, чтобы все правильно сделать…
Что думаете? Или подобное уже есть?
Например я — в инет выхожу через time capsul`у, купленную лет 5 назад, прошивку на ней никогда не обновлял, вопрос — чем мне это грозит? Я вроде не далекий от ИТ человек, но ответа не знаю. Что и как с этим сделать? тоже не знаю…
Если реально понадобится — думаю разберусь, обновлю прошивку. Но вот когда до этого руки дойдут — неясно…
Так что, ИМХО, нужно не стандарт придумывать («картинка по 10 стандартов»), а сделать максимально доступной информацию о проблеме и решениях.
Например так. Делаем сайт, на главной список галочек «Каким оборудованием и технологиями вы пользуетесь: роутер, андроид-смартфон, торренты, google chrome, firefox, winows 10,… и т.п. „
Человек отмечает галочки, если нужно что-то уточнят (есть ли брандмаузер и т.п.).
После этого по каждому пункту ему показывают “страшилку» — чем потенциально это грозит. А также пошаговую инструкцию как эту проблему решить. Или хотя бы ссылки на такие инструкции…
Думаю такой сайт бы пользовался большим спросом. Потому, что сейчас люди пытаются как-то защититься, хоть немного, но не всякому хватит терпения разобраться, а потом опыта, чтобы все правильно сделать…
Что думаете? Или подобное уже есть?
Поддерживаю автора. Совсем непонятно, отчего такая негативная реакция.
Тема действительно актуальна. Умный дом и IoT, как его подмножество, является очень критичным ко взлому узлом, так как напрямую может влиять на физическое состояние человека. Например, та же WiFi лампочка, выключенная в определенный момент злоумышленником, может привести к тому, что ничего не подозревающий хозяин лампочки споткнется в темноте и свернет себе шею.
Я сомневаюсь, что многие производители подобных девайсов утруждают себя пентестингом и прочим ИБ. Из-за чего имеется ситуация, что даже объединенные в систему со сложной системой защиты данных, сами периферийные устройства будут сквозить дырами, как печально известные японские умные унитазы.
Насчет стандартов я не могу сказать, так как далек от этого со стороны их создания, но вот хороший сайт-мануал про то, какими могут быть атаки, как защитить свои устройства и сеть, при помощи каких средств это можно сделать, а также списочек «best practices» точно поможет общему делу
Тема действительно актуальна. Умный дом и IoT, как его подмножество, является очень критичным ко взлому узлом, так как напрямую может влиять на физическое состояние человека. Например, та же WiFi лампочка, выключенная в определенный момент злоумышленником, может привести к тому, что ничего не подозревающий хозяин лампочки споткнется в темноте и свернет себе шею.
Я сомневаюсь, что многие производители подобных девайсов утруждают себя пентестингом и прочим ИБ. Из-за чего имеется ситуация, что даже объединенные в систему со сложной системой защиты данных, сами периферийные устройства будут сквозить дырами, как печально известные японские умные унитазы.
Насчет стандартов я не могу сказать, так как далек от этого со стороны их создания, но вот хороший сайт-мануал про то, какими могут быть атаки, как защитить свои устройства и сеть, при помощи каких средств это можно сделать, а также списочек «best practices» точно поможет общему делу
По собственному опыту могу сказать, что да, действительно большинство систем автоматизации как для производства, так и для «умных домов», живут в «идеальном мире». У подавляющего большинства, трафик не шифруется, авторизации нет, у тех у кого есть авторизация, нет защиты от перебора паролей. Хотя есть и системы где это так или иначе решено.
По сути дела из-за того что нет унификации, по автоматизации и «умным домам», злоумышленнику придется серьезно «попотеть» взламывая объект автоматизации. Если коротко, то придется пройти следующие этапы:
1. Проникнуть в локальную сеть. Например, взломав точку доступа или подсунув троянскую программу.
2. Изучить компоненты сети, и отыскать элементы «умного дома». Например, по мак адресам, открытым портам или используя специальные программы, для поиска тех или иных систем автоматизации.
3. Если в системе есть свободно программируемые контроллеры, то чтобы их перепрограммировать, сохранив при этом прежний функционал и интегрировать совой вредоносный, нужно добыть программу, и желательно «исходник». Изучить ее, сделать изменения, и незаметно «залить» на контроллер.
4. Дальше уже использовать в соответствии с коверным планом.
По факту, это требует обширных знаний, массы времени и денег. Хотя есть более простой способ, надо взломать производителя работ, который эту систему установил, как правило, он имеет все: пароли, программы которые были установлены, исходники и карту сети. Как вариант, производителя работ, можно убедить передать нужные материалы. При наличии информации, о том кто производил работы по автоматизации, атаковать объект становиться значительно проще. С другой стороны, если целью атаки будет вывод из строя и/или затруднение работы, то тут задача упрощается до проникновения в локальную сеть объекта. Как показала практика, многие контроллеры можно тупо повесить «пакетами смерти», или создать условия при которых контроллер перестанет отвечать.
Где то год назад, я задавался вопросом, как много систем «умный дом», вполне конкретного производителя, «торчат» в интернете. В общем за один день, методом перебора IP диапазона, мне удалось найти несколько контроллеров, причем у 3 контроллеров, пароля не было совсем. Мало того, я смог скачать программу, и при желании мог залить свою.
По моему скоромному мнению, после того как количество IoT устройств будет существенным, а протоколы будут более менее унифицированы, тогда мы увидим рост «хулиганских» взломов, то есть взломов ради взлома. Пока в IoT будут интегрированы чайники, лампочки, термометры. Говорить о вреде для дома, сложновато. Для того чтобы действительно сделать что то серьезное надо атаковать систему безопасности и энергетические установки (котлы отопления, генераторы). Но даже сейчас, охранные компании, равно как и газовщики о огромным скрипом пускают «умников» в отображение информации о состоянии системы, управлять же разрешают только на уровне установок, с огромными оговорками. Единственное, что реально сейчас поломать, это приводы на разных устройствах, таких как жалюзи, экраны, ворота. Лично знаю о нескольких случаях, когда были «убиты» приводы дорогих экранов, так как детям очень нравилось опускать и понимать экран ради развлечения.
По сути дела из-за того что нет унификации, по автоматизации и «умным домам», злоумышленнику придется серьезно «попотеть» взламывая объект автоматизации. Если коротко, то придется пройти следующие этапы:
1. Проникнуть в локальную сеть. Например, взломав точку доступа или подсунув троянскую программу.
2. Изучить компоненты сети, и отыскать элементы «умного дома». Например, по мак адресам, открытым портам или используя специальные программы, для поиска тех или иных систем автоматизации.
3. Если в системе есть свободно программируемые контроллеры, то чтобы их перепрограммировать, сохранив при этом прежний функционал и интегрировать совой вредоносный, нужно добыть программу, и желательно «исходник». Изучить ее, сделать изменения, и незаметно «залить» на контроллер.
4. Дальше уже использовать в соответствии с коверным планом.
По факту, это требует обширных знаний, массы времени и денег. Хотя есть более простой способ, надо взломать производителя работ, который эту систему установил, как правило, он имеет все: пароли, программы которые были установлены, исходники и карту сети. Как вариант, производителя работ, можно убедить передать нужные материалы. При наличии информации, о том кто производил работы по автоматизации, атаковать объект становиться значительно проще. С другой стороны, если целью атаки будет вывод из строя и/или затруднение работы, то тут задача упрощается до проникновения в локальную сеть объекта. Как показала практика, многие контроллеры можно тупо повесить «пакетами смерти», или создать условия при которых контроллер перестанет отвечать.
Где то год назад, я задавался вопросом, как много систем «умный дом», вполне конкретного производителя, «торчат» в интернете. В общем за один день, методом перебора IP диапазона, мне удалось найти несколько контроллеров, причем у 3 контроллеров, пароля не было совсем. Мало того, я смог скачать программу, и при желании мог залить свою.
По моему скоромному мнению, после того как количество IoT устройств будет существенным, а протоколы будут более менее унифицированы, тогда мы увидим рост «хулиганских» взломов, то есть взломов ради взлома. Пока в IoT будут интегрированы чайники, лампочки, термометры. Говорить о вреде для дома, сложновато. Для того чтобы действительно сделать что то серьезное надо атаковать систему безопасности и энергетические установки (котлы отопления, генераторы). Но даже сейчас, охранные компании, равно как и газовщики о огромным скрипом пускают «умников» в отображение информации о состоянии системы, управлять же разрешают только на уровне установок, с огромными оговорками. Единственное, что реально сейчас поломать, это приводы на разных устройствах, таких как жалюзи, экраны, ворота. Лично знаю о нескольких случаях, когда были «убиты» приводы дорогих экранов, так как детям очень нравилось опускать и понимать экран ради развлечения.
Как обычно это бывает в наших реалиях, сами производители не пошевелятся, пока их не пнут, в нашем случае это (я имею в виду улучшение ситуации с безопасностью) возможно только с помощью государственного аппарата, лицензирование контроль и прочие не очень веселые вещи, которые в лучшем случае для конечного пользователя выливаются в высокие цены, а про худшие реалии типа абсолютного контроля государства над своими и не только подданными… даже думать не хочется.
Хорошим направлением в правильную сторону может быть развитие открытых стандартов не только на софт но и на железо, которое позволит хотя бы технически передать контроль над IoT сетями кому-то другому, отличному от их производителю, и/или во всю использовать взаимозаменяемость компонентов, подмешивая в одной сети компоненты от разных производителей (с разными проблемами безопасности) что значительно повысит стоимость атаки.
p.s. ой какие страшные и веселые вещи нас буду ждать в будущем, и детский лепет с взбесившимися унитазами или игры в pacman на освещении всего города/квартала это будет реально детский лепет.
Хорошим направлением в правильную сторону может быть развитие открытых стандартов не только на софт но и на железо, которое позволит хотя бы технически передать контроль над IoT сетями кому-то другому, отличному от их производителю, и/или во всю использовать взаимозаменяемость компонентов, подмешивая в одной сети компоненты от разных производителей (с разными проблемами безопасности) что значительно повысит стоимость атаки.
p.s. ой какие страшные и веселые вещи нас буду ждать в будущем, и детский лепет с взбесившимися унитазами или игры в pacman на освещении всего города/квартала это будет реально детский лепет.
Sign up to leave a comment.
Того ли мы опасаемся? Что сейчас опаснее — ИИ или IoT?