OWASP ТОП-10 уязвимостей IoT-устройств



    К концу 2018 года количество подключенных IoT-устройств превысило 22 миллиарда. Из 7,6 миллиардов человек на Земле у 4 миллиардов есть доступ к интернету. Получается, что на каждого человека приходится по 5,5 устройств интернета вещей.

    В среднем между временем подключения устройства IoT к сети и временем первой атаки проходит около 5 минут. Причем большая часть атак на «умные» устройства происходит автоматизированно.

    Разумеется, такая печальная статистика не могла оставить равнодушными специалистов в области кибербезопасности. Международная некоммерческая организация OWASP (Open Web Application Security Project) озаботилась безопасностью интернета вещей еще в 2014 году, выпустив первую версию «OWASP Top 10 IoT». Обновленная версия «ТОП-10 уязвимостей устройств интернета вещей» с актуализированными угрозами вышла в 2018 году. Этот проект призван помочь производителям, разработчикам и потребителям понять проблемы безопасности IoT и принимать более взвешенные решения в области ИБ при создании экосистем интернета вещей.

    10. Недостаточная физическая безопасность



    Отсутствие мер по физической защите, позволяющее потенциальным злоумышленникам получить конфиденциальную информацию, которая в будущем может помочь реализовать удаленную атаку или получить локальный контроль над устройством.

    Одна из проблем безопасности экосистемы IoT заключается в том, что ее компоненты распределены в пространстве и часто устанавливаются в публичных или незащищенных местах. Это дает возможность злоумышленникам получить доступ к устройству и взять его под контроль локально или использовать для доступа к остальной сети.

    Атакующий может скопировать настройки (IP-сеть, MAC-адрес и т.д.) и поставить свое устройство взамен исходного для прослушивания или снижения производительности сети. Он может взломать RFID-считыватель, установить аппаратную закладку, заразить вредоносным ПО, украсть нужные данные или просто физически вывести устройство IoT из строя.

    Решение данной проблемы одно – усложнить физический доступ к устройствам. Их можно устанавливать на защищенных площадках, на высоте или использовать антивандальные защищенные шкафы.

    9. Небезопасные настройки по умолчанию



    Устройства или системы поставляются с небезопасными настройками по умолчанию или не имеют возможности сделать систему более безопасной, ограничивая пользователей в изменении конфигурации.

    Любой производитель хочет заработать больше и потратить меньше. В устройстве может быть реализовано много умных функций, но при этом не обеспечена возможность конфигурации безопасности.

    Например, не поддерживается проверка паролей на надежность, отсутствует возможность создавать учетные записи с различными правами – администратора и пользователей, нет настройки параметров шифрования, логирования и оповещения пользователей о событиях безопасности.

    8. Отсутствие возможности управлять устройством



    Отсутствие поддержки безопасности на устройствах, развернутых в производстве, включая управление активами, управление обновлениями, безопасный вывод из эксплуатации, мониторинг систем и реагирование.

    Устройства IoT чаще всего представляют собой «черный ящик». В них не реализована возможность следить за состоянием работы, идентифицировать, какие службы запущены и с чем взаимодействуют.

    Не все производители дают пользователям IoT-устройств полностью управлять операционной системой и запущенными приложениями, а также проверять целостность и легитимность загруженного ПО или устанавливать патчи обновления на ОС.

    Во время атак прошивка устройства может быть переконфигурирована так, что починить его можно будет, только полностью перепрошив устройство. Подобным недостатком воспользовалось, например, вредоносное ПО Silex.

    Решением этих проблем может стать использование специализированного ПО для управления устройствами интернета вещей, например, облачных решений AWS, Google, IBM и т.д.

    7. Небезопасная передача и хранение данных



    Отсутствие шифрования или контроля доступа к конфиденциальным данным в любом месте экосистемы, в том числе при хранении, при передаче или во время обработки.

    Устройства интернета вещей собирают и хранят данные об окружающей среде, в том числе различную персональную информацию. Скомпрометированный пароль можно заменить, а украденные данные с биометрического устройства – отпечаток пальцев, сетчатка глаза, биометрия лица – нет.

    В то же время IoT-устройства могут не только хранить у себя данные в незашифрованном виде, но также передавать их по сети. Если передачу данных в открытом виде по локальной сети можно хоть как-то объяснить, то в случае беспроводной сети или передачи через интернет они могут стать достоянием кого угодно.

    Сам пользователь может использовать безопасные каналы связи для передачи данных, но шифрованием хранимых паролей, биометрических и других важных данных должен озаботиться производитель устройств.

    6. Недостаточная защита конфиденциальности



    Личная информация пользователя, хранящаяся на устройстве или в экосистеме, которая используется небезопасно, ненадлежащим образом или без разрешения.

    Этот пункт ТОП-10 перекликается с предыдущим: все личные данные должны храниться и передаваться в защищенном виде. Но данный пункт рассматривает приватность в более глубоком смысле, а именно с точки зрения защиты тайны частной жизни.

    IoT-устройства собирают информацию о том, что и кто их окружает, в том числе это касается и ничего не подозревающих людей. Украденные или неправильно обработанные данные о пользователе могут как ненамеренно дискредитировать человека (например, когда неправильно настроенные дорожные камеры разоблачали неверных супругов), так и использоваться при шантаже.

    Для решения проблемы необходимо точно знать, какие данные собираются устройством IoT, мобильным приложением и облачными интерфейсами.

    Нужно убедиться, что собираются только необходимые для функционирования устройства данные, проверить, есть ли разрешение на хранение персональных данных и защищены ли они, а также прописаны ли политики хранения данных. Иначе, при несоблюдении этих условий, у пользователя могут возникнуть проблемы с законодательством.

    5. Использование небезопасных или устаревших компонентов



    Использование устаревших или небезопасных программных компонентов или библиотек, которые могут позволить скомпрометировать устройство. Это включает небезопасную настройку платформ операционной системы и использование сторонних программных или аппаратных компонентов из скомпрометированной цепочки поставок.

    Один уязвимый компонент может свести на нет всю настроенную безопасность.
    В начале 2019 года эксперт Пол Маррапиз выявил уязвимости в P2P-утилите iLnkP2P, которая установлена более чем на 2 миллионах устройств, подключенных к сети: IP-камерах, радионянях, умных дверных звонках, видеорегистраторах.
    Первая уязвимость CVE-2019-11219 позволяет атакующему идентифицировать устройство, вторая – уязвимость аутентификации в iLnkP2P CVE-2019-11220 – перехватывать трафик в открытом виде, включая видеостримы и пароли.

    В течение нескольких месяцев Пол трижды обращался к производителю и дважды к разработчику утилиты, но так и не получил ответа от них.

    Решение данной проблемы – следить за выходом патчей безопасности и обновлять устройство, а если они не выходят… сменить производителя.

    4. Отсутствие безопасных механизмов обновления



    Отсутствие возможности безопасного обновления устройства. Это включает в себя отсутствие валидации прошивки на устройстве, отсутствие безопасной доставки (без шифрования при передаче), отсутствие механизмов предотвращения отката и отсутствие уведомлений об изменениях безопасности из-за обновлений.

    Отсутствие возможности обновления устройства само по себе является слабым местом безопасности. Невозможность установить обновление означает, что устройства в течение неопределенного времени остаются уязвимыми.

    Но кроме того, само обновление и прошивка также могут быть небезопасными. Например, если для получения ПО не используются зашифрованные каналы, файл обновления не зашифрован или не проверен на целостность перед установкой, отсутствует антиоткатная защита (защита от возврата к предыдущей, более уязвимой версии) или отсутствуют уведомления об изменениях безопасности из-за обновлений.

    Решение данной проблемы также на стороне производителя. Но вы можете проверить, способно ли ваше устройство вообще обновляться. Убедитесь, что файлы обновления загружаются с проверенного сервера по зашифрованному каналу, и что ваше устройство использует безопасную архитектуру установки обновления.

    3. Небезопасные интерфейсы экосистемы



    Небезопасный веб-интерфейс, API, облачные или мобильные интерфейсы в экосистеме вне устройства, что позволяет компрометировать устройство или связанные с ним компоненты. Общие проблемы включают в себя отсутствие аутентификации или авторизации, отсутствие или слабое шифрование, а также отсутствие фильтрации ввода и вывода.

    Использование небезопасных веб-интерфейсов, API, облачных и мобильных интерфейсов позволяет скомпрометировать устройство или связанные с ним компоненты даже без подключения к нему.

    Например, Barracuda Labs провела анализ мобильного приложения и веб-интерфейса одной из «умных» камер и нашла уязвимости, позволяющие получить пароль к устройству интернета вещей:

    • Мобильное приложение игнорировало действительность сертификата сервера.
    • Веб-приложение было уязвимо к межсайтовому скриптингу.
    • Был возможен обход файлов на облачном сервере.
    • Обновления устройства не были защищены.
    • Устройство игнорировало действительность сертификата сервера.

    Для защиты необходимо менять пользователя и пароль по умолчанию, убедиться, что веб-интерфейс не подвержен межсайтовому скриптингу, SQL-инъекциям или CSRF-атакам.
    Также должна быть реализована защита от атаки на пароли методом перебора. Например, после трех попыток неверного ввода пароля аккаунт должен блокироваться и позволять восстановить пароль только через аппаратный сброс.

    2. Небезопасные сетевые сервисы



    Ненужные или небезопасные сетевые службы, запущенные на самом устройстве, особенно открытые для внешней сети, ставящие под угрозу конфиденциальность, целостность, подлинность, доступность информации или допускающие несанкционированное удаленное управление.

    Ненужные или небезопасные сетевые службы ставят под угрозу безопасность устройства, особенно если они имеют доступ к интернету.

    Небезопасные сетевые службы могут быть подвержены атакам переполнения буфера и DDoS-атакам. Открытые сетевые порты могут быть просканированы на наличие уязвимостей и небезопасных служб для подключения.

    Одними из самых популярных векторов атак и заражения устройств IoT до сих пор являются перебор паролей на не отключённых службах Telnet и на SSH. После получения доступа к этим службам злоумышленники могут загрузить на устройство вредоносное ПО или получить доступ к ценной информации.

    Сервис % атак
    Telnet 75,40%
    SSH 11,59%
    Другое 13,01%

    1. Слабый, угадываемый или жестко заданный пароль



    Использование легко взламываемых, общедоступных или неизменяемых учетных данных, включая бэкдоры во встроенном программном обеспечении или клиентском программном обеспечении, которое предоставляет несанкционированный доступ к развернутым системам.

    Удивительно, но до их пор самой большой уязвимостью является использование слабых паролей, паролей по умолчанию или паролей, слитых в сеть.
    Несмотря на очевидность необходимости использования сильного пароля, некоторые пользователи до сих пор не меняют пароли по умолчанию. Этим в июне 2019 года воспользовалось вредоносное ПО Silex, которое в течение одного часа превратило в «кирпич» около 2000 устройств интернета вещей.
    А до этого известный всем ботнет и червь Mirai успел заразить 600 тысяч устройств интернета вещей, используя базу из 61 стандартных связок логин-пароль.

    Решение – менять пароль!

    Выводы

    Когда пользователи приобретают устройства интернета вещей, они задумываются прежде всего об их «умных» возможностях, а не о безопасности.

    Ведь точно так же, покупая автомобиль или микроволновку, мы надеемся, что устройство «безопасно по дизайну» для использования.

    До тех пор, пока безопасность IoT не будет регулироваться законодательством (пока что такие законы только в процессе зарождения), производители не будут тратить на нее лишние деньги.
    Получается, единственный способ мотивировать производителя – не покупать уязвимые устройства.

    И для этого нам надо… задуматься об их безопасности.
    Инфосистемы Джет
    144,46
    Системный интегратор
    Поделиться публикацией

    Комментарии 5

      +5
      Фотки из статьи сделали мой день! ;)

      Отгрузите ще плиз :)
        +3
        Спасибо за поддержку! Обязательно :)

        +2
        Да, все причины известны, но подача, и оформление графическое — это нечто!

        ps Картинки забрал, отнесу главному инженеру, они ему очень понравятся.
          +2
          мне одному кажется что правила безопасности уже пора на уровень законов переводить, чтоб не было ковбойского стиля и каждый делал как умеет, а чтоб делали все как надо, а то плодят ноды для ботсетей, тырят инфу, а заставить чтото исправить практически никак, и если украдут что-то то и не виноват никто
            +1
            Да, подобные регулирующие законы разрабатываются в США и Великобритании. Многие считают, что это будет отправной точкой для международной практики. В любом случае, сдвиг есть :)

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое