«Интернет вещей» — это не только резко поумневшие предметы вокруг нас. Это еще и примерно миллиард потенциальных уязвимостей во всех этих умных чайниках, кофеварках и тапочках. И способов испортить нам жизнь, эксплуатируя эти уязвимости, довольно много. Предлагаем вспомнить несколько наиболее пугающих. Чтоб променад мимо электрочайника был страшным не только ночью, но и днем.
Ring Home. Опасность дома
Видеокамера, постоянно подключенная к интернету и способная бесшумно начать съемку в любой момент. Не правда ли, звучит как социальный эксперимент для бесстрашных людей без комплексов? Казалось бы, хороший способ успокоить своего внутреннего параноика — использовать решение от известной компании. Что страшного может случиться, если вы используете решение Ring Home от FAANG (а это решение разработано именно Amazon)? Случилось аж две страшных вещи.
Во-первых, Android-приложение камеры передавало пользовательские данные — имена, IP-адреса и сетевые данные — через сторонние трекеры. Во-вторых, злоумышленникам удалось взломать системы дверных замков и систему домашнего мониторинга. Причем довольно очевидным, «дедовским» способом. Для этого они нашли учетные записи со стандартными и предсказуемыми учетными данными. Получив доступ к устройствам, они даже словесно домогались до своих жертв. О таких случаях сообщило 30 человек из 15 семей.
С одной стороны, здесь нет прямой вины Amazon. Причина в том, что конкретные пользователи не создали надежные имена и пароли своих учетных данных. С другой стороны, такая ситуация точно не должна быть сюрпризом ни для кого, и большие компании точно должны быть в состоянии что-то с ней сделать.
После инцидента Amazon разослала всем пользователям настоятельные рекомендации использовать надежные пароли, регулярно их менять, подключить двухфакторную аутентификацию, а также не делиться своими учетными записями нигде.
IoT — тема не только пугающая, но и интересная. Вот несколько текстов в блоге Selectel, которые рассказывают, как использовать силу IoT исключительно в мирных и добрых целях.
Nortek Control. Опасность на работе
Разумеется, стоит вам выйти из дома, и количество потенциальных опасностей резко возрастет. И самое очевидное место для «чего-то плохого» — это офис. В мае 2019 года компания с прекрасным названием Applied Risk нашла 10 уязвимостей в устройствах системы контроля доступа к помещениям Nortek Linear eMerge.
Они позволяли злоумышленникам получать доступ к учетным данным, произвольно открывать и запирать двери, а также выводить оборудование из строя. Что характерно, компания не посчитала эту проблему серьезной и сначала предпочла не замечать ее, несмотря на то, что количество обращений исчислялось десятками тысяч, более чем в ста странах.
St Jude Medical. Опасность на больничной койке
Вопрос, который висит в воздухе с самого начала этого текста: а можно ли убить, используя уязвимости IoT? Ответ достаточно очевиден (приготовьтесь услышать ожидаемое и страшное). Да, можно. В 2017 году американское Управление по санитарному надзору за качеством пищевых продуктов и медикаментов (FDA) заявило, что кардиостимуляторы компании St. Jude Medical имеют уязвимости, которые могут позволить хакеру получить доступ к устройству.
Есть возможность разрядить батарею или изменить мощность прибора. Компания отреагировала быстро и автоматически обновила прошивку на устройствах. FDA отдельно заявило, что ни один пациент не пострадал в результате этой уязвимости.
Стоит отметить, что этому событию предшествовал судебный процесс между St. Jude Medical и исследовательской компанией Muddy Waters. Ранее она заявляла о существовании такой уязвимости, однако получила от производителя кардиостимуляторов лишь иск в суд. Достаточно веский повод задуматься, насколько на самом деле для больших компаний важна ваша безопасность и ваша жизнь.
Mirai. Опасность от вашего тостера
Один из самых знаменитых ботнетов, который даже несет в себе своеобразную идейную составляющую. Алгоритм его работы достаточно стандартный: он атакует сетевые устройства под управлением Linux, превращая их в свою персональную DDoS-армию. Зараженные устройства постоянно сканируют интернет на предмет доступных IP-адресов, однако существует диапазон IP, которые он заражать не будет. Это, в частности, адреса Почтовой службы США и Пентагона.
Впервые он был обнаружен в 2016 году — живучесть и богатая биография ботнета просто удивляет. Он использовался в ходе атаки на провайдера Dyn (это привело к падению GitHub, Twitter, Reddit, Netflix, Airbnb и других), французского провайдера OVH и многих других атак. В буквальном переводе с японского Mirai значит «будущее», по одной из версий он был назван в честь телевизионного аниме-сериала 2011 года Mirai Nikki. Всего же было заражено более полумиллиона устройств по всему миру.
Изначально Mirai использовался создателями для DDoS-атак на серверы Minecraft и компании, предлагающие DDoS-защиту. Цель была предсказуемая — вымогательство. После того, как создатели Mirai опубликовали его исходный код, он начал распространяться как настоящий вирус — появилось множество его модификаций. Последняя из них (Mozi) была задокументирована в этом году.
Этот ботнет стал лучшей наглядной демонстрацией серьезной проблемы — избытка IoT-устройств, которые никак не защищены.
Что можно сделать
Многие IoT-устройства не имеют встроенной защиты от злоумышленников, и эта задача перекладывается непонятно на кого — то ли на покупателей, то ли на администраторов сетей, в которых эти устройства будут работать. Как результат — за безопасность отвечает «никто». Так как устройства IoT разрабатываются с учетом простоты использования, они теоретически могут быть защищены на момент покупки, но становятся уязвимыми, когда хакеры находят новые проблемы безопасности или ошибки.
В 2020 году в мире работало почти 27 миллиардов активных IoT-устройств, ожидается, что к 2025 году их число вырастет до 75 миллиардов. По статистике, у 84 % компаний есть проблемы с обеспечением безопасности для них. Таким образом, можно считать, что на сегодняшний день в мире существует примерно 22 миллиарда способов причинить вам неприятности разной степени тяжести.
Судя по всему, это тот случай, когда проблема не исчезнет сама по себе, без законодательных действий «сверху». И в некоторых странах уже начали активно действовать. Так, в американских штатах Калифорния и Орегон уже приняты законы, обязывающие производителей IoT-устройств снабжать их «разумными средствами безопасности». Это, например, уникальные пароли, регулярные обновления безопасности и раскрытие уязвимостей.
А Европейское агентство по сетевой и информационной безопасности (ENISA) опубликовало руководство по обеспечению информационной безопасности в течение всей производственной цепочки IoT-устройств. Таким образом, безопасность при использовании «интернета вещей» — дело времени. Если к тому времени не появятся новые пугающие угрозы, конечно.
