Не выбрасывайте умные лампочки в мусор, или опасность IoT



    По оценкам аналитиков GlobalData, объем рынка IoT-решений в прошлом году составил около $130 млрд. К 2023 году этот показатель вырастет почти в три раза, до $318 млрд. Ежегодный рост (GAGR) составляет сейчас около 20%. Объем же подключенных устройств к 2020 году составит 20-50 млрд штук.

    К сожалению, умные гаджеты плохо защищены от взлома. Многие из них содержат вшитые учетные данные, уязвимости, легко обнаруживаемые и эксплуатируемые злоумышленниками. Пример: быстрое распространение Mirai. И сейчас атаки всё ещё продолжаются, благодаря свежей инкарнации зловреда.

    Подсчитано, что ущерб, причиненненый глобальной экономике ботнетами, составил в прошлом году $110 млрд.

    Немного о ботнетах


    image

    Кроме Mirai, сейчас актуальны BetaBot, TrickBot, Panda, Ramnit. Они постепенно заражают все больше умных устройств и представляют собой опасность как для бизнеса, так и для государства.

    Убытки бизнеса, вызванные деятельностью зловредов могут быть очень большими. Ботнет в состоянии полностью заблокировать работу сервисов какой-либо компании, что приведет к вынужденному простою. В этом случае убытки составляют в среднем $100 000. Еще больше компании придется потратить на ликвидацию последствий взлома.

    Также зловред может атаковать сети компаний для кражи корпоративных данных: логины и пароли сотрудников, финансовая информация, технологические разработки. Действовать ботнет может по-разному, включая перехват нажатий клавиш.

    К сожалению, опасны не только зловреды, но и сами по себе умные устройства.

    Умные гаджеты — почему они опасны?


    Умные устройства представляют опасность для бизнеса или частного лица даже тогда, когда они уже выброшены и находятся в мусорном контейнере. В некоторых из них хранится информация о доступе к локальным беспроводным сетям и другие данные. И если раньше взломщики охотились за записями и накопителями, которые выбрасывают сотрудники разных компаний, то сейчас может начаться охота и за IoT системами.

    Умные лампочки

    Специалисты компании Limited Results изучили несколько популярных моделей умных ламп. Команда исследователей приобрела новую лампочку LIFX, подключила ее к беспроводной сети. Затем лампочку выключили и разобрали.



    После загрузки данных, хранящихся на лампочке, оказалось, что в дампе есть доступы от WiFi сети, к которой устройство подключили после покупки. Данные хранились в открытом виде. Доступны оказались даже корневой сертификат и частный RSA-ключ.

    И проблемы не только у LIFX, данные загружали и из других умных лампочек. Вероятно, если бы исследователи проанализировали умные камеры, замки, глазки и т.п., ситуация оказалась бы примерно такой же.

    Термостаты



    В прошлом году широкую известность получил взлом защищенного (с точки зрения кибербезопасности) казино. Злоумышленники не cумели взломать систему «в лоб», поэтому стали искать лазейки. Одной из них оказался умный термостат, который служил для терморегуляции большого аквариума, установленного в казино.Термостат взломали, войдя в беспроводную сеть. После этого взломщики похитили базу данных игроков, которые делают большие ставки, представляя собой громадный интерес для других казино.

    Умные камеры

    Роберт Ханниган (Robert Hannigan), руководитель британского разведывательного агентства GCHQ в 2014-2017 годы, стал свидетелем взлома сети крупного банка. Злоумышленники смогли залезть в корпоративную сеть через умные камеры, к которым получили доступ без особого труда.

    К умным камерам можно отнести и видеоняни. Несколько лет назад стал известным случай, когда злоумышленник стал искать подключенные к сети устройства только для того, чтобы пугать детей (например, говорить что-то страшным голосом через внешний динамик).

    Роботы-пылесосы

    Модели роботов-пылесосов, оснащенные камерами, могут служить надежным инструментов взломщика. Такой девайс позволяет не только получить доступ к беспроводной сети дома или офиса, но и подглядывать и подслушивать за происходящим.


    В прошлом году стало известно об уязвимостях сразу нескольких роботов-пылесосов, включая Diqee 360, Xiaomi Mi Robot и других моделей.

    И кое-что еще

    Взлому подвержено большое количество других гаджетов, имя им — легион. Чаще всего взламываются роутеры, камеры наблюдения, компоненты систем типа «умный дом».

    В январе 2018 года специалисты по информационной безопасности из Университета Бен-Гуриона рассказали о проверке почти двух десятков случайных умных устройств — популярных гаджетов, купленных у производителя. Как оказалось, подавляющее большинство взламываются примерно за полчаса. Самый простой способ получить доступ к девайсу — подобрать дефолтный пароль.

    В чем же проблема?


    Чаще всего производители умных устройств просто не предусматривают какие-либо механизмы противодействия злоумышленникам. Причина проста — большинство компаний стремится к минимальной себестоимости девайса.

    Если компания не будет постоянно выпускать новинки, она обанкротится. Для внедрения механизма информационной защиты нужны деньги и время — ресурсы, которые есть далеко не у всех разработчиков.

    Чтобы сократить производственный цикл, компании собирают свои устройства из уже готовых компонентов, выпускаемых разными производителями: процессор, камера, беспроводный модуль связи, аудиочип и т.п. А ведь любой элемент может содержать в себе уязвимость, о которой никто не знает. В идеале комплексное устройство должны проверять несколько недель, изучая возможные дыры. Но на практике ничего подобного не происходит.

    От идеи устройства до его внедрения порой проходит всего пара месяцев, комплексную проверку в такой ситуации выполнить невозможно. Конечно, есть и исключения, но их немного.

    Около 90% изученных экспертами умных устройств оказались плохо защищенными. Уязвимости многих из них нельзя устранить, поскольку производитель самого устройства или какого-то из компонентов не выпускает обновлений. А если и выпускает, то далеко не все пользователи знают о новинке, не говоря уже о достаточном уровне технических знаний для загрузки и обновления новой прошивки.

    Как решить проблему?



    Надёжный способ защиты от угроз IoT.

    Есть две возможности — для производителей и для пользователей. Что касается производителей, то для IoT устройств нужны единые стандарты, позволяющие унифицировать отрасль. Вместо «зоопарка» разных решений будут стандартизированные устройства разных типов, включая бытовые и корпоративные гаджеты. К сожалению, ситуация сейчас настолько сложная, что в ближайшем обозримом будущем унифицировать все это не представляется возможным. Единичные попытки делаются в США и других странах.

    Пользователям можно рекомендовать приобретение лишь проверенных временем и другими людьми устройств, не покупать б/у гаджеты (мало ли, вдруг предыдущий владелец оставил «подарок»), изучать модель гаджета в интернете перед покупкой, чтобы убедиться, что для него нет универсального пароля. И более привычные рекомендации — использовать сложные уникальные пароли, устанавливать обновления при их наличии.

    В целом же сфера IoT не изменится до тех пор, пока к ней не изменят отношение законодатели, разработчики и пользователи. Если информационную безопасность IoT-систем сделать одним из приоритетов, положительные изменения можно будет наблюдать уже через несколько недель.

    Есть ли у вас политика безопасности в отношении IoT гаджетов (личная или корпоративная)?

    Пользуетесь IoT-гаджетами? Какие меры предосторожности у вас?
    Поделиться публикацией

    Комментарии 43

      +16

      S in IoT stands for Security.


      Я предпочитаю не пользоваться лампочками, которые умнее меня :)

        +1
        IoT — это как веганство: плюсы сомнительны и уж точно не окупают сопутствующего геморроя, зато какая эйфория от ощущения собственной прогрессивности!
        +16

        Интересно читать эту статью на даче, растапливая печь дровами

          +13
          Еще не хватает печатного издания типа «вестник хабра», с комментами в разделе «письма читателей». )
            0
            Примечательно, но голливудский образ сверхбогача рисуется живущим в окружении дорогих «аналоговых» вещей: камины, рояли, и т.п. Честно, я вообще не понимаю ажиотажа вокруг этих умных пылесосов, куда приятней (на мой взгляд) уменьшать количество электроники и отвлекающих стимулов. Ofline is the new luxury.
              +3

              Мне кажется, не Offline is the new luxury, а others' time is the new luxury.


              Реально богатый — тот, на кого другие тратят своё время.

                +1
                По идее умная электроника как раз и должна уменьшать количество отвлекающих стимулов. Только вот на деле получается, что вместо умной электроники по факту производится мусор, который из-за отсутствия стандартов, низкокачественного ПО без исходников, привязанности к непонятным серверам создаёт больше проблем, чем решает.
              +2
              Устройство которое не может принять сигнал извне, нельзя взломать (при первом приближении).
              Возможно стоит IoT устройства выносить в отдельную сеть и разрешать работу по «белым спискам».

              По сути добавиться роутер к которому подключаются IoT устройства и он на 7 уровне будет фильтровать весь зоопарк устройств.
                +1
                Ну зачем отдельный роутер?
                У меня в домашней сети отдельный VLAN на всякие контроллеры, термостаты и прочий IoT (умных лампочек вот нет, правда). И своя Wi-Fi сеть для этого VLAN'а. Точно так же отдельные VLAN'ы и беспроводные сети для видеонаблюдения, телевизоров, гостевого доступа. У каждого VLAN'а, соответственно, свои ограничения и доступа друг к другу они не имеют.
                VLAN'ы сейчас даже самые недорогие роутеры умеют, вроде.
                  0
                  И вместо взлома тысячи устройств, будет достаточно взломать роутер. «Нужно больше золотаконтроля».
                  0
                  Не годится рыночное регулирование для производства современной техники. Необходима монополия, которая навяжет стандарты. Только вот если монополия не находится под общественным контролем, действовать она будет в своих интересах, которые далеко не во всём совпадают с общественными.
                    0
                    Если у вас паранойя, это не значит, что вас не прослушивают (с)
                    Моя паранойя получила еще кучу доказательств. А ведь элементарные правила цифровой безопасности уже могут считаться признаком паранойи. Например, не вставлять в поиск свои токены доступа и пароли (останутся в истории поиска), не фоткать пароли на камеру смартфона и прочее. Иногда из-за несработавшей клавиши Tab из-за плохого контакта можно получить логин+пароль в строке логина и он там сохранится средствами браузера. Потом наблюдать выпадающий список подсказок логина, в том числе этот неудачный ввод.

                    А можно ли перед заведомо незащищенными устройствами ставить какой-то девайс, запрещающий доступ извне к этим устройствам?
                      +1
                      Кстати плохо что у многих вещей нет физической кнопки сброса информации.
                      Т.е. допустим сломался дешевый планшет, и теперь, чтобы сбросить всю инфу что на нем храниться, его надо сначала поремонтировать.

                      П.С. А после ремонта, зачем выкидывать?
                      Замкнутый круг, блин.
                        0

                        Отвёртка, гугл для поиска микросхем флэш-памяти, немного усилий.


                        А как вы представляете себе такую кнопку? И как убедитесь, что она сработала?
                        Если у флэш-памяти отлетело питание, то данные внутри, а софтом фиг сотрёшь без физ. вмешательства.

                          0
                          А как вы представляете себе такую кнопку? И как убедитесь, что она сработала?
                          1. Понятия не имею. Может физическое/химическое разрушение, может отдельный аккумулятор/конденсатор для экстренной очистки, может просто возможность вытянуть плату с важными данными (как MicroSD)… Что думаете?
                          2. Возможно точно так же как мы убеждаемся что срабатывают другие функции лампочки/аппарата? Есть варианты?
                            0
                            может просто возможность вытянуть плату с важными данными

                            ИМХО, идея годная, но вот незадача — это сразу заметное усложнение конструкции устройства (и его удорожание). Остальные варианты либо менее отказоустойчивые, либо ещё дороже. Энтузиаст уже сейчас может вытянуть плату сам/скормить конструкцию шредеру, кстати.


                            Но в целом вашу идею поддерживаю. Начать надо с сертификации с требованием возможности такого уничтожения (в идеале — без вмешательства сервис-центра) и базовой проверки безопасности, тогда вопрос будет не "на кой делать, только цену поднимать", а "как сделать максимум дёшево".

                              +2
                              Крестик на корпусе «сверлить здесь».
                                +1
                                Прямо сквозь аккумулятор. В подарок премия. Премия Дарвина.
                                0
                                2. Возможно точно так же как мы убеждаемся что срабатывают другие функции лампочки/аппарата? Есть варианты?
                                Речь об устройстве, которое уже сломалось. То есть мы заведомо не можем убедиться, что срабатывают другие функции, так как они не срабатывают.
                                  0
                                  Может физическое/химическое разрушение
                                  бензина плеснуть и поджечь
                              0
                              Самое надежное решение всех времен — физически отделить котлеты от мух, т.е. IoT от того, что вам не хотелось бы обнаружить украденным/испорченным.
                                0

                                А если я хочу дать доступ устройству в сеть, но не хочу его давать случайному парню с улицы? Оно и так ясно, что если отключить любое устройство от интернета риск схватить вирус резко падает, но вместе с функциональностью.

                                  +2

                                  Абсолютно не понимаю зачем устройтвам интернет?
                                  Какой-такой "функционал" даёт высунутый голой задницей в и-нет, на проприетарный левый сервер какой-нибудь "умный пылесос"?
                                  Больше не с кем поговорить, кроме как через "Алису" с холодильником?
                                  Вся "функциональность" в "умном доме" должна быть полностью обеспечена ВНУТРИ этого дома, с минимальным возможным доступом извне. В доме должны быть стены, двери и окна, как бы "удобно" ни казалось ходить "из койки в сортир через городскую площадь".

                                    0
                                    Абсолютно не понимаю зачем устройтвам интернет?

                                    Одно дело — интернет, другое — сеть устройств в доме.
                                    Я лично с вами согласен (за других не скажу), но и тут незадача — нужно связать два устройства? Уже при выбрасывании появляется вектор атаки. Есть, конечно, альтернативы — bluetooth или LoRa (последнее, наверное, оверхед) с функцией забывания устройства когда надо.


                                    Если весь функционал устройства сосредоточен в нём (нет вообще никакой связи ни с чем кроме пользователя напрямую) — тогда ему и правда никуда выход не нужен (апдейты разве что скачать, но тут лучше научить его раздавать wifi/bt когда надо и обновлять ручками с телефона того же).

                                      +1

                                      А сеть устройств в доме должна быть защищённая, и не иметь возможностей входа для левых устройств. Лучше всего проводная. На худой конец, вафля, не вещающая ssid, ограниченная белым списком мак адресов, и изолированная от и-нета.
                                      В и-нет максимум один порт для ВПН, если уж сильно неймётся, и только через шлюз-сервер, ограничивающий возможности прямого вмешательства в работу устройств — максимум, позволяющий переключать предустановленные сценарии.
                                      Т.е., как пример, изолированная сеть с mqtt брокером, сервер сценариев, работающий только с брокером, высунутый в локальную сеть, локальный веб-сервер с доступом через ВПН, и наружу только ВПН. Никаких "облаков" и прочей неконтролируемой хрени

                                        0

                                        Ваш сценарий прекрасен для какого-нибудь гика с данного сайта (я с ним полностью согласен). Мак, конечно, и подделать можно, но шаг первый — чистить устройство перед выбрасыванием. Ещё идея — выдача каждому устройству пароля/ключа, который потом банально удаляется с роутера при выкидывании (не думаю, что wi-fi так умеет). Связь устройств, ИМХО, ещё лучше делать P2P, если можно (через тот же синезуб/wifi direct/espnow и им подобные). Тут идей можно накидать много разных.


                                        А теперь представьте производителя и потребителя в вакууме. Сколько пользователей поставят такую сеть -> сколько купят устройство для работы с таким сцнарием? Сколько займутся безопасностью своими силами?
                                        Хотите реально защищённый умный дом — делайте его сами (насколько — зависит от уровня паранои). До тех пор, пока за небезопасность продукта не будут карать штрафами/отзывом лицензии/сроками, ничего не изменится, увы.

                                          0

                                          На брокере авторизация есть. Выкидавая устройство, выкидывай учётку.
                                          Вафля со статическими ip, без dhcp.
                                          Итого, чтобы войти в сеть устройств, нужно:


                                          1. быть физически в зоне действия сети,
                                          2. Знать ssid
                                          3. знать подсеть
                                          4. Знать логин/пароль от брокера

                                          Это ИМХО гораздо больше, чем возможность удалённо ломать от устройств, торчащих в и-нете до "облачных серверов".
                                          Стоимость взлома почти никогда не окупится.
                                          Что касается производителей, то гораздо больше можно продать "универсальных" устройств, чем завязанных на проприетарщину.
                                          Так что, все эти "облачные интернет-вещи" изначально расчитаны не столько на продажи самих устройств, сколько на охоту за приватной информацией, и контролем над тем, над чем контроль должен быть приватным.
                                          Т.е., не только безопасность не есть приоритет, а даже наоборот — приоритет — утечка информации и создание контролируемых дыр безопасности. На этом и собираются делать бизнес, а вовсе не на копеечной прибыли с продаж.
                                          Жаль тех, кто этого не понимает

                                            0

                                            Всё так. Как я и написал: дыры будут, пока за них ничего не будет.

                                              +1
                                              Ох. Скрытие ssid, белый список по мак-адресам, статические ip — это не безопасность. Ваша точка всегда светит своей сетью, она обнаруживается без каких-либо проблем. У неё просто стоит галочка «пожалуйста, скрываейте моё название», из-за чего она и не отображается телефоном/компом в обычном случае. Любая утилита по поиску сетей её покажет. То же самое и с mac и ip адресами — они столь же прекрасно светятся, если кто-то прошёл ваше WPA2-PSK +aes. Если же у вас было что-то меньшее по шифрованию — ваша сеть считается полностью открытой.
                                                0

                                                А я и не говорю, что всё это гарантирует невзламываемость.
                                                Но несколько повышает порог.
                                                Причём, вещи элементарные, не требующие каких-то особых навыков.
                                                Во всяком случае, вероятность того, что кому-то понадобится взламывать именно этот конкретный дом, и этим будет заниматься особопродвинутый хакер, гораздо ниже, чем "просто оказаться под рукой в каком-нибудь облаке при атаке на производителя". Зачем становиться частью лакомой мишени?
                                                Ну и сами устройства и система вцелом должна обеспечивать ФИЗИЧЕСКУЮ безопасность дома, даже при возможном взломе.
                                                Т.е., допустимо временно потерять "умную" функциональность, менее, но всёже допустимо потерять какую-то работоспособность отдельных устоойств, но абсолютно недопустимо, если взлом даже теоретически может привести к потопу, пожару, перегрузке электросети, или даже к просто открытию физического доступа в дом.

                                              0
                                              >Ещё идея — выдача каждому устройству пароля/ключа, который потом банально удаляется с роутера при выкидывании (не думаю, что wi-fi так умеет).
                                              Это называется radius, и wifi в него умеет ещё со времен первого wpa. Другой вопрос в том, есть ли soho роутеры со встроенным AAA.
                                                +1
                                                Микротики?
                                                  0
                                                  Ну по факту оно есть SOHO, и в базовых настройках (шоб интернет был по фифи) тоже, но далее всеже надо мозги включать.
                                                    0
                                                    Я ответил на вопрос:
                                                    Это называется radius, и wifi в него умеет ещё со времен первого wpa. Другой вопрос в том, есть ли soho роутеры со встроенным AAA.

                                                    Не скажу за ААА, не в курсе что это такое, но radius вроде есть даже в самых простых роутерах
                                                      0
                                                      Тут не клиент нужен, а полноценный сервер. А аутентификация через радиус сто лет как во всем почти есть
                                                        0
                                                        Абсолютно согласен про сказанное выше о выделенном сервере. Но к сожалению в реальности мало кто сможет такое поднять. Слишком разнородное железо среди IoT устройств. Рынок очень сырой и не стандартизированный. реальные системы умного дома проектируются на стадии строительства, а поделки которые мы сейчас видим в продаже — это облачные свистелки которые действительно сливают информации больше чем дают удобства.
                                                0
                                                Каждому устройству — свою виртуальную сеть wifi :)
                                                  +1

                                                  Кроме шуток — сейчас много принтеров свой wi-fi раздают, как в городе посмотришь. Без пароля, конечно же)

                                                    0
                                                    Так и есть :) В 30 см от меня как раз такой стоит (давно выключенный).
                                                  0
                                                  Вот интересно, а зачем сейчас не-гику может потребоваться IoT? Вот что такого позарез нужного для среднего обывателя делает IoT?
                                                    0
                                                    Ну у «среднего обывателя» вполне себе может оказаться пусть не свой дом, а как минимум дача. И вот тут уже куча всяких реально нужных штук — не из-за гиковских наклонностей, а тупо для экономии денег.

                                                    Скажем, у меня есть около дома мастерская в виде отдельного домика. Отопление в ней — эл. котёл (газ проводить было бы зверски дорого), который, ежели работает зимой постоянно — то жрёт электричества на 7 т.р./мес. Однако же я там постоянно не живу, поэтому термостат держит там дежурную температуру +5, а когда я возжелаю вечером после работы дать отдых мозгам и сделать какую-нибудь табуретку :) — я заранее даю ему команду прогреть до +18. В таком режиме уже меньше 2 т.р. в месяц получается.
                                                    У кого таким образом топится не маленькая мастерская, а большая дача — экономия ещё серьёзнее.

                                                    Ещё про безопасность не надо забывать. Пожарная и охранная сигнализация, автономное пожаротушение, видеонаблюдение, датчики протечки и пр. Наличие удалённого доступа сильно увеличивает их ценность.
                                                    Умные контроллеры автополива газончиков всяких, как выясняется, неплохо научили смотреть прогноз погоды в интернете и тем самым подбирать оптимальный график (это у меня пока в планах).

                                                    В квартире, конечно, меньше таких случаев. Но те же датчики протечки и сигнализацию и в квартирах никто не отменял.
                                              –5
                                              зачем устройтвам интернет?
                                              Властям «лохторат» надо контролировать, чтоб терроризм в зародыше душить и во-вторых, облучать СВЧ-волнами, дабы не слишком расплодился.
                                              Но в лесу сейчас клещи ползают и гадюки сношаются спиралевидно, потом беременные шипеть на тропинках на людей будут и комары обнаглеют.

                                              P.S. в статье много раз упомянуто неприятное слово «зловред», которое на форуме др.веба автоматически заменяется на «вредоносное ПО».
                                          0
                                          Проблема IoT даже не в том, что его могут взломать, а в том, что китайский производитель УЖЕ поставил туда троян и бэкдор, который коннектится к китайским серверам и что-то там отсылает.

                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                          Самое читаемое