О том, что устройства IoT небезопасны, говорят едва ли не с момента появления Интернета вещей. Но и до сих пор многие «умные» приборы и техника не имеют надлежащей защиты от взлома. Или же такая защита компрометируется самими пользователями.
Типичные уязвимости устройств IoT
Уязвимости — такие слабости в коде системы или устройства, которые могут поставить под угрозу конфиденциальность и безопасность пользователя. Эксплойты могут возникать как в результате несовершенства кода, так и из-за ошибок пользователей.
Трудность обновлений
Невозможность легко обновить или поставить патчи — одна из очевидных проблем устройств IoT. Отсутствие безопасных механизмов обновления и невозможность автоматических обновлений приводит к тому, что разработчикам сложно, а порой и невозможно, закрыть эксплойты в коде.
А поскольку эти устройства предназначены для выполнения специфических функций, их вычислительные возможности весьма ограничены. В результате остается очень мало места для внедрения надежных механизмов безопасности и защиты данных.
Также нередки случаи, когда используются ненадежные и устаревшие компоненты. Это позволяет некоторым производителям выпускать более дешевые устройства IoT, однако они создают угрозу безопасности для своих владельцев.
Слабые пароли и пароли по умолчанию
Учетные данные, которые легко угадать или которые жестко запрограммированы, предоставляют хакерам прекрасную возможность напрямую атаковать устройство. И поскольку в системах часто установлены заводские пароли, злоумышленнику не составит труда подобрать их. То же касается и qwerty-подобных паролей. В данном случае люди рассуждают так: «Ну кому нужны эти мои системы?» А вы точно уверены, что никому? Тогда читайте дальше.
Уязвимые базовые компоненты
Они влияют на миллионы развернутых интеллектуальных устройств. Чтобы сократить расходы и ускорить процесс изготовления многие производители используют недорогие и доступные компоненты. Эти компоненты включают готовые модули с открытым исходным кодом. Проблемы могут возникнуть из-за уязвимостей в зависимостях программного обеспечения или системах, если устройство использует устаревшие или небезопасные программные компоненты, библиотеки или платформы. Не исключено, что эти компоненты наследуют уже известные злоумышленникам уязвимости, тем самым расширяя поле угроз.
Отсутствие шифрования
Шифрование данных исключает возможность просмотра конфиденциальной информации посторонними лицами в случае ее кражи. Оно широко используется для защиты данных во время их передачи. Поэтому разумно предположить, что большинство людей будут ожидать, что данные, передаваемые между устройствами, будут зашифрованы. Но, к сожалению, подавляющее большинство передаваемых данных в IoT не шифруется. Причина проста: эти устройства обычно служат более десяти лет, а модернизация связана с трудностями, описанными выше.
Сетевые уязвимости
Квалифицированные похитители данных могут причинить значительный вред, просто изучив IP с незащищенных устройств IoT. Эти айпи могут использоваться для определения точного местонахождения и адреса проживания пользователя. Поэтому специалисты по интернет-безопасности советуют использовать VPN, чтобы скрывать свои айпи и защитить соединение IoT. Впрочем, веб-интерфейс, внутренний API и облачные интерфейсы тоже не всегда защищены должным образом, что часто позволяет злоумышленникам получать доступ через эксплойты на сетевом уровне.
Неосведомленность пользователей
Отсутствие у пользователей элементарных знаний сетевой безопасности тоже может сделать умные устройства открытыми для атак. Поэтому типичный пользователь IoT становится легкой мишенью для киберпреступника, пытающегося получить доступ к сети организации с помощью фишинговой атаки или средств социальной инженерии. И нередки случаи, когда простое электронное письмо с вредоносным вложением приводит к компрометации всех устройств, подключенных к этой сети.
Отсутствие физической защиты
Устройства IoT рассредоточены, а значит не имеют какой-либо контролируемой среды. В результате получение доступа к физическому уровню устройства IoT часто не представляет проблемы для злоумышленников. А из-за множества других уязвимостей дело обычно не ограничивается манипулированием только одним «заимствованным» устройством.
Проблемы цифровых сертификатов
Пройдет еще лет 10, и квантовые вычисления станут активно применяться повсюду. И это произойдет еще до того, как многие из умных устройств закончат свой жизненный цикл. Поэтому для защиты этих устройств уже понадобятся «квантовостойкие» сертификаты. Это будет важно, потому что квантовые компьютеры смогут легко взламывать шифрование RSA, что сделает большинство современных сертификатов IoT устаревшими. Таким образом, речь не просто о наличии цифрового сертификата, пусть даже с длительным сроком действия. Речь о надежных сертификатах — таких, которые смогут противостоять неизбежной угрозе со стороны квантовых мощностей.
Долгий срок службы устройств
Хотя мы регулярно меняем наши телефоны, другие устройства IoT могут эксплуатироваться годами. Большинство людей не так часто меняют свои холодильники, кондиционеры и автомобили. И это означает, что устройства должны быть защищены с учетом будущих угроз. Про квантовую опасность мы уже говорили, но есть и другие соображения, которые также необходимо учитывать. Например, создание условий для потенциальных обновлений в будущем. Впрочем, последнее не всегда осуществимо, ведь производители порой не хотят включать даже базовые функции обновления в свои IoT-устройства.
О причинах, по которым безопасность IoT имеет решающее значение
Итак, почти все устройства IoT имеют проблемы с безопасностью. В подавляющем большинстве из них отсутствуют базовые функции безопасности, такие как шифрование данных при передаче и хранении. Когда об угрозах безопасности сообщается публично, это может только усугубить ситуацию, поскольку многие устройства IoT не могут обновляться. Таким образом, как только обнаружена уязвимость в системе безопасности, устройство подвергается постоянному риску. Но риску чего? Не все представляют, чем это опасно на самом деле.
На первый взгляд идея обезопасить свой кондиционер или стиральную машину может показаться глупой. Но это только на первый взгляд. Ведь главная опасность заключается в том , что устройство IoT может служить «мостом» между физическим и цифровым миром. В этом случае кибератаки могут привести к самым неприятным последствиям.
Например, посторонние могут следить за каждым вашим шагом, взломав ваши камеры, которые вы установили дома. Для бизнеса риски могут быть еще выше, если хакеры получили удаленное управление техникой. Что уж говорить про доступы к кардиостимуляторам и операционному оборудованию — здесь на кону уже жизнь пациентов. Конечно, большинство эксплойтов IoT не приведут к таким последствиям для обычного пользователя, но это не означает, что к угрозе не следует относиться серьезно.
IoT-устройства могут многое рассказать о вас
Многие из IoT-устройств (автомобиль, фитнес-трекер и т. д.) хранят данные о том, где мы находимся и чем занимаемся. Но большинству устройств IoT необходимо устанавливать связь с сервером регулярно. Нам же нужно, чтобы эти соединения были безопасными. Однако, как мы уже выяснили, шифрование информации в среде IoT проблематично, что существенно уменьшает конфиденциальность передаваемых данных.
Вы можете возразить: «Ну и что, что кто-то узнает показатели моей тренировки?» А как насчет того, что злоумышленник будет знать, дома ли вы в данный момент? И чем больше у вас незащищенных устройств, тем больше информации у преступников. Просто подумайте о том, сколько информации можно получить со всей вашей техники и устройств, которые подключены к сети.
Ваши устройства IoT могут работать на кого-то другого
Зайдите на кухню и спросите: «Ты опять майнишь биткоины, холодильник?» Возможно, вас примут за сумасшедшего ваши домочадцы, но только не те люди, которые знают, как обстоят дела с безопасностью в IoT. Люди нередко задаются вопросом: что же нужно хакерам от их безобидных IoT-устройств? Ответ прост и банален: конечно, их вычислительная мощность.
Эти устройства можно использовать в составе ботнетов, и вместе они будут представлять серьезный актив для того же майнинга. Киберпреступники взламывают тысячи устройств и создают ботнеты из устройств, которыми они могут легко управлять. Это дает им возможность запускать DDoS-атаки, взламывать другие компьютеры, майнить криптовалюту, а также скрывать свою личность, перенаправляя интернет-трафик через ботнет. Так что безопасность IoT — это не шутка.
Веселые истории экран покажет наш…
В завершение расскажем о нескольких забавных случаях, произошедших за несколько последних лет. Герои этих историй даже не подозревали о том, что их «умные» устройства могут кому-то понадобиться.
Хакеры умнее умных домов
В 2019 году киберпреступники целые сутки издевались над семейной парой из Милуоки. Супруги установили в своем доме умную камеру Nest, не менее умный термостат, а также дверной звонок, подсоединенный всё к той же системе. Сентябрьским вечером они вернулись домой и обнаружили, что температура в термостате установлена на 90 градусов (к счастью, по Фаренгейту). И когда они решили ее понизить, это не сработало, а даже наоборот — температура начала расти.
Вскоре после этого они услышали голос на кухне, который говорил через камеру Nest, осыпая супругов оскорблениями, а затем сменился песней непристойного содержания. Пара сменила пароли в системе своего «умного дома», но проблемы остались. Дело в том, что хакер сначала взломал их Wi-Fi, а затем и Nest, поэтому смена паролей не лишила его доступа к системе.
Однако в данном случае уязвимость исходила вовсе не от Nest: кибератака была результатом взлома уже скомпрометированного пароля. Как заявили представители Google, Nest не была взломана, а проблема была в клиентах, использующих скомпрометированные пароли. Также представители компании посоветовали перейти на двухфакторную аутентификацию:
«Пользователи Nest могут перейти на аккаунт Google, предоставляющий доступ к дополнительным инструментам и автоматическим средствам защиты, таким как обнаружение подозрительных действий и двухфакторная аутентификация, которую используют уже миллионы пользователей».
У семи нянек дитя без глаза
А вот еще одна нашумевшая история. В марте 2021 года была взломана облачная служба видеонаблюдения Verkada. Злоумышленники получили доступ к прямым трансляциям с более чем 150 000 камер, принадлежащим клиентам Verkada. Эти камеры были установлены на заводах, в больницах, школах, тюрьмах и других местах.
Самое интересное, как хакеры получили такой доступ. Очень просто: используя данные учетной записи одного из администраторов, найденные в Интернете. Позже было обнаружено, что привилегии «суперадминистратора» имели более 100 сотрудников Verkada, что давало им доступ к тысячам камер клиентов. Вот каковы риски, связанные с выдачей привилегий чрезмерному количеству пользователей.
Всё как на ладони
С конца 2019 и на протяжении всего 2020 года по Америке прокатилась еще одна волна взломов устройств IoT. А началось всё в Миссисипи, где хакер взломал домашнюю камеру видеонаблюдения Ring. Родители установили камеру Ring в спальне своих трех дочерей. Они хотели следить за тем, что происходит там во время их отсутствия, так как у одной из девочек были проблемы со здоровьем. Однако через четыре дня после установки камеры встроенный динамик начал транслировать пошловатую песенку, а когда одна из девочек включила свет, мужчина заговорил с ней и стал оскорблять ее, называя себя Санта-Клаусом.
По словам главы семейства, была взломана система безопасности Ring. Косвенно это могло быть подтверждено другими подобными случаями, которые произошли в Коннектикуте, Флориде и Джорджии, где хакеры тоже выкрикивали оскорбления через камеры. Однако представители Ring заявили, что компания серьезно относится к безопасности своих устройств, а проблема была в том, что злоумышленники получили учетные данные пользователей другими способами:
«Служба безопасности Ring расследовала этот инцидент, и у нас нет доказательств несанкционированного вторжения или компрометации систем или сети Ring. Недавно нам стало известно об инциденте, когда злоумышленники получили учетные данные некоторых пользователей Ring (имя и пароль) из отдельной внешней службы, не относящейся к Ring, и повторно использовали их для входа в учетные записи Ring».
Впрочем, тот факт, что хакерам достаточно ввести имя пользователя и пароль, чтобы получить доступ к устройствам, говорит о слабой защищенности устройств IoT. И в Ring почти сразу заявили, что компания начала рассылать электронные письма миллионам своих клиентов с рекомендацией использовать многофакторную аутентификацию.
В итоге эксперты не нашли никаких доказательств того, что платформа Ring была взломана. И рекомендовали клиентам компании избегать повторного использования старых паролей, потому что они уже могли быть скомпрометированы в результате предыдущих утечек данных, а пользователи даже не знали об этом.
Выводы
Автоматизация и ИИ: эти технологии уже используются в глобальном масштабе. Но важно понимать, что автоматизация и искусственный интеллект — это всего лишь куски кода. Поэтому, если киберпреступники получают к ним доступ, они могут взять автоматизацию под свой контроль и делать все, что захотят. И описанные выше забавные случаи — это далеко не самое страшное, что может случиться. Вот почему крайне важно обеспечить защиту от таких посягательств.
Если наши гаджеты Интернета вещей не обладают адекватной защитой, мы можем только догадываться о том, сколько ценных данных могут украсть у нас хакеры. По самым свежим данным Finances Online, 98% трафика устройств IoT не имеет шифрования, то есть действительно защищено только каждое 50-е устройство! Исходя из этой статистики, легко предположить, что риски безопасности IoT на самом деле критические, и описанные выше атаки,— это только начало.