Не викидайте розумні лампочки в сміття, або небезпека IoT
За оцінками аналітиків GlobalData, обсяг ринку IoT-рішень в минулому році склав близько $130 млрд. До 2023 року цей показник зросте майже в три рази, до $318 млрд. Щорічне зростання (GAGR) становить зараз близько 20%. Об’єм підключених пристроїв до 2020 року складе 20-50 млрд штук.
На жаль, розумні гаджети погано захищені від злому. Багато з них містять вшиті облікові дані уразливості, що легко виявляються і експлуатуються зловмисниками. Приклад: швидке поширення Mirai. І зараз атаки все ще тривають, завдяки свіжої інкарнації зловредів.
Підраховано, що збитки, спричинені глобальній економіці ботнетами, склав у минулому році $110 млрд.
Трохи про ботнети
Крім Mirai, зараз актуальні BetaBot, TrickBot, Panda, Ramnit. Вони поступово заражають все більше розумних пристроїв і являють собою небезпеку як для бізнесу, так і для держави.
Збитки бізнесу, викликані діяльністю зловредів можуть бути дуже великими. Ботнет в змозі повністю заблокувати роботу сервісів якої-небудь компанії, що призведе до вимушеного простою. В цьому випадку збитки становлять у середньому $100 000. Ще більше компанії доведеться витратити на ліквідацію наслідків злому.
Також він може атакувати мережі компаній для крадіжки корпоративних даних: логіни і паролі співробітників, фінансова інформація, технологічні розробки. Діяти ботнет може по-різному, включаючи перехоплення натискань клавіш.
На жаль, небезпечні не тільки шкідники, але і самі по собі розумні пристрої.
Розумні гаджети — чому вони небезпечні?
Розумні пристрої являють небезпеку для бізнесу або приватної особи навіть тоді, коли вони вже викинуті і знаходяться в сміттєвому контейнері. У деяких з них зберігається інформація про доступ до локальних бездротових мереж і інші дані. І якщо раніше злодії полювали за записами і накопичувачами, які викидають співробітники різних компаній, то зараз може початися полювання і за IoT системами.
Розумні лампочки
Фахівці компанії Limited Results вивчили кілька популярних моделей розумних ламп. Команда дослідників придбала нову лампочку LIFX, підключила її до бездротової мережі. Потім лампочку вимкнули і розібрали.
Після завантаження даних, що зберігаються на лампочці, виявилося, що в дампі є доступи від WiFi мережі, до якої пристрій підключили після покупки. Дані зберігалися у відкритому вигляді. Доступні виявилися навіть кореневий сертифікат і приватний RSA-ключ.
І проблеми не тільки у LIFX, дані завантажували та з інших розумних лампочок. Ймовірно, якби дослідники проаналізували розумні камери, замки, вічка тощо, ситуація була б приблизно такою ж.
Термостати
Минулого року широку популярність отримав злом захищеного (з точки зору кібербезпеки) казино. Зловмисники не зуміли зламати систему «в лоб», тому стали шукати лазівки. Однією з них виявився розумний термостат, який служив для терморегуляції великого акваріума, встановленого в казино.Термостат зламали, увійшовши в бездротову мережу. Після цього хакери викрали базу даних гравців, які роблять великі ставки, представляючи собою величезний інтерес для інших казино.
Розумні камери
Роберт Ханніган (Robert Hannigan), керівник британського розвідувального агентства ЦПС в 2014-2017 роки, став свідком злому мережі великого банку. Зловмисники змогли залізти в корпоративну мережу через розумні камери, до яких отримали доступ без особливої праці.
До розумним камер можна віднести і відеоняні. Кілька років тому став відомим випадок, коли зловмисник почав шукати підключені до мережі пристрою тільки для того, щоб лякати дітей (наприклад, говорити що-страшним голосом через зовнішній динамік).
Роботи-пилососи
Моделі роботів-пилососів, оснащені камерами, можуть служити надійним інструментів зломщика. Такий девайс дозволяє не тільки отримати доступ до бездротової мережі будинку або офісу, але і підглядати і підслуховувати відбувається.
В минулому році стало відомо про уразливість відразу декількох роботів-пилососів, включаючи Diqee 360, Xiaomi Mi Robot і інших моделей.
І дещо ще
Злому піддається велика кількість інших гаджетів, ім’я їм — легіон. Найчастіше зламуються роутери, камери спостереження, компоненти систем типу «розумний будинок».
У січні 2018 року фахівці з інформаційної безпеки з Університету Бен-Гуріона розповіли про перевірку майже двох десятків випадкових розумних пристроїв — популярних гаджетів, куплених у виробника. Як виявилося, переважна більшість зламуються приблизно за півгодини. Самий простий спосіб отримати доступ до девайсу — підібрати дефолтний пароль.
У чому ж проблема?
Найчастіше виробники розумних пристроїв просто не передбачають будь-які механізми протидії зловмисникам. Причина проста — більшість компаній прагне до мінімальної собівартості девайса.
Якщо компанія не буде постійно випускати новинки, вона збанкрутує. Для впровадження механізму інформаційної захисту потрібні гроші і час — ресурси, які є далеко не у всіх розробників.
Щоб скоротити виробничий цикл, компанії збирають свої пристрої з вже готових компонентів, що випускаються різними виробниками: процесор, камера, бездротовий модуль зв’язку, аудіочіп і т. п. А адже будь-який елемент може містити в собі уразливість, про яку ніхто не знає. В ідеалі комплексне пристрій повинні перевіряти кілька тижнів, вивчаючи можливі дірки. Але на практиці нічого подібного не відбувається.
Від ідеї пристрою до його впровадження часом проходить всього пара місяців, комплексну перевірку в такій ситуації виконати неможливо. Звичайно, є й винятки, але їх небагато.
Близько 90% досліджених експертами розумних пристроїв виявилися погано захищеними. Уразливості багатьох з них можна усунути, оскільки виробник самого пристрою або якогось з компонентів не випускає оновлення. А якщо і випускає, то далеко не всі користувачі знають про новинку, не кажучи вже про достатній рівень технічних знань для завантаження і оновлення нової прошивки.
Як вирішити проблему?
Надійний способів захисту від загроз IoT.
Є дві можливості — для виробників і для користувачів. Що стосується виробників, то для IoT пристроїв потрібні єдині стандарти, що дозволяють уніфікувати галузь. Замість «зоопарку» різних рішень будуть стандартизовані пристрої різних типів, включаючи побутові та корпоративні гаджети. На жаль, зараз ситуація настільки складна, що в найближчому осяжному майбутньому уніфікувати все це не представляється можливим. Поодинокі спроби робляться у США та інших країнах.
Користувачам можна рекомендувати придбання лише перевірених часом і іншими людьми пристроїв, не купувати б/у гаджети (хіба мало, раптом попередній власник залишив «подарунок»), вивчати модель гаджета в інтернеті перед покупкою, щоб переконатися, що для нього немає універсального пароля. І більш звичні рекомендації — використовувати складні унікальні паролі, встановлювати оновлення при їх наявності.
В цілому ж сфера IoT не зміниться до тих пір, поки до неї не змінять ставлення законодавці, розробники і користувачі. Якщо інформаційну безпеку IoT-систем одним із пріоритетів, позитивні зміни можна буде спостерігати вже через декілька тижнів.
Чи є у вас політика безпеки щодо IoT гаджетів (особиста або корпоративна)?
Користуєтеся IoT-гаджетами? Які заходи у вас?