Интернет вещей (Internet of Things, IoT) – концепция развития технологий, при которой максимально возможное количество устройств будет иметь доступ в глобальную сеть, обмениваться данными и на основе этих данных максимизировать удобство использования. Например, «умный» холодильник замечает, что в нем кончилось молоко, и отправляет уведомление на часы хозяина, а те, в свою очередь, напоминают во время посещения магазина о необходимости его купить. До такого будущего не так далеко, как кажется. По прогнозу Gartner, количество подключенных к сети предметов, не считая компьютеров, смартфонов и планшетов, увеличится с 4,9 млрд в 2015 году до 25 млрд штук в 2020 году.
Чем опасен интернет вещей
«Фундаментальная проблема в том, что безопасность – это сложно, и люди говорят «ну, мы разберемся с этим позже» или «мы добавим это потом». Но её нельзя добавить потом. Нельзя сделать безопасным то, что изначально не было задумано как безопасное».
Питер Ньюман, один из первых компьютерных специалистов,
с 1985 года ведёт колонку RISKS Digest по проблемам безопасности в онлайне
Разработка «умных» гаджетов по сути — добавление новых функций в давно известные устройства. Занимаются разработкой в основном те же компании, которые разрабатывали эти устройства без «умного» функционала на протяжении многих лет, либо молодые компании, решившие занять пустующую нишу. Ни первые, ни вторые, к сожалению, не имеют опыта и требуемых навыков для обеспечения информационной безопасности устройств, а зачастую об этом даже не задумываются. Лавинообразно растущее количество новых технологий и низкая заинтересованность их создателей в обеспечении надежности приводит к столь же быстрому росту потенциальных угроз. «Открытый проект безопасности веб-приложений» составил список уязвимостей, характерных интернету вещей:с 1985 года ведёт колонку RISKS Digest по проблемам безопасности в онлайне
• Небезопасный веб-интерфейс;
• Недостаточно надёжная аутентификация;
• Небезопасные сетевые службы;
• Нехватка надёжности транспортного шифрования;
• Проблемы конфиденциальности;
• Небезопасный облачный интерфейс;
• Небезопасный мобильный интерфейс;
• Недостаточная конфигурируемость безопасности;
• Небезопасное программное обеспечение;
• Плохая физическая безопасность.
Нельзя сказать, что в этом списке есть какие-то экзотические и нетривиальные вещи. Все эти уязвимости часто встречаются и в классических компьютерных устройствах. Но если для разработчиков эти уязвимости очевидны и перманентно устраняются, то в случае с IoT еще понадобится какое-то время для осознания проблем безопасности в глобальном масштабе.
Умный дом
Концепция «умного дома» — вариант обустройства высокотехнологичного жилища, в котором вся техника, от кондиционера и жалюзи до светильника и микроволновки, связана друг с другом и настраивается в один тап со смартфона. Естественно, что при таком устройстве быта растет зависимость от надежности этих устройств. Конечно, нам не грозит «восстание машин», просто уже существующие угрозы конфиденциальности окажутся более вероятными и неприятными. Раньше злоумышленник мог через интернет узнать адрес почты и пароль от фейсбука, а теперь привычки, список сериалов, любимую еду и распорядок дня — полный слепок личности человека. Но это редкий сценарий. В прошлом году компания Proofpoint обнаружила ботнет, состоящий из ста тысяч устройств «умной» техники, в числе которых был как минимум один холодильник. Группа неизвестных хакеров взламывала плохо защищенные «умные» гаджеты, после чего сервер электронной почты устройства начинал рассылку. В основном пострадали телевизоры, игровые консоли и домашние маршрутизаторы. Ботнет — это каскад взломанных устройств, использующихся для отправки множества сообщений с целью произвести несовместимую с нормальным функционированием нагрузку на потенциальную жертву. В рассматриваемом случае взломанные устройства отправляли электронные письма (естественно, эта функция, по задумке разработчиков, должна была использоваться исключительно для отправки уведомлений о работе устройства) трижды в день, по 750 тысяч за раз. Если к возможности утечки данных через компьютер мы давно привыкли, а через смартфоны — привыкаем, то бытовая техника пока что остается плохо контролируемой. Другой аналогичный пример связан с созданием ботнета из камер наблюдения, всего 900 камер со всех концов земного шара (22 из них находились на территории РФ) генерировали одновременно 20000 запросов на атакуемый сервер. Это серьезная проблема – устройства, предназначенные для обеспечения физической безопасности, такие как камеры, домофоны и охранные сигнализации, часто не обеспечены безопасностью информационной. Данные, передаваемые по шлейфу или беспроводной сети, не шифруются, а авторизованный доступ может сымитировать злоумышленник.
Бытовая техника
IoT — это не только Internet of Things, это еще и Internet of Targets, интернет целей. Недостаточная надежность при передаче данных, особенно касательно беспроводной сети, — одна из главных проблем интернета вещей. Исследователи информационной безопасности из Pen Test Partners смогли взломать смарт-чайники по всему Лондону. В исследовании взлому подвергся чайник iKettle, работу которого можно регулировать удаленно, с помощью смартфона или даже через твиттер. Главная проблема чайника (и множества подобных ему устройств) это использование точки доступа wi-fi с заводским паролем, а то и вовсе незапароленной. Другой пример — эксперты центра безопасности Сингапурского университета технологии и дизайна смогли получить доступ к персональным данным с помощью квадрокоптера и смартфона. Способ взлома заключался в следующем: смартфон на квадрокоптере облетал офисное здание, искал принтеры с функцией Wi-Fi Direct (функция современных принтеров, упрощающая их включение в беспроводную корпоративную сеть) и подключался к сети под именем этого принтера. В итоге все документы, отправляемые на печать, сначала оказывались на смартфоне. Несмотря на такой немного безумный способ взлома – защита беспроводного принтера является серьезной проблемой, так как через него может проходить значительное количество конфиденциальной информации. Для контроля информации, отправляемой на принтеры, может пригодиться DLP-система, но вот задача по предотвращению взлома устройства ложится непосредственно на разработчиков.
Носимая электроника
Другой бурно развивающийся сегмент интернета вещей — носимая электроника. Фитнес-трекеры начали активно развиваться около десяти лет назад. Сначала эти устройства представляли собой электронный шагомер, потом в них добавились другие функции, такие как измерение пульса и давления. Последние модели фитнес-трекеров могут предоставить практически полную информацию по здоровью и физическому состоянию пользователя, имеют синхронизацию с мобильным устройством, выполняют функции социальной сети. Согласно исследованию «Лаборатории Касперского» большинство фитнес-трекеров уязвимы для взлома. На первый взгляд пользователю взлом такого гаджета не может принести каких-то особых проблем, но с ростом функциональности увеличиваются и возможные негативные последствия для обладателя устройства. Что уж говорить о носимой электронике более «высокого полета». Смарт-часы, такие как Apple Watch, и очки, аналогичные Google Glass, представляют собой полноценные устройства с функционалом, практически идентичным современным смартфонам. При этом их защита тоже оставляет желать лучшего. Например, «умные» часы Galaxy Gear S от корейской компании Samsung еще на стадии тестирования оказались в центре скандала с возможностью утечки через них данных.
Умные авто
Все проблемы, связанные с безопасностью часов, браслетов и очков, меркнут по сравнению с возможностью взлома «умного» автомобиля. Двое исследователей безопасности сумели взломать автомобиль Jeep Cherokee с расстояния всего в несколько километров, а после отправить его в кювет. Концерну Chrysler после этого случая пришлось отозвать почти полтора миллиона машин. Проблема заключалась в соединении магнитолы автомобиля с интернетом, которое было недостаточно надежно. При этом электроника в медиацентре автомобиля была связана с частью, отвечающей за управление. Такая схема работы электроники, в которой программная часть, управляющая медиа-контентом, связана с управлением авто, полностью недопустима. При этом такой уязвимости могут быть подвержены даже самолеты — исследователь безопасности Рубен Сантамарта смог получить доступ к бортовому оборудованию, подключившись к бесплатной беспроводной сети. Другая возможность автомобилей нового поколения — автопилот. Совсем недавно автопилот появился в электрокарах марки Tesla. Другие производители также активно тестируют данную возможность. Для этого на машинах от Google и некоторых других марок устанавливается специальный лазерный сенсор, создающий трехмерную «карту» окружающего пространства, а на основе полученных данных автомобиль прокладывает маршрут. Группа исследователей обнаружила возможность обмануть такую систему с помощью простой лазерной указки. Детектор начинает думать, что перед ним препятствие и пытается избежать его, чем может вызвать аварийную ситуацию.
Безопасность в интернете — это проблема с глубокими корнями, а новые технологии лишь добавляют ей актуальности. Когда преподаватель MIT Дэвид Кларк представлял в 1988 концепцию развития интернета, то в семи «важных тенденциях по разработке в интернете» ни разу не упоминалось слово «безопасность». Когда он готовил аналогичный доклад двадцать лет спустя — «безопасность» в списке шла первым пунктом.
