Хотя большинство пользователей не знают об этом полностью, они некоторое время были в Интернете вещей. Телевизор с доступом в Интернет, навигация, устройство для чтения электронных книг, автомобиль, смартфон, монитор физической активности и другое оборудование для носимой электроники — большая часть оборудования, которое нас окружает, подключена к Интернету и постоянно подключена к сети. Хотя это приносит некоторые выгоды, оно несет в себе большой риск.
Содержание
SmartDanger — исследование выявляет серьезные уязвимости SmartDanger — автомобили под иностранным контролем SmartDanger — типичный пример угроз в Интернете вещей SmartDanger — нарушение конфиденциальности в повседневной жизни SmartDanger — нет комплексной стратегии предотвращения
Фишинговое программное обеспечение вернулось в пользу киберпреступников. По данным компании «Лаборатория Касперского», специализирующейся на информационной безопасности, все большее число пользователей становятся жертвами вредоносного программного обеспечения, которое шифрует данные, хранящиеся на жестких дисках. Как только компьютер жертвы введет вредоносный код, он может зашифровать личные файлы пользователя или заблокировать доступ к системе.
С другой стороны, технология «умный дом» становится все более популярной, то есть устройства, предназначенные для улучшения жизни членов семьи, повышения безопасности и экономии энергии. Для достижения этой цели они подключены к сети и подключены к Интернету. Из-за того, что они не являются независимой системой и, следовательно, отделены от внешнего мира, они уязвимы для возможных атак. Аналогия с блокировкой доступа к компьютеру кажется очевидной, за исключением того, что в случае квартиры или автомобиля такая атака агрессора имела бы гораздо более серьезные последствия.
Что произойдет, если киберпреступники возьмут под контроль такое носимое устройство, такое как Google Glass, и получат представление о жизни их владельца?
SmartDanger — исследования показывают серьезные лазейки
Мы рисуем дьявола на стене? Совсем нет. Это подтверждается не только многочисленными инцидентами, когда кому-то удалось взломать «интеллектуальное» устройство и дистанционно управлять им, но и систематическими тестами, проводимыми специалистами. Уже в 2014 году HP на основании исследований определила, что 70 процентов наиболее распространенных интеллектуальных устройств имеют серьезные недостатки в области безопасности. К ним относятся такие уязвимости, как плохое управление паролями, недостаточное шифрование и отсутствие индивидуального контроля доступа. В среднем было выявлено 25 недостатков на устройство!
Также известный исследовательский институт AV-Test выявил множество недостатков в девяти мониторах физической активности. В кратком обзоре мы читаем, что «безопасность рассматривалась незначительно. Испытанные и проверенные методы обеспечения безопасности, такие как аутентификация и шифрование, не использовались или применялись недостаточно ». Ранее в Лаборатории Касперского проводились тесты на безопасность износостойкой электроники (включая очки Google Glass). Согласно результатам, «пользователи очков Google могут легко стать жертвой атаки».
Эксперимент, проведенный экспертом по безопасности Дэвидом Джейкоби, доказал, что опасность угрожает даже владельцам бытовой техники. Для этого он протестировал устройства различных типов, в том числе сетевые диски, Smart TV и роутеры. Оказалось, что даже оборудование, которое долгое время широко использовалось, уязвимо для атак извне . Также немецкая организация Bitkom, объединяющая компании из отрасли информационных и телефонных технологий, отмечает опасности Интернета вещей, указывая, что операторы ботнетов и другие киберпреступники нацелены не только на компьютеры, но чаще на смартфоны, интернет-серверы, маршрутизаторы и другие устройства, подключающиеся к Интернету. ,
Хакерам удалось взять под контроль автомобиль Jeep Cherokee удаленно. Они парализовали тормозную систему, и машина приземлилась в канаве. К счастью, все для целей эксперимента.
SmartDanger — автомобили под иностранным контролем
Лишь несколько лет назад современные легковые автомобили были оснащены различными решениями для поддержки водителя во время вождения, поэтому они уже считались компьютерами на четырех колесах. В то время, однако, использовались только закрытые электронные системы, то есть системы, которые не контактируют с внешним миром. Связь была возможна только через сервисный разъем OBD II (бортовая диагностика), через который сотрудники мастерской считывали сообщения об ошибках и другую информацию, касающуюся состояния отдельных систем автомобиля.
Со временем это сильно изменилось. В настоящее время, вероятно, ни один производитель автомобилей не посмеет отказаться от подключения к Интернету в автомобилях, которые они производят. Резкое падение цен на аппаратные компоненты, необходимые для оснащения автомобиля доступом в Интернет, оказывает большое влияние на такое положение дел. С другой стороны, клиенты хотят иметь такое решение в своих транспортных средствах, чтобы они могли также использовать Интернет во время путешествий. По мнению многих, автомобиль не должен быть хуже смартфона — он непропорционально дороже.
Немецкий автомобильный клуб ADAC выявил недостатки в безопасности системы ConnectedDrive. Они позволяют несанкционированное открытие двери автомобиля через приложение.
Между тем, именно технический прогресс в области интернет-решений привел к тому, что киберпреступники и специалисты по безопасности все чаще следят за автомобильной промышленностью. Последние пытаются привлечь внимание производителей к недостаткам систем безопасности транспортных средств. Вам не нужно тянуться далеко назад. В начале 2015 года стало громко говорить об уязвимости автомобилей BMW к краже со взломом. Всего несколькими месяцами ранее немецкий автомобильный клуб ADAC обнаружил уязвимость в системе ConnectedDrive, которая позволяет открывать двери автомобиля через приложение. Проблема касалась более двух миллионов автомобилей BMW, Mini и Rolls Royce. В качестве причины эксперты указали на недостаточное шифрование в телекоммуникационном модуле. Представители ADAC ранее уведомили производителя, который исправил уязвимость, предоставив владельцам автомобилей обновление в режиме OTA (Over The Air).
Летом 2015 года два эксперта по безопасности совершили еще более впечатляющий взлом. Им удалось взломать электронику Jeep Cherokee и дистанционно управлять всеми системами автомобиля — даже двигателем и тормозами. Используя мобильную телефонию, исследователи установили удаленное соединение с информационно-развлекательной системой UnConnect и атаковали ее. Как оказалось, он не был достаточно изолирован от всей системы управления транспортным средством. Таким образом, не было защиты отдельных компонентов системы, что было подчеркнуто годом ранее специалистами HP. Профессионалы из американского журнала Wired демонстрируют в видео на канале YouTube дистанционное управление транспортным средством, в котором находится беспомощный водитель.
Материал может быть пугающим или, по крайней мере, тревожным. Компаниям из группы FCA (Fiat Chrysler Automobiles) пришлось позвонить в США на 1,4 миллиона автомобилей, чтобы загрузить патч с Pendrive для устранения вышеупомянутой уязвимости. Несколько дней спустя были обнаружены проблемы с электрическим седаном Tesla S. Два эксперта по безопасности смогли взять под контроль некоторые элементы транспортного средства после того, как они получили физический доступ к его внутренней части. Нетрудно представить подобный сценарий на практике. Исполнитель может манипулировать электроникой автомобиля во время тест-драйва или в арендованном автомобиле. Через несколько дней после раскрытия взлома Tesla S Chevrolet Corvette упал. На этот раз специалисты проникли в электронику автомобиля через сервисный разъем OBD. Им удалось, среди прочего манипулировать тормозами и дворниками. Несмотря на то, что за очень короткое время по всему миру было распространено так много уведомлений об уязвимостях в электронике транспортных средств, это, вероятно, лишь верхушка айсберга. Растущая проблема угона автомобилей, которая вызвана растущей зависимостью транспортных средств от электроники, была рассмотрена автором автомобильного видео блога Zachar OFF .
SmartDanger — типичный пример интернет-угроз
Вторжение в автомобильную электронику чрезвычайно впечатляет. С одной стороны, они очень эффективно и в то же время убедительно визуализируют опасность удаленного захвата контроля над данным устройством посторонними лицами. С другой стороны, в будущем, вероятно, всем владельцам автомобилей придется столкнуться с этой угрозой. Однако уязвимости не ограничиваются автомобильным сегментом, конечно, но затрагивают весь Интернет вещей. Поэтому их можно найти в устройствах для умного дома, бытовой электронике, холодильниках, стиральных машинах, нагревательных приборах, электронных нянях (комплектах для наблюдения за детьми) и, конечно, в носимых устройствах, то есть расходных материалах.
Управление нагревательным прибором Vaillant EcoPower 1.0 с такого рабочего стола кажется удобным и очень простым. До того, как уязвимость была обнаружена, киберпреступники могли получить контроль над устройством.
В начале 2013 года были обнаружены недостатки в безопасности энергетического и отопительного оборудования Vaillant EcoPower 1.0. Производителю ничего не оставалось, как порекомендовать своим клиентам отключить всю систему от источника питания, пока не появится сервисный техник и не устранит разрыв. Самый простой способ захвата устройств и устройств, при котором производители определяют одинаковые заводские пароли. Если клиент не изменил пароль по умолчанию, агрессор легко получит удаленный доступ к электронике. Интересно, что проблема все еще возникает в ИТ-устройствах, таких как сетевые диски, IP-камеры, адаптеры Powerline и даже некоторые маршрутизаторы. В Интернете вы можете найти обширные списки с подробным описанием моделей и доступа к данным. Хотя этот взломщик может быть полезен, если вы забудете свой собственный пароль, он создает ненужный риск.
Эти выводы еще более пугающие в контексте поисковой системы Shodan. Созданный разработчиком John Matherly в 2009 году, веб-сайт позволяет находить устройства в Интернете (так же, как Google находит веб-сайты). На состоявшейся недавно пресс-конференции автор продемонстрировал потенциал такого поиска. Лекция полна примеров, и ее название «Возвращение драконов» иллюстрирует масштабы этого явления. Статья доступна бесплатно в Интернете ( текст на английском языке ).
Является ли Google следующей альтернативой? Ни в коем случае. Shodan позволяет найти устройства, подключенные к Интернету. Фильтры помогут вам определить критерии поиска.
Кроме того, были созданы программы, которые должны в течение нескольких минут обыскивать весь интернет (!) Для поиска устройств с уязвимостями безопасности.
Общей проблемой является то, что многие устройства (или их производители) излишне раскрывают слишком много информации.
Western Digital оказался бесспорным лидером в сравнении производителей, показав более 120 открытых портов. Если вам это нравится, просмотрите вышеупомянутое прочтение (его объем достигает около 80 страниц) и посмотрите странные примеры, приведенные автором. По их мнению, некоторые заявления производителей, такие как «Мы используем самые высокие стандарты безопасности», могут рассматриваться как пустые маркетинговые лозунги. Угроза взлома аппаратного контроля злоумышленниками повсеместна, поэтому владельцы умных домов или автомобилей должны спросить себя, всегда ли умнее умнее .
Уровень угрозы общественной инфраструктуре также подчеркнул нападение на муниципальные предприятия города Эттлинген, расположенного у северного подножия Шварцвальда (Германия). Эксперт Феликс Линднер, которому поручено провести атаку, сломал охрану менее чем за 24 часа. Если бы у него были зловещие намерения, он мог бы полностью отключить снабжение СМИ, лишив 40 000 жителей доступа к воде и электричеству.
Альтернатива в виде защищенных устройств
Мониторы физической активности автоматически сохраняют данные отдельных пользователей на виртуальном диске в Интернете. В большинстве таких устройств эту функцию нельзя отключить. Исключение составляет Beurer AS 80.
Разве невозможно обойтись без интеллектуального термостата, который уже включает отопление, когда один из членов семьи подходит к квартире? Модуля контроля времени недостаточно? Аналогичные вопросы возникают в случае автомобиля, телевизора, навигационной системы, устройства для чтения электронных книг, монитора физической активности и бытовой техники с доступом в Интернет. Нам так нужны интеллектуальные функции? Если вы придаете большое значение защите своей конфиденциальности и предпочитаете отказываться от подключения к Интернету, проверьте, позволяют ли устройства отключать связь с Интернетом. Вы можете включить эту функцию, только если вы хотите ее использовать. Таким образом, вы можете, например, по-прежнему читать и покупать книги, используя Kindle, не информируя Amazon о контенте, который вас интересует, и о прогрессе чтения. Приручить нескромный монитор физической активности гораздо сложнее. Практически на всех устройствах этого типа отсутствует опция отключения автоматического облачного хранилища. Исключением является датчик активности Beurer AS 80 .
SmartDanger — нарушение конфиденциальности в повседневной жизни
Автомобили и телевизоры, оснащенные подключением к Интернету, устройства для чтения электронных книг, приложения для наблюдения за состоянием здоровья, умные часы, мониторы физической активности и т. Д. — Интернет вещей все смелее входит в повседневную жизнь многих людей. Если вы не живете в умном доме, вы можете подумать, что Интернет вещей — это что-то для энтузиастов технологических инноваций. Вы крайне неправы, если считаете, что вас не волнуют проблемы безопасности, связанные с этой проблемой. Объем информации, отправляемой автомобилями с SIM-картой, системами навигации, устройствами для чтения электронных книг, интеллектуальными телевизорами и другими устройствами, подключенными к Интернету, знают только производители оборудования или компании-партнеры, получающие эти данные.
Вы можете проверить это сами. Спросите своего местного автодилера, какая информация о предпочтениях водителя и стиле вождения раскрывается производителю. Вы можете считать это почти уверенным, что он не даст вам исчерпывающего ответа. То же самое относится ко многим другим областям ИТ. Вы, вероятно, никогда не узнаете, какие производители данных приложений для мониторинга физической активности собирают о вас и какие данные они предоставляют другим организациям. Умные телевизоры, которые случайно посылают производителям или телеканалам информацию о вкусах пользователей, являются еще одним примером незаметного вмешательства в частную сферу. Если Amazon хочет наградить авторов электронных книг на основе количества страниц, прочитанных в будущем, она обязательно должна каким-то образом получить эти данные, и это наводит на мысль о неприкрытом слежке за пользователями читателей Kindle. Тест, проведенный в независимой лаборатории AV-Test (см. Выше), показал, что большинство устройств мониторинга физической активности недостаточно защищают собираемую информацию. Хотя они не имеют полного имени, записи содержат полный профиль здоровья пользователя и его предпочтения в занятиях спортом, поэтому они представляют собой ценную добычу. Риск использования собранных данных для неправильной цели является неотъемлемой чертой браслетов, которые контролируют физическую активность пользователя.
Обращение к оператору — одна из идей, реализованных в приемниках HbbTV (гибридное широкополосное вещание). На основе обмена информацией поставщик контента может идентифицировать отдельных пользователей.
Список возможных злоупотреблений может быть дополнен другими пунктами в течение длительного времени. В будущем также появятся математические возможности использования данных из-за обилия информации, собираемой с течением времени по всему Интернету вещей. Например, сотрудники оператора скандальной службы Uber, который с помощью приложения связывает пассажиров с водителями, направляющимися в одном направлении, систематически анализировали данные о поездках по вечерам в пятницу и субботу. На основании времени, прошедшего между прибытием в пункт назначения и возвращением, они определили, какие пользователи отправляются в однократные любовные завоевания. Эти поездки, которые в шутку называют гонками славы, ясно показывают огромный потенциал анализа огромных ресурсов данных (этот процесс называется анализом больших данных на английском языке). Журналист Чарльз Дюгиг также обратил внимание на потенциал (также в негативном смысле этого слова) анализа гигантских наборов данных. На страницах бестселлера «Сила привычки» он описал удивительные последствия и непредвиденные побочные эффекты таких действий в персонализированном маркетинге на примере анализа покупательских привычек. Польское издание книги было опубликовано в 2013 году издательством PWN.
Чтение книг с помощью Kindle возможно без постоянной синхронизации данных, а значит и шпионажа.
SmartDanger — нет комплексной стратегии профилактики
Когда этим летом Мартин Эмеле, глава департамента, отвечающего за безопасность продукции в дочерней компании Bosch, ETAS GmbH, заверил, что информация о возможностях получения контроля над транспортными средствами определенных марок была объяснена тем, что описанные кражи требуют большой работы. Кроме того, пояснил он, электронные схемы очень сложны, поэтому их не перехитрит дилетант. Так не было ли причин для беспокойства?
Вовсе нет! Как предприятия, так и общественная инфраструктура, а также частные сети и устройства с доступом в Интернет постоянно подвергаются опасности. Хотя такие решения, как система открывания автомобиля без ключа, очень удобны и приобретают все большую популярность в автомобильной промышленности, существуют риски — то же самое относится и к умному дому.
В конце концов, возникает вопрос, кто несет юридическую ответственность за ущерб, причиненный в результате присвоения чужого имущества или несанкционированного вмешательства. В заключение следует отметить, что производители, похоже, не знают должным образом о преобладающих угрозах. Хотя независимые концепции были созданы для повышения безопасности в пространстве Интернета вещей (например, BuildItSecure ), эти инициативы все еще находятся на месте.
В этой ситуации покупатели должны действовать, требуя, чтобы производители уделяли гораздо больше внимания вопросу безопасности.
