Время вездесущих и подключенных устройств почти уже настало, и его ждут с таким нетерпением, что его наступление кажется неизбежным. Ожидание, однако, не обязательно означает, что вместе с интернетом вещей придут благословенные времена. В действительности, каждый «сдвиг парадигмы» такого глобального масштаба порождает проблемы, если к нему как следует не подготовиться. А готовность к интернету вещей, кажется, нам не грозит. Как пишет Алекс Дрожжин в блоге Kaspersky Daily: «Сплошным потоком уже выпускаются устройства, которые можно подключить — и некоторые из них уже подключены, при этом никто ни на минуту не задумывается, есть ли в этом необходимость. Большинству людей и в голову не приходит, что взлом подключенного смарт-прибора может быть опасным и куда более угрожающим, чем взлом обычного ПК».
Интернет дрянных вещей с точки зрения бизнеса #IoT #protectmybiz
Tweet
Другими словами, все больше техники разных видов — бытовой электроники, медицинских приборов и даже автомоек — оборудуют системами смарт-контроля с интернет-подключением, после чего их можно удалённо взламывать.
С бытовой техникой ситуация довольно очевидная (или, скорее, очевидно безрадостная): познакомьтесь с уже нашумевшим докладом Дэвида Джейкоби о том, как легко ему удалось переломать весь свой «умный дом». А что же с бизнесом? Последствия серьезные и могут стать тяжелыми.
Когда кофе-машина начинает слышать
Вот вам сценарий: кофе-машина стоит в конференц-зале, где люди обмениваются между собой большей частью конфиденциальной информации. Хорошо, если она просто «тупое» устройство, управляемое кнопками и тумблерами, и всё, что оно умеет, — это молоть кофейные зерна, затем добавлять кипяток и сахар и наполнять чашки. А теперь давайте представим, что она «умная», то есть подключена к Wi-Fi и имеет голосовое управление. «Голосовое управление» означает, что имеется встроенный микрофон. Подключение к Wi-Fi означает: а) доступ в локальную корпоративную сеть; б) возможность принимать и, скорее всего, отправлять данные; с) вероятность удаленного взлома при наличии изъянов в прошивке и недостаточной защите сети. С учётом всего этого может ли такая «умная» кофе-машина превратиться в один прекрасный день в кибершпионское устройство? Разумеется, может, если авторы прошивки не приняли «драконовских» мер по защите устройства от удаленного взлома.
Фоновая проверка
На самом деле каждый «умный» прибор, обладающий функцией приёма входных данных «в фоновом режиме», — умные телевизоры и любые другие устройства с камерами и микрофонами, — может использоваться для шпионажа (а в ряде случаев такое уже бывало). Новейшие APT привычно используют камеры ноутбуков, для того чтобы фотографировать окружающую обстановку без ведома и согласия пользователей. Кто-то может возразить, дескать, то компьютеры, а не интеллектуальные устройства, но на деле любой умный прибор становится полноценным компьютером с теми же возможностями и изъянами безопасности, что и его «обычные» собратья. Помните рассылавший спам холодильник?
В посте, приведённом выше, мы описывали еще один сценарий: злоумышленники удаленно отключают систему климат-контроля на объекте с соблюдением строгого температурного режима (таким образом, ослепляя ИК-камеры безопасности, например) или выключают, опять же удаленно, систему охранной сигнализации в офисном здании или банке. Затем внутрь заходят вооруженные люди в масках.
Надёжность самого слабого звена
Каждая взаимосвязанная система настолько же безопасна и надежна, насколько её наиболее слабое звено. Любое новое смарт-устройство, добавляемое к данной сети, является потенциальной точкой входа для людей с недобрыми намерениями. Особенно, если учитывать тот факт, что пользователи «умных» устройств часто пренебрегают проверкой настроек, оставляя принятые по умолчанию (что является грубым нарушением основ кибербезопасности). Это всё равно, что оставить ключи от сверхнадёжного банковского сейфа под ковриком у дверей банка.
Вендоры умных приборов определённо заинтересованы в добавлении функциональности (и повышении, таким образом, стоимости) своим устройствам. Они могут быть «умными», могут быть удобными в использовании, могут даже просто быть здорово популярными. Но достаточно ли они безопасны? Не обязательно.
Презумпция виновности
«В общем, проблема состоит в том, чтобы те, кто разрабатывает бытовую технику и делает приборы подключаемыми, соотнеслись с реалиями совершенно нового мира, о котором они понятия не имеют. В конечном счете, они оказываются в положении, аналогичном тому, в которое попадает опытный баскетболист, взявшийся играть шахматный матч с настоящим гроссмейстером», — написал Дрожжин. Пользователи тоже могут не иметь никакого понятия о скрытых угрозах, которые могут представлять умные устройства. Для них модная кофе-машина с голосовым управлением остаётся кофеваркой, а не является готовым кибершпионским «гнездом».
Разработчики и пользователи должны лучше присмотреться к безопасности устройств #IoT #protectmybiz
Tweet
А это значит, что разработчики бытовых и бизнес-ориентированных интеллектуальных приборов должны получше заботиться о безопасности (или, на данный момент, небезопасность) их прошивок, в то время как предприятия, которые развертывают такие устройства в своих сетях, должны держать с ними ухо востро, в режиме «презумпции виновности».