Это прозвучит банально, но индустрия ИТ-безопасности не справляется со своей миссией по защите компьютеров, сетей и почти бесконечных объемов данных, которые передаются через Интернет. Правильная защита классических компьютеров — задача сама по себе непростая. И за последнее десятилетие к ней добавилась еще уйма забот, связанных с защитой мобильных устройств.
Прогулка по выставочным залам конференц-центра Москоне в Сан-Франциско, в котором проходит RSA Conference, позволяет ощутить всю абсурдность и иронию текущей ситуации в данной сфере. Бесчисленные стенды, которые обошлись компаниям в миллионы долларов, завлекают специалистов по безопасности в попытке продать им новые продукты и сервисы. В то же время где-то совсем рядом люди вроде Дэвида Якоби и Билли Райоса, в прошлом году продемонстрировавшего взлом сканеров безопасности аэропорта, показывают, как легко получить контроль над всевозможными устройствами, подключенными к Сети.
Интернет (ненужных) вещей: демонстрации взлома умной электроники на RSA Conference #IoT #RSAC
Tweet
Справедливости ради отметим, что на RSA Conference речь идет в основном о решениях для бизнеса, безопасности домашних пользователей здесь почти не уделяют внимания. Однако следует помнить, что в современном мире граница между корпоративными и домашними продуктами все более размывается и в тех, и в других постоянно обнаруживают все новые и новые дыры. Но, несмотря на это, ИТ-индустрия весьма агрессивно проталкивает идею подключения всего, что хотя бы теоретически можно подключить. Это называют Интернетом вещей, и это также весьма небезопасная идея.
Поэтому совсем не удивительно, что Билли Райосу, основателю компании Laconicly, все время удается находить свежие примеры уязвимых устройств, порой весьма курьезные. Помимо упомянутого выше взлома сканера безопасности тут можно вспомнить его недавние демонстрации по взлому автомойки или взлому электронного насоса для внутривенного вливания. На RSA Conference его «жертвой» стала система управления умным домой Vera. Для взлома он использовал уязвимость, которая известна уже более полутора лет.
So @XSSniper is going to demo a home automation hack at @RSAConference, using Pac-Man to illustrate it: http://t.co/LJW27SsAWJ
— Kelly Jackson Higgins (@kjhiggins) April 16, 2015
Данная уязвимость позволяет взломщику с помощью не слишком сложных манипуляций загрузить в систему собственную прошивку. В ходе демонстрации Райос использовал эту возможность для запуска на взломанной системе игры Pac-Man — разумеется, в случае реального взлома все было бы не так весело. Важно понимать, что система Vera предназначена для управления массой других умных устройств, таких как освещение, сигнализация, умные замки и гаражные двери. Таким образом, взлом этой центральной системы позволяет получить контроль над всеми другими компонентами умного дома.
По сообщениям Келли Джексон Хиггинс из издания Dark Reading, производитель системы Vera уже пообещал устранить данную уязвимость в будущей версии прошивки.
Интернет ненужных вещей: https://t.co/JVtV46ompb с помощью @Kaspersky_ru
— Yulya Polozova (@YulyaPolozova) February 19, 2015
На другой день свою демонстрацию провел Дэвид Якоби, старший исследователь «Лаборатории Касперского». Путем использования нескольких уязвимостей и несложных фишинговых техник он продемонстрировал, насколько легко получить контроль над сетевым накопителем, который подключен к Сети у него дома в Швеции.
Researcher @JacobyDavid on home hacking at #RSAC: pic.twitter.com/InHS8GcBhj
— Securelist (@Securelist) April 22, 2015
По словам Якоби, производители взломанных им сетевых устройств просто проигнорировали его сообщения о найденных им уязвимостях. Поскольку обновленных прошивок пользователи подобных устройств, похоже, уже никогда не дождутся, единственным способом эффективной защиты является сегментация сети с изоляцией небезопасных умных устройств. Увы, для рядовых пользователей этот способ слишком сложен.
Через 20 минут после выступления Якоби профессор Университета центральной Флориды Иэр Дзин показал, как можно взломать умный термостат Nest (напомним, Nest Labs более года назад за внушительные $3,2 млрд приобрела компания Google).
A few demos generated by a customized toolchain on the Nest Thermostat is released. https://t.co/KCg3Wdy8gV
— Yier Jin (@jinyier) August 12, 2014
Дзин обнаружил бэкдор, который позволяет заменить прошивку термостата Nest на модифицированную хакером. В дополнение он нашел способ отслеживать информацию, которую каждый из термостатов загружает в облако Nest. Как объяснил Дзин, правильная интерпретация этих данных позволяет, к примеру, понять, находится ли дома владелец установленного термостата. Помимо всего прочего проблема состоит в том, что пользователь термостата никаким образом не может отказаться от загрузки этих данных в облако.
На тот случай, если всего этого кому-то покажется мало, полученный взломщиком root-доступ позволяет ему использовать термостат в качестве опорной точки для заражения других устройств, подключенных к той же сети, превратить термостат в кирпич, перехватывать любые незашифрованные сообщения, передаваемые по сети, в том числе и идентификационные данные тех или иных сервисов, и так далее.
Подытожим. Несмотря на сотни миллиардов долларов, инвестируемых в безопасность, традиционные компьютеры, не говоря уже об «умных» устройствах, входящих в Интернет (ненужных) вещей, остаются безнадежно уязвимыми для атак.