Защита будущего: «Смартнет» и хронофобия

«Умные» устройства становятся в буквальном смысле разумными и захватывают мир — это регулярная тема в научной фантастике, особенно антиутопического толка: человечество превращено в «источник энергии» для своих новых повелителей, покуда

«Умные» устройства становятся в буквальном смысле разумными и захватывают мир — это регулярная тема в научной фантастике, особенно антиутопического толка: человечество превращено в «источник энергии» для своих новых повелителей, покуда кто-нибудь не вырвется на свободу, не приоденется в чёрный прикид с чёрными же очками и не примется спасать мир, походя сгибая и разгибая ложки — знакомая история, не так ли? К счастью, в действительности это пока что мы контролируем, насколько умными дозволено становиться всем этим устройствам. В мире, где вся электроника взаимоувязана, Смартнет — интернет умных устройств — объективно становится скорым будущим. Вопрос в том, насколько он будет защищён

В феврале у нас был пост, посвящённый интернету вещей. Опубликован он был, как нетрудно заметить, задолго до того, как стало известно про Heartbleed и Shellshock.

Эти «большие» баги показали, помимо прочего, что совершенно критические ошибки в «базовом» ПО, которым пользуются буквально все, могут оставаться незамеченными на протяжении нескольких лет, а то и десятилетий.

Вот некоторые ключевые и регулярно повторяющиеся проблемы, из-за которых безопасность интернета вещей может быть под угрозой.

«Герметичные» прошивки

Представим себе типичное «умное» устройство, как, например, холодильник или микроволновка с подключением к интернету. Скорее всего, никакого сверхспециального ПО внутри них не зашито: куда эффективнее использовать тот же Linux в качестве основы, дописывая «сверху» необходимые функции. А теперь представьте, что в силу «особенностей программирования» обвновить такую прошивку оказывается невозможным.

И вот: существует уязвимость типа Shellshock; патч уже выпущен, но установить его, опять-таки, невозможно по недогляду или в силу осознанного решения разработчиков. В то же холодильник исправно «холодит». Ну, а тот факт, что он рассеивает спам urbi et orbi — так владельца это напрямую не задевает, зачем же выкидывать такой холодильник? Остаётся надеяться, что его хотя бы от Сети отключат — но для этого понадобится, чтобы владелец разбирался в вопросе. Пока же Сеть заполонена устройствами — как лично-хозяйственными, так и корпоративными — с сохранёнными заводскими настройками и сверхустойчивыми парами логина-пароля типа admin:12345.

Что выводит нас на вторую проблему:

Сознательность пользователей

Есть несколько возможных объяснений, почему пользователи сохраняют заводские настройки для своих устройств (рискуя оказаться объектом атаки): 1) Им всё равно 2) Им всё равно и они не верят в кибератаки, либо не думают, что кому-нибудь понадобится их атаковать, и т.д. 3) Они не знают, что есть настройки, которые необходимо менять: защищать детский монитор или видеомагнитофон паролем? Но зачем, дескать?

Менее технически-продвинутые пользователи могут и не понимать, что принтер с беспроводным подключением может содержать крупную уязвимость, которой злоумышленники могут воспользоваться, чтобы захватить контроль над всей локальной сетью. Когда был анонсирован Heartbleed, под угрозой оказалось множество устройств, включая домашние роутеры, корпоративные брандмауэры, принтеры, видеокамеры, термостаты, гаджеты «умного дома» и даже всё те же детские мониторы. На скольких из них до сих пор сохраняются «заводские настройки»?

Глубина проникновения

Эта проблема относится к возможности для потенциальных злоумышленников использовать «умное устройство» навроде всё того же детского монитора, или систему видеонаблюдения, или термостат с удалённым управлением для проникновения в домашнюю или корпоративную сеть. Конечная цель — это, естественно, кража важных данных или получение доступа к финансам жертвы.

Если незащищённые в нужной степени умные устройства находятся в одной сети с прочими элементами корпоративной инфраструктуры, то риск возникает вполне очевидный. Любое «малозначимое» оборудование должно выноситься в сеть, отдельную от той, на которую опираются бизнес-процессы. Если они остаются в одной сети, внимание к ним должно быть постоянно повышенным. Наиболее безопасным будет сочетание обоих подходов — и отдельная сеть, и много внимания.

Что день грядущий нам готовит?

Все эти смарт-устройства с удалённым управлением, подключённые к интернету со временем будут становиться всё меньшей экзотикой. Они в той же степени превратятся в составную часть интернета как такового, в какой ею стали серверы и конечные устройства. По сути, это уже так, и в хорошем, и в очень плохом смысле.

Станут ли эти устройства более безопасными с годами? Сегодня кибербезопасность обсуждают так интенсивно, что игнорировать эту тему уже не представляется возможным. Будем надеяться, производители систем видеослежения и детских мониоров не станут отмахиваться от этой проблемы. Впрочем, риск того, что они продолжат «экономить на безопасности» отрицать тоже не представляется возможным.

В первом посте серии мы упоминали о двух статьях в Wired: в одной авторов научной фантастики обвиняли в том, что они эксплуатируют фобии и пропагандируют пессимизм. Другая, напротив, утверждала, что нам нужно больше антиутопий.

Фобии, в конечном счёте, всегда контрпродуктивны. Хронофобия или футурофобия — страх времени и будущего — сегодня весьма распространены по ряду причин. Но насколько это практично — просто бояться «шибко-умных» устройств, например, холодильников, которые сами отправляют заказы на свежую зелень в ближайший супермаркет? Не практично вовсе. Практичным будет только внимательное отношение к устройствам и обеспечению их безопасности, знание угроз и инструментов борьбы с ними.

Нужные инструменты уже существуют.

Советы