Как обезопасить интернет-вещи

Антон
Тюрин

Руководитель группы исследований методов обнаружения атак Positive Technologies

Павел
Новиков

Руководитель группы исследований безопасности телекоммуникационных систем Positive Technologie

– С какими вызовами приходится сталкиваться на пути внедрения Интернета вещей?

А.Т.: Во-первых, необходимо разрешить инфраструктурную проблему, а именно: как, в частности, в рамках умного дома объединить устройства разных профилей, обеспечить одновременное управление ими. Для этого предназначены различные Smart Home Hub, обеспечивающие универсальное подключение устройств и систем умного дома. Они позволяют создать единый пункт управления.

Во-вторых, – и это неизбежное следствие первого – необходимо обеспечить безопасность такого пункта управления. Представьте, что хаб, к которому подключено все, окажется скомпрометированным. Злоумышленник тогда сможет управлять всеми системами умного дома. Сегодня чуть ли ни каждый может просканировать весь Интернет на предмет выявления уязвимых устройств – это потребует чуть более суток при определенной скорости передачи данных. Можно и вовсе не предпринимать самостоятельных действий по сканированию – цена вопроса доступа к данным десятков миллионов IoT-устройств составляет всего $49.

П.Н.: Зачастую все IoT-устройства содержат критические уязвимости, которые легко эксплуатировать злоумышленникам. Один из ярких примеров уязвимостей IoT – нашумевшая история с ботнетом Mirai, в котором основную массу составляли веб-камеры с учетными данными типа admin:admin. Ситуацию смогут выправить комплексные решения от крупных производителей, которые позволят связать воедино несколько устройств и в том числе защитить их.

– Выделите ТОП-5 наиболее уязвимых устройств. В чем их слабая сторона?

А.Т.: Среди наиболее уязвимых устройств мы можем выделить роутеры, камеры, GPS-системы, большинство беспроводных гаджетов, а также различные датчики (умный город, коммунальные службы).

Средний возраст прошивки на среднестатистическом домашнем роутере составляет 3–4 года. Этот возраст коррелирует со средним возрастом самого роутера, или, другими словами, пользователи скорее меняют само устройство, чем обновляют его прошивку. На данный момент опытным путем установлено, что пароли примерно 15 из 100 девайсов никогда не менялись с дефолтных значений. И зная всего пять самых популярных пар, можно получить доступ к "админке" каждого седьмого устройства.

В настоящее время злоумышленник может потенциально получить доступ более чем к 3,5 млн камер по всему миру. При этом для доступа к видео произвольно взятого пользователя требуется всего пара запросов в Shodan, один в Google, VLC-медиаплеер и не более 60 с времени. По нашим оценкам, порядка 90% всех DVR-камер, которые используются для видеонаблюдения предприятиями малого и среднего бизнеса, содержат те или иные уязвимости и могут быть взломаны. Большинство людей пользуются камерами и видеорегистраторами, не задумываясь о том, насколько им можно доверять. Между тем уже есть множество примеров, подтверждающих, что подобные системы уязвимы к разнообразным атакам, включая Spoofing, то есть подмену сигнала.

П.Н.: Не защищены от взлома компьютерные мыши и клавиатуры с радиоинтерфейсом и USB-трансивером. Собрать набор для проведения атаки можно всего за 300 руб., а вестись она может с расстояния до 1 км. Исследователи Positive Technologies протестировали безопасность устройств Logitech, A4Tech и Microsoft и смогли перехватить данные, передаваемые клавиатурами и мышами, дешифровать трафик и осуществить ряд других атак. Обнаруженные уязвимости могут приводить к утечке паролей, платежных реквизитов, персональных данных и другой важной информации.

В ходе одного из исследований умных сетей электроснабжения (Smart Grid) наши эксперты обнаружили тысячи пользовательских Web-панелей управления системами мониторинга солнечных электростанций. Примерно 5% систем вообще не требовали пароля для входа на страницу конфигурации, у остальных 95% систем пароль был, но его оказалось достаточно легко подобрать. Обойдя авторизацию, злоумышленник может удаленно установить модифицированную прошивку или просто поменять параметры системы, что приведет к аварии.

– И как же в связи с этим должен измениться рынок, чтобы Интернет вещей приблизиться к потребителю?

А.Т.: Растущая среди IoT-вендоров конкуренция, безусловно, способствует формированию "рынка покупателя". У конечного пользователя уже имеется достаточно широкий выбор интернет-устройств. Но при этом возникает вопрос: достаточное ли внимание уделяют вендоры безопасности производимых ими устройств? Зачастую в пылу конкуренции производитель готов вывести на рынок наспех спроектированный девайс и при этом не предусматривает дальнейшее обновление микропрограммного обеспечения. Пользователи такого устройства в конце концов попадают в ситуацию, когда оно оказывается скомпрометированным и с этим уже ничего нельзя поделать, возникшую уязвимость невозможно устранить.

П.Н.: Проблему незащищенности таких устройств под разными углами обсуждают представители регуляторов, ведущие ИБ-исследователи и визионеры компаний, развивающих новые технологии. В будущем мы ожидаем, что злоумышленники расширят спектр используемых IoT-устройств. Это может потребовать регулирования минимального уровня защищенности устройств – либо производители проявят сознательность в этом вопросе, либо подключится государство. Формирование требований по безопасности и сертификации устройств Интернета вещей – это вопрос времени.

– Какие же опасности наиболее часто поджидают пользователей IoT-устройств? И как минимизировать связанные с ними риски?
А.Т.: На этот счет есть несколько простых советов. Первый – относительно паролей "по умолчанию" (Default Passwords). Почти у каждого из нас дома установлен роутер, через который мы выходим в Интернет. У этого роутера имеется управляющий Web-интерфейс, защищенный паролем, установленным на заводе-изготовителе. Зачастую пользователи не склонны менять заводские настройки, в том числе и пароли. Поскольку все эти пароли широко известны, это означает, что получить доступ к вашему устройству может всякий, кто готов утруждать себя определением типа вашего устройства и соответствующего ему пароля. Пользователям необходимо проверить, не оставлены ли на их устройствах пароли по умолчанию. Если окажется, что оставлены или давно не менялись либо слишком просты, необходимо сменить их немедленно на такие, которые трудно подобрать. Для этого нужно использовать длинные пароли, вперемежку состоящие из цифр и букв в разных регистрах, символов подчеркивания и т.д.

Второй совет относится к неиспользуемым службам. На домашнем роутере могут быть запущены службы Telnet, UPnP и т.д., которые редко используются, но которыми могут легко воспользоваться злоумышленники. Отключите эти службы с помощью Web-панели управления вашего устройства.

И последний, но не менее важный совет: пользователю следует выбирать устройства тех производителей, которые регулярно выпускают обновления безопасности ПО. Это всегда можно проверить на их сайтах. Ну и, конечно же, для тех, кто уже, что называется, обжегся и, как следствие, очень сильно обеспокоен безопасностью мира Интернета вещей, я рекомендую использовать двухфакторную аутентификацию. Для ее применения в устройстве должна быть поддержка этой функции в ПО, т.е. со стороны вендора.

– На форуме Positive Hack Days VII были представлены умные автомобили Tesla и BWM, которые предлагалось взломать. Удалось ли это уже кому-то?

П.Н.: Да, конечно. В случае с Tesla участники конкурса смогли получить полное управление через шину CAN, а у BMW смогли сломать противоугонную сигнализацию и получили доступ к управлению автомобилем.

– Есть ли различия между "начинкой" обычной машины и Tesla? С точки зрения хакера.

П.Н.: Есть, и они огромные. Обычный автомобиль – это результат эволюции в первую очередь "железных" автомобильных решений, которые со временем окомпьютеризировались, обзавелись своими специальными интерфейсами и даже сетью (CAN-шина). Однако в целом – это весьма специфичные автомобильные системы. Tesla же скорее напоминает гаджет, внутри которого типичные компьютерные интерфейсы, а вся периферия управляется центральным компьютером через интерактивный экран. Вся силовая установка – это такие же литиевые батареи, как в современном смартфоне, и мотор, которым опять же управляет компьютер. Поэтому Tesla выглядит для хакера более привычной средой, нежели обычные автомобили.

– Что бы вы предложили владельцам умных машин для повышения надежности?

П.Н.: Пользуйтесь умной начинкой таких автомобилей с осторожностью, особенно при подключении их к сети Интернет. Кроме того, не активируйте/не подключайте/отключите умные функции, которыми не собираетесь пользоваться в повседневной жизни.