Интернет чужих вещей

Интернет вещей - концепция модная. Когда даже лампочки и чайники подключены к сети и управляются издалека - это ещё и удобно. Если все это нормально работает. 

Оставим за скобками очевидные проблемы перебоев связи или Роскомнадзоровского энтузиазма. Обратим внимание на другую, более актуальную проблему - безопасность.

"Кому я нужен?"

Страшные и вроде бы понятные простому пользователю угрозы, которыми пугают отдельные исследователи, зачастую пользователя только развлекают.

Заблокировать умный холодильник и потребовать выкуп? Взломать отопление и оставить жителям выбор - платить или мёрзнуть? Шпионить через видеоняню? В теории оно, может, и опасно, но на практике подобные атаки должны быть целевыми:  и пользователь резонно возражает, что он недостаточно богат и знаменит для подобных атак.

Пять старушек - уже рубль

О чём обыватель не задумывается, так это о том, что может пригодиться злоумышленникам в любом случае. Умные устройства можно использовать как элемент распределённой сети.

Да, одна умная лампочка не обрушит сайт даже школьной газеты. А если их сотня тысяч? Вот так недавно подобный ботнет, метко прозванный Mirai (по-японски это означает "будущее"), в октябре 2016 "положил" существенную часть Интернета.

Из-за атаки на DNS-провайдера недоступны были, например, гитхаб, твиттер, реддит, нетфликс. Не очень даже понятно зачем - обычно DDoS-атаки стоят денег, и одни киберпреступники оказывают эту услугу другим.

Профессор лопух, но аппаратура при нём

Но если цены на DDoS - всё-таки вопрос чёрного рынка киберзлодеев, то суммы ущерба - вещь вполне открытая и понятная. Тот же Мирай, как выяснилось впоследствии, атаковал Ратгерский университет: ломались критические сервисы во время сдачи экзаменов, а сам университет потратил около 300 тысяч долларов на "консультации" и увеличил выделяемый на кибербезопасность бюджет ещё на миллион.

Стоимость обучения возросла, и университет даже не скрывал, что причина была именно в этих кибератаках. И это только один, по большому счёту, случайный пример! Вишенка на торте: исходники Мирай были выложены в сети, так что теперь воспользоваться ими может любой школьник.

Глупый взлом умного дома

Неужели хакеры настолько хороши, как показывают в голливудских фильмах? Они способны взломать полмира из своего подвала, а их смешные устройства с мигающими светодиодами за секунды получают контроль над любыми системами? Конечно же, нет.

Проблема не в высокотехнологичности и эффективности "кибермеча", а в проблемах у "киберщита".

Бизнес в первую очередь всегда занимается бизнесом, а не инфобезопасностью (если, конечно, это не бизнес в ИБ). Поэтому новые технологии сначала выходят на рынок часто сыроватые и "дырявые" и только потом начинают лататься. Не всегда, конечно, но слишком уж часто.

Подслушивать надо, а ты подглядываешь...

Внутрь умного устройства есть два пути: уязвимости и пароли по умолчанию. С уязвимостью всё более-менее понятно. Вышло устройство, в прошивке оказалась уязвимость, в какой-то момент её обнаружили и принялись эксплуатировать. Дальше возможны варианты.

Если производитель безответственный или вообще с тех пор разорился, ждать заплаток несколько наивно. В лучшем случае патч со временем и через тернии напишут сами пользователи.

Если производитель, в общем-то, всё понимает, то очень скоро выйдет патч. Но тут уже безответственным может оказаться пользователь. Если обновление нужно устанавливать вручную, то пользователь может не то что полениться - он может и не узнать об этом. Очередная дырка в очередном роутере? Об этом не будут делать сюжет в вечерних новостях. Нужно мониторить ситуацию самостоятельно.

А вот пароли по умолчанию - отличный пример того, насколько людям в среднем интересна кибербезопасность. Прямо сейчас можно запустить SHODAN (поисковик по устройствам в сети), найти кучу подключённых к интернету камер и... зайти посмотреть с них картинку, пользуясь набором стандартных пар логинов и паролей.

Давняя забава, опять же, для школьников, но тенденцию демонстрирует. Несколько лет назад о проблеме узнала и широкая общественность: установленные к выборам камеры в школах, разумеется, оказались не защищены, а видеопоток с них был доступен всем желающим. Непонятные личности из Интернета, подглядывающие за детьми, вызвали немалый резонанс.

Вор у вора дубинку украл

Конечно же, пароли по умолчанию и уязвимости встречаются не только в камерах. Печальна ситуация с роутерами. Никуда не делись пресловутые лампочки. Даже умный телевизор можно превратить в, скажем, майнер криптовалют. Не каждый, к счастью, но тем не менее.

Относительная простота, с которой уязвимое устройство можно найти и использовать, приводит к курьёзным ситуациям, когда вредоносные программы разных авторов сражаются друг с другом на девайсах ничего не подозревающих пользователей. Кибернегодяй может даже улучшить ситуацию с безопасностью на устройстве, отключив, например, порты для удалённого администрирования - ведь он уже внутри, зачем ему ломящиеся в заднюю дверь конкуренты?


18 июня 2018г. / Индустрия 4.0
813 | Обсудить в   
Кирилл Кожевников
Автор блога АйТи
Кибер-шериф в цифровой Америке: DMCA
Верить нельзя никому. Мне - можно.
Масштаб и экономика кибер-угрозы: можно ли верить цифрам
Электронная, цифровая, прогрессивная
Инфобезопасность в компании: виновные и ответственные
Кибервор должен сидеть в кибертюрьме
пРи|||лиТЕ БNТкоиh NЛN МbI БYDЕМ пРиCbIлАТb пО 1 БайТу Ва|||иХ ДАННЫХ
Электронные архивы: рукописи не горят, не теряются и экономят время
Где хранить электронный архив: в облаках или под подушкой?
Банкоматы ломают не только кувалдой
Киберподкоп
Где самое слабое звено?
Кирку в руки и полезай в шахту: вредоносный майнинг криптовалют
Главный вирус - между стулом и клавиатурой
Свободное плавание СЭД
И дела вести, и бобра спасти
Блокчейн - цепь неслучайностей
Телефоннер, сканертрон и роутербот против офисных сотрудников
Чем свободное ПО лучше, чем проприетарное?
Всевидящее складское око
Вкалывают роботы, счастливы банкиры


Еще по теме
Сотрудник-невидимка

Сотрудник-невидимка

Когда мы говорим «робот», первая ассоциация – неуклюжий Android на экзоскелете, который играет в футбол или сваривает автомобили. Но существует еще один большой класс роботов. Невидимых, но очень полезных. Речь о софтверных, или по-другому – программных, роботах, помогающих автоматизировать сложные бизнес-процессы.

32
Спешите приобрести! За продажи берутся роботы

Спешите приобрести! За продажи берутся роботы

Когда-то роботы, продающие товар, были лишь уделом научной (и не очень) фантастики. А сегодня производители товаров в своей бесконечной гонке друг с другом за места на рынке и под солнцем претворяют сказку в жизнь.

22
Искусственный интеллект. Мысли о будущем, как вдохновение для настоящего

Искусственный интеллект. Мысли о будущем, как вдохновение для настоящего

Термин “Искусственный интеллект” (Artificial Intelligence, AI) можно назвать одним из наиболее сложных и многоплановых в ИТ. Вместе с тем, технологии ИИ сегодня и в будущем станут одним из ключевых драйверов развития рынка ИТ.

60