Вопросы безопасности

Вместе с ростом числа и типов устройств, подключённых к Интернету, растут и риски, связанные с безопасностью и защитой частной жизни. Окружающие нас "вещи" могут быть использованы не по назначению, а в преступных целях, их функциональность может быть изменена вплоть до отказа работы.
Рассмотрим несколько примеров:
В конце 2016года были зафиксированы массированные атаки отказа в обслуживании (DDoS) на сайт KrebsOnSecuirty и компанию Dyn, в рамках которых был сгенерирован трафик в несколько сотен гигабит в секунду (на сайт KrebsOnSecuirty был направлен поток в 660 Гбит/с) от 1,5 миллионов устройств, в большинстве своём DVR и IP-камер. Этот ботнет был рекрутирован и управлялся вредоносом под именем Mirai.
21 декабря 2016 года аналитики Imperva Incapsula зафиксировали две DDoS-атаки на инфраструктуру компании. Первая длилась в течении 20 минут и на пике достигала 400 Гб/с. Вторая продолжалась 17 минут, а ее мощность составляла 650 Гб/с. Атака была организована с использованием ботнета Leet, состоящего из тысяч скомпрометированных IoT-устройств.
Новая модификация вируса Mirai инфицировала около 5 млн IoT-устройств в 10 странах мира. Самое большое количество пораженных вредоносным программным обеспечением устройств обнаружили в Великобритании, Германии и Бразилии. Обновленный Mirai использует протоколы TR-069 и TR-064 через порт 7547. Вирус при помощи уязвимостей заражает устройства и присоединяет их к ботнету, с помощью которого впоследствии проводят DDoS-атак.
В большинстве автомобилей взаимодействие между различными компонентами происходит через шину CAN (Controller Area Network), разработанную в 1990 году. К сожалению, архитектура шины не обеспечивает достаточной безопасности, в частности, сегментации и изоляции между подключенными к ней устройствами. Это означает, что переключатель фар потенциально имеет доступ к контроллеру тормозов, а развлекательная платформа – к топливной системе. Другими уязвимыми местами CAN являются отсутствие аутентификации подключенных устройств и отсутствие шифрования – все данные передаются открыто. При том, что в современных автомобилях все большее распространение получают различные телематические устройства, которые с одной стороны поддерживают протоколы Wi-Fi, Bluetooth, 3G/4G, а с другой – могут иметь доступ к CAN шине (например, развлекательные и навигационные платформы, ключи зажигания с удаленным управлением, системы, отслеживающие окружающую среду и т.д.), атакующему достаточно обнаружить уязвимое место в одном из перечисленных устройств, чтобы получить неограниченный доступ к CAN со всеми вытекающими отсюда возможностями. Например, группа исследователей CAESS (Center for Automotive Embedded Systems Security) убедительно показала, что, получив доступ к CAN, атакующий сможет отключить тормоза, включить тормоза на отдельных колесах, выключить двигатель, фальсифицировать показания спидометра и т.п. (http://www.autosec.org/pubs/cars-oakland2010.pdf). Исследователями Miller и Valasek была продемонстрирована удаленная атака на Jeep Cherokee (см. http://illmatics.com/Remote Car Hacking.pdf).
В 2012 году Барнаби Джек (35-летний специалист по компьютерной безопасности из компании IOActive) показал уязвимость инсулиновых помп, выпущенных компанией Medtronic, одним из ключевых производителей этой техники: компьютерная программа сканирует пространство с радиусом в 100 метров, находит все инсулиновые помпы производства Medtronic, имеющиеся поблизости, с лёгкостью взламывает их систему защиты и заставляет одним махом впрыснуть больному всё содержание контейнера с инсулином. Для больного это означает мгновенный гипогликемический шок. Аналогично Барнаби Джеком было показано, что кардиостимуляторы большинства производителей могут быть скомпрометированы и запрограммированы на генерирование смертельного электрического разряда напряжением 830 вольт. Для этого злоумышленнику достаточно иметь ноутбук и находиться на расстоянии 50 метров от жертвы (передает Computerworld). Здесь же можно упомянуть систему AdhereTech для слежения за приемом лекарств и Asthmapolis для удаленного контроля астматиков (данные из презентации Cisco).
В 2015 году хакерам удалось обнаружить уязвимости в подключениях управления системой доступа к реактору ядерной станции и одного из используемых учеными ускорителей атомных частиц (https://www.chathamhouse.org/publication/cyber-security-civil-nuclear-facilities-understanding-risks), а это уже риск катастрофы мирового масштаба.
Отдельно отмечу случай, когда хакер взломал радионяню и накричал на младенца (http://www.nbcnews.com/tech/security/man-hacks-monitor-screams-baby-girl-n91546).
Вышеприведенная малая доля примеров наглядно демонстрирует ситуацию с безопасностью в IoT: дефолтные пароли, доступные снаружи интерфейсы управления с типичными веб-уязвимостями, а порой и откровенными дырами, позволяющими выполнять произвольный код, недостаточно зрелое программное обеспечение и отсутствие цикла его обновления, существенный масштаб внедрения однотипных устройств, а значит найденная уязвимость может сразу поразить миллионы объектов. Результат понятен: десятки, а то и сотни тысяч постоянно включенных в сеть и никак не управляемых владельцами устройств объединены в ботнет, использующийся для DDoS-атак, кражи приватной информации, других криминальных активностей.
По оценке компании Hewlett-Packard (http://www8.hp.com/us/en/hp-news/press-release.html?id=1744676#.WO-GeY9OJ2Q), больше 70% устройств, входящих в интернет вещей, имеют уязвимости, у 60% из них — небезопасный web-интерфейс.
В заключение отмечу, что ключевые игроки рынка "Интернета вещей" осознают и понимают всю опасность потенциальных угроз и ищут пути решения проблемы. Intel, Microsoft, Google, Verizon, Comcast и Time Warner Cable, объединившиеся в Broadband Internet Technical Advisory Group (BITAG, Техническая консультативная группа широкополосного Интернета), опубликовали перечень рекомендаций для повышения безопасности подключенных устройств Интернета вещей (IoT). Согласно документу «Internet of Things (IoT) Security and Privacy Recommendations», устройства Интернета вещей должны быть защищены по умолчанию, при заводской настройке. Причем сложными логином и паролем, а не стандартными «admin» и «password». Не менее важно, чтобы устройство поставлялось с тщательно разработанным программным обеспечением, не имевшим критических уязвимостей. Также, по мнению Broadband Internet Technical Advisory Group, производители IoT-гаджетов должен продумать механизм автоматического и защищенного обновления ПО и использовать передовые механизмы шифрования.
Операторы связи, поставщики и ИТ-компании (AT&T, IBM, Nokia, Palo Alto Networks, Symantec и Trustonic) сформировали IoT Cybersecurity Alliance (Альянс IoT Кибербезопасности) с целью объединения усилий в области безопасности IoT. Возглавляет альянс телекоммуникационный гигант США AT&T, который сообщает, что стал свидетелем огромного увеличения на 3198% атакующих, сканирующих системы на предмет уязвимостей в IoT устройствах в течение последних трех лет.

Источники:
http://d-russia.ru/umnye-i-opasnye-voprosy-bezopasnosti-iot.html
https://apparat.cc/world/internet-of-things/
http://www.telesputnik.ru/materials/iot-digital-life-style/news/it-i-telekom-kompanii-vyrabotali-rekomendatsii-po-obespecheniyu-bezopasnosti-ustroystv-interneta-veshch/
http://www.digitalangel.ru/o-kompanii/news/telekommunikatsionnye-kompanii-postavshchiki-i-it-kompanii-formiruyut-iot-cybersecurity-alliance/