«Интернет вещей» или IoT (Internet of the Things) стал полноценной частью информационных технологий, и, в силу своего стремительного развития, зоной повышенного внимания в части кибербезопасности. Особенностью таких технологий является то, что их эксплуатируют не только крупные корпорации или высокотехнологичные компании. В первую очередь, их эксплуатирует каждый современный человек. Это лифты и эскалаторы торговых центров, электронные замки в отелях, системы единого билета в коммунальном транспорте и еще сотни других устройств, которые используются в кафе, ресторанах, банках, сервисных центрах и уже практически в каждом доме.
Безопасность таких устройств, в отличие от «классических технологий» оставляет желать лучшего. Причем касается это как уже установленных и эксплуатируемых устройств, так и процессов разработки и проектирования новых устройств из мира интернета вещей. Давайте разберем причины и потенциальные угрозы для обоих случаев.
Всего несколько лет назад мало кто воспринимал свой «смарт» телевизор или кормушку в аквариуме с подключением по Bluetooth как часть интернета вещей. Основной причиной этому было то, что самого интернета вещей как массового явления еще не было. Физически, устройства, подключенные к сети, были, а вот понятие само еще не сформировалось. Предпосылками к формированию его стали атаки массовых ботнетов, в частности атака ботнета Mirai в 2016 году. Именно тогда стало понятно, есть многотысячная сеть устройств, которые не являются серверами или компьютерами, но которые входят в мир вычислительных технологий, уязвимы и могут быть использованы злоумышленниками.
Что же входит в сферу интереса подобных угроз со стороны хакеров в современном доме? Смартфоны, охранные системы, умные телевизоры и другая бытовая техника, радио няни, системы видеонаблюдения, детские приставки (да-да!) и еще сотня-другая вещей, которые находятся у нас дома и подключены к домашней сети могут потенциально быть скомпрометированы и взломаны с разными целями. Причем причиной этому может служить банальное отсутствие последних обновлений, которые выпускает производитель. Среднестатистический пользователь «умных» вещей крайне редко (а зачастую никогда) обновляет прошивки и конфигурации своих устройств. Причин тому несколько, как отсутствие должных знаний, так и распространенное мнение «я никаким хакерам не нужен».
Корпоративные «интернет-вещи» тоже недалеко ушли по уровню своей защищенности от домашних. Большинство компаний не могут или не отслеживают уязвимости в используемых IoT устройствах. Также, большое количество из них не вносит эту инфраструктуру в процессы патч менеджмента, что не позволяет пока системно подходить к вопросу обновлений и закрытию уязвимостей в них.
Само по себе IoT устройство, которое используется в домашних или коммерческих целях, как правило, не интересует злоумышленника. Однако, с его помощью можно создать довольно эффективную направленную или массовую атаку на человека, компанию или целое государство. Пример ботнетов – это массовое использование всех скомпрометированных устройств для проведения атак, в том числе и на элементы критической инфраструктуры стран: электроэнергетический комплекс, водоснабжение, банковскую систему. Для того, чтобы ваш домашний телевизор стал элементом такой сети достаточно просто его не обновлять вовремя, а еще лучше – не обновлять еще и домашний маршрутизатор, который вы используете для подключения к Интернету.
Направленные атаки на конкретного человека или компанию могут использовать конкретные технологии. К примеру, получение доступа к интерфейсу администратора системы видеонаблюдения в доме. Или получение доступа к электронным воротам гаража или шлагбаумам. Такая уязвимость из кибермира может привести к потерям в реальной жизни и реальных материальных благ.
Для предотвращения подобных инцидентов есть два пути. Первый из них – самостоятельно заниматься вопросами безопасности инфраструктуры, которую вы используете дома или в своей компании. Уже сейчас есть необходимые инструменты и программное обеспечение, а процесс установки обновлений на устройства интуитивно понятен и не требует участия высококвалифицированных специалистов. Если же вы ощущаете, что созданный вами «умный» дом или ваша компаний нуждается в помощи специалистов, то лучше заказать услугу оценки защищенности IoT у компании, специализирующейся в данном вопросе. Вам предоставят полный спектр услуг по оценке уязвимости интернета вещей, используемого вами, обновят и настроят уязвимые устройства, помогут в построении процессов управления безопасностью таких устройств.
Но что же делать если устройство не позволяет обеспечить безопасность? Что, если изначально, еще на этапе проектирования и разработки производитель и создатели устройства не озаботились вопросами безопасности его эксплуатации? К сожалению, такие случаи не редкие. В мире сегодня эксплуатируются миллионы IoT устройств, которые были разработаны без принципов безопасности при проектировании (security by design). Если вы используете такие устройства дома или в компании – лучше от них отказаться. А если вы являетесь производителем устройств IoT, то вам нужно обязательно обратиться за внешней оценкой и помощью к специалистам.
Наиболее известными услугами, которые предлагаются на рынке, являются bug bash и bug bounty программы. Вторую проводят уже давно сами компании, приглашая участников попробовать взломать определенные системы или устройства, показать уязвимости и слабые места в системах безопасности и получить за это вознаграждение. Bug Bash – более «кулуарная» программа. Ее организацию, как правило, берет на себя высококвалифицированная команда, которая создает среду для санкционированного взлома, такую себе «песочницу». В нее выкладывают продукт и приглашают к попытке вознаграждаемого взлома ряд компаний. Обязательным условием является регистрация участников, а также полный мониторинг их действий в процессе взлома. Последнее условие крайне важно, поскольку участник может обнаружить критическую уязвимость и не показать ее, рассчитывая в дальнейшем использовать ее или просто продать подороже. Полный мониторинг позволит увидеть все шаги участников, в отличие от программ bug bounty. Bug bash программа также может быть публичной (в части освещения в СМИ или Сети). А некоторые компании даже строят отдельные коммуникации со своими клиентами с помощью таких программ, показывая серьезность своих намерений в части безопасности своих продуктов.
Проведение bug bash программ для оценки защищенности IoT продуктов и устройств является одним из наиболее эффективных способов для производителей. Это позволяет привлечь к выполнению работ высококвалифицированных специалистов, которых не нужно держать в штате самому производителю или компании-организатору программы. В то же время, организатор несет ответственность за весь процесс оценки, надежность участников, а также обеспечение безопасности проведения оценки. Такое разделение обязанностей распределяет риски самого производителя, повышая при этом качество оказываемых услуг.
Стоит отметить, что не все так плохо. Бизнес все больше и больше уделяет внимание безопасности IoT. Производители таких решений и устройств понимают важность безопасности в процессе разработки и эксплуатации своих продуктов пользователями. Пользователи начинают серьезно относиться к технологиям, которые используют в работе и дома. Все это, безусловно, приводит к улучшению ситуации. Однако, не стоит забывать и про необходимость независимой оценки защищенности внешними ресурсами. Так же, как и с сетевыми или серверными технологиями, IoT требует проведения аудита, оценки защищенности, тестирования на проникновение, управления конфигурациями и обновлениями – всего того, к чему мы давно привыкли в мире «классических» вычислительных технологий.
