Правда и мифы о безопасности интернета вещей. Часть 2. Проблемы обновления.

Правда и мифы о безопасности интернета вещей. Часть 2. Проблемы обновления.

SimbirSoftMobile

Сегодня мы продолжаем тему безопасности интернета вещей, начатую несколько публикаций назад. Предыдущая часть - “Какова вероятность, что ваш умный дом взломали?” Несмотря на то, что большинство современной “умной” техники имеет возможность обновления программного обеспечения, ответственные производители уделяют большое внимание поддержке пользователей. Интернет вещей вышел в народ не так давно, и IoT-устройства имеют ряд “врожденных” проблем.

Секреты производства

Прежде всего, отметим сравнительно низкий порог вхождения в IoT-бизнес для небольших компаний. Это сказывается не только на надежности самих устройств, но и на качестве работы с потребителями: зачастую поддержка устройств отсутствует, обновления не выходят, пользователи остаются в неведении затрагивающих их устройства изменений ландшафта угроз информационной безопасности.
NoName-бренды изначально позиционируют свои устройства как дешевую альтернативу технике именитых производителей. Экономия на квалификации персонала, упаковке, логистике, дизайне, комплектующих, поддержке пользователей и, в конце концов, безопасности - вот секрет Полишинеля, который позволяет небольшим компаниям остаться на плаву и получить свой кусок пирога.
Проблема обновления устройств затрагивает не только бюджетные решения и low-end технику. Пока техника с предустановленной последней на момент производства версией прошивки пылится на складских полках, процесс выявления новых угроз и уязвимостей не останавливается. К моменту приобретения и активации устройства пользователем, производитель успевает выпустить несколько обновлений. Решение об их установке принимает пользователь. При этом нет гарантии, что покупатель решит обновиться до последней версии. Разве что устройство проявит настойчивость в просьбах обновить ПО.

SimbirSoftMobile

Особенности использования

По данным исследователей из Ubuntu, только 31% пользователей оперативно обновляют свои устройства по мере выхода патчей, а 40% владельцев устройств вообще не следят за выходом обновлений. Проще говоря, две трети пользователей справедливо не считают обновление устройств своей обязанностью. Тем самым оставляют свои устройства открытыми для хакеров.

SimbirSoftMobile

Должен ли покупатель следить за каждым новым взломом устройства, разбираться в вопросах безопасности интернета вещей, самостоятельно “накатывать патчи” на программное обеспечение своих устройств?
Будем реалистами - это не забота пользователя. Программное обеспечение должно само уведомить пользователей о необходимости предпринять нужные действия, а то и вовсе обновиться самостоятельно.

    Помимо очевидной проблемы обновления устройств, есть ряд менее заметных особенностей, на которые следует обратить внимание:
  • Далеко не каждый пользователь имеет представление о последствиях утечки его персональных данных и другой чувствительной информации. “Мне нечего скрывать” - довольно распространенное мнение.
  • Порой невозможно представить, как именно злоумышленники могут использовать то или иное устройство, не говоря уже о истинных целях взлома.
  • Зачастую умное устройство является отправной точкой для дальнейшего исследования домашней сети пользователя. Не обновленный вовремя видеоглазок может стать причиной утечки конфиденциальной информации из приватной переписки.
  • Практически любое устройство, подключенное к интернету, может быть использовано не только против владельца, но и против третьей стороны. Взломанный роутер вполне сгодится в качестве средства обеспечения дополнительной анонимности злоумышленнику.
  • Умное устройство может выйти из строя по независящим от пользователя причинам. Например, попав в поле зрения вредоноса, деятельность которого ограничивается “окирпичиванием”.

Особый интерес

Устройства из мира интернета вещей останутся привлекательными для хакеров, даже если производители исправят перечисленные врожденные проблемы. Причиной повышенного интереса тёмных личностей к парку IoT является ряд особенностей эксплуатации подобных устройств:

В большинстве случаев устройства постоянно подключены к интернету

А значит, их можно применять как надежное вспомогательное средство для атак на основные цели, либо на такие же устройства. Отсутствие вменяемой защиты позволяет злоумышленнику оставаться незамеченным довольно продолжительное время.

Широкое распространение

В ближайшем будущем едва ли найдутся офисы и домохозяйства, не подключенные к интернету вещей. И практически каждое устройство - потенциальная точка входа во внутреннюю сеть.

Проблемы бдительности

Практически невозможно обнаружить факт компрометации подобного плана устройств, если хакер не хочет быть раскрытым. Это позволит ему оставаться в сети предприятия продолжительное время.

Новые возможности

Выход в свет нового типа устройств неизбежно сопровождается побочными эффектами, такими, как появление новых векторов атак.

Быстрый рост интернета вещей спровоцировал новый виток атак на пользователей и предприятия не столько за счет увеличения вариативности комбинаций инструментов и средств, сколько вследствии увеличившегося количества “точек входа” при одновременном снижении их защищенности. При этом, в атаках преследуются всё те же старые цели: несанкционированное получение конфиденциальной информации, получение денежных средств путем вымогательства и саботаж.

Еще статьи

На старте каждого проекта наша первоочередная задача – понять потребность, проблему заказчика и конечных пользователей продукта. Если вам нужен, например, редизайн уже существующего приложения, то мы начинаем с определения его бизнес-целей – увеличить продажи, привлечь больше посетителей на свой сайт.
Разработчик популярных сервисов заказа еды, компания mobile.SimbirSoft - о том, как угнаться за рынком и повысить продажи. Foodtech на рынке мировых технологий растет огромными темпами, все больше людей выбирают готовую еду, чтобы не тратить время на походы по магазинам и дежурство у кухонной плиты.
Понятие UX перестало быть «хайповым», а стало качественным инструментом обеспечения комфорта работы с приложением и удовлетворенности пользователей. Пользователи должны без труда находить необходимую информацию, выполнять желаемое действие с минимальными временными затратами.
Mobile.Simbirsoft довольно часто сталкивается с задачей спасти продукт. Одним из вызовов для нашей команды экспертов стала доработка приложения iSimple, путеводителя по миру вина и других благородных напитков, с помощью которого легко определиться с выбором, совершить покупку или узнать адреса ближайших магазинов
Каждое разрабатываемое в mobile.SimbirSoft мобильное приложение уникально и создается с нуля. Каким бы сложным оно ни было, прежде всего, оно должно быть удобным. В данной статье речь пойдет о том, как мы проектируем и создаем понятный и удобный интерфейс мобильных приложений на примере системы для подбора машинных масел.

Расскажите нам вашу идею

При отправке данной формы Вы подтверждаете, что ознакомились с нашей политикой конфиденциальности.

Напишите нам

Константин Каменский
Константин Каменский
Иван Игонин
Иван Игонин