Правда и мифы о безопасности интернета вещей. Часть 1. Какова вероятность, что ваш умный дом взломали?

Правда и мифы о безопасности интернета вещей. Часть 1. Какова вероятность, что ваш умный дом взломали?

SimbirSoftMobile

В мире насчитывается приблизительно 25 миллиардов устройств, подключенных к интернету вещей (от английского, Internet of things или IoT). Для наглядности, это по четыре устройства на каждого жителя Земли. По некоторым прогнозам, их число удвоится в ближайшие три года.

Не успеем оглянуться, а к уже “общающимся” между собой кофеваркам и беспроводным датчикам присоединятся умные тапочки, интеллектуальные подгузники и продвинутые ошейники для собак. Помимо абсурдных есть перспективные и полезные разработки - системы управления автотранспортом и новинки в области здравоохранения.

Общая тенденция экспансии интернета вещей во все области человеческого быта очевидна. Также ясно и то, что к научно-техническому прогрессу проявляют интерес не только производители микроэлектроники, новоиспеченные адепты трансгуманизма, но и проходимцы, мошенники и прочие энтузиасты теневой экономики. Последнее вынуждает производителей устройств, включенных в IoT, заняться вопросами безопасности.

Последний год стал богатым на урожай информационных поводов, связанных с инцидентами в безопасности IoT - одни только приключения ботнета Mirai достойны экранизации:

  • Едва не отключили от интернета целое государство (Либерию).
  • Установили своего рода рекорды в мощности DDoS-атаки подобного типа (620 Гбит/с), количестве используемых в одной атаке IoT-устройств (560 тыс.), количестве зараженных устройств (более миллиона) и скорости заражения и распространения (буквально за три месяца заразили более 1 млн устройств).
  • Задали тенденцию публикации кода подобного ПО через открытые источники.

Для того, чтобы осуществить подобные мероприятия, авторы ограничились чуть более, чем шестьюдесятью комбинациями логинов и паролей.

Как правило, типовой набор оправданий слабой безопасности рассматриваемых систем включает в себя заверения о невозможности нанесения серьезного ущерба, отсутствие стандартов обеспечения защиты устройств, большое разнообразие протоколов связи между устройствами и невозможность написания идеального программного обеспечения, потому что, как известно, человеку свойственно ошибаться.

Прежде, чем рассмотреть их подробнее, отметим, что само значение термина IoT имеет массу трактовок: эксперты спорят о том следует ли включать в список роутеры и сетевое оборудование, средства производства, а то и bluetooth-устройства. Исключая или добавляя в интернет вещей различные категории устройств, можно как заверить о полном порядке в безопасности, так и буквально запугать потенциального пользователя. Несложно догадаться, что сам факт существования проблем от направления смещения понятийных рамок и процесса перекладывания ответственности не зависит, меняются лишь ответственные за ошибки.

SimbirSoftMobile

Невозможность нанесения серьезного ущерба

Складывается мнение о том, что заверяющие о невозможности нанесения серьезного ущерба лукавят о том, ущерб кому именно рассматривается: пользователю или производителю.

Производитель рискует потерей доверия потребителей, что, в некоторых случаях, не является такой уж большой проблемой. Ведь можно скинуть вину на злоумышленников или просто сменить бренд.

Пользователь рискует по следующим направлениям:

  • Возможность утечки конфиденциальной информации
  • Возможность вывода оборудования из строя
  • Возможность использования устройства против пользователя.

Например, умный дверной замок с возможностью дистанционного открытия может быть открыт не только хозяином двери. Исследователи компании Merculite Security обнаружили, что 12 из 16 отобранных для исследования замков уязвимы, а в четырех случаях процесс передачи пароля от смартфона к замку через bluetooth осуществлялся открытым текстом несмотря на то, что эти данные легко перехватить с помощью bluetooth сниффера. В других замках использовалось самописное шифрование, которое не сильно помогло - замки открыли. Исследователи связались с фирмами-производителями, и только одна из них сообщила, что знает о существовании проблемы и при этом не планирует ее устранять.

С помощью “умных устройств” можно лишиться не только своего имущества, но и жизни: согласно данным исследования компании IOActive, кардиостимуляторы большинства производителей могут быть скомпрометированы и запрограммированы на генерирование смертельного электрического разряда напряжением 830 вольт. Для этого злоумышленнику достаточно иметь ноутбук и находиться на расстоянии 50 метров от жертвы.

Автомобильные системы также имеют проблемы с безопасностью: не так давно обнаружилась уязвимость в бортовом компьютере автомобилей Chrysler, позволяющая на расстоянии перехватить управление машиной.

Список устройств и их уязвимостей можно составлять довольно долго в силу того, что комбинаций ошибок великое множество. Ряд проблем связан с тем, что производителей low-end устройств много и далеко не все из них могут обеспечить полноценное тестирование своего оборудования даже на стадии производства. Сравнительно небольшой процент производителей надлежащим образом выполняют свои обязательства по поддержке оборудования: выпуску обновленного ПО, прошивок, патчей.

Именно в поддержке и обновлении устройств кроется масса проблем, о которых в следующей части.

Еще статьи

На старте каждого проекта наша первоочередная задача – понять потребность, проблему заказчика и конечных пользователей продукта. Если вам нужен, например, редизайн уже существующего приложения, то мы начинаем с определения его бизнес-целей – увеличить продажи, привлечь больше посетителей на свой сайт.
Разработчик популярных сервисов заказа еды, компания mobile.SimbirSoft - о том, как угнаться за рынком и повысить продажи. Foodtech на рынке мировых технологий растет огромными темпами, все больше людей выбирают готовую еду, чтобы не тратить время на походы по магазинам и дежурство у кухонной плиты.
Понятие UX перестало быть «хайповым», а стало качественным инструментом обеспечения комфорта работы с приложением и удовлетворенности пользователей. Пользователи должны без труда находить необходимую информацию, выполнять желаемое действие с минимальными временными затратами.
Mobile.Simbirsoft довольно часто сталкивается с задачей спасти продукт. Одним из вызовов для нашей команды экспертов стала доработка приложения iSimple, путеводителя по миру вина и других благородных напитков, с помощью которого легко определиться с выбором, совершить покупку или узнать адреса ближайших магазинов
Каждое разрабатываемое в mobile.SimbirSoft мобильное приложение уникально и создается с нуля. Каким бы сложным оно ни было, прежде всего, оно должно быть удобным. В данной статье речь пойдет о том, как мы проектируем и создаем понятный и удобный интерфейс мобильных приложений на примере системы для подбора машинных масел.

Расскажите нам вашу идею

При отправке данной формы Вы подтверждаете, что ознакомились с нашей политикой конфиденциальности.

Напишите нам

Константин Каменский
Константин Каменский
Иван Игонин
Иван Игонин