8-800-200-15-59

Правда и мифы о безопасности интернета вещей. Часть 1. Какова вероятность, что ваш умный дом взломали?

# Интернет вещей, Вопросы безопасности
Март 2017 г
SimbirSoftMobile

В мире насчитывается приблизительно 25 миллиардов устройств, подключенных к интернету вещей (от английского, Internet of things или IoT). Для наглядности, это по четыре устройства на каждого жителя Земли. По некоторым прогнозам, их число удвоится в ближайшие три года.

Не успеем оглянуться, а к уже “общающимся” между собой кофеваркам и беспроводным датчикам присоединятся умные тапочки, интеллектуальные подгузники и продвинутые ошейники для собак. Помимо абсурдных есть перспективные и полезные разработки - системы управления автотранспортом и новинки в области здравоохранения.

Общая тенденция экспансии интернета вещей во все области человеческого быта очевидна. Также ясно и то, что к научно-техническому прогрессу проявляют интерес не только производители микроэлектроники, новоиспеченные адепты трансгуманизма, но и проходимцы, мошенники и прочие энтузиасты теневой экономики. Последнее вынуждает производителей устройств, включенных в IoT, заняться вопросами безопасности.

Последний год стал богатым на урожай информационных поводов, связанных с инцидентами в безопасности IoT - одни только приключения ботнета Mirai достойны экранизации:

  • Едва не отключили от интернета целое государство (Либерию).
  • Установили своего рода рекорды в мощности DDoS-атаки подобного типа (620 Гбит/с), количестве используемых в одной атаке IoT-устройств (560 тыс.), количестве зараженных устройств (более миллиона) и скорости заражения и распространения (буквально за три месяца заразили более 1 млн устройств).
  • Задали тенденцию публикации кода подобного ПО через открытые источники.

Для того, чтобы осуществить подобные мероприятия, авторы ограничились чуть более, чем шестьюдесятью комбинациями логинов и паролей.

Как правило, типовой набор оправданий слабой безопасности рассматриваемых систем включает в себя заверения о невозможности нанесения серьезного ущерба, отсутствие стандартов обеспечения защиты устройств, большое разнообразие протоколов связи между устройствами и невозможность написания идеального программного обеспечения, потому что, как известно, человеку свойственно ошибаться.

Прежде, чем рассмотреть их подробнее, отметим, что само значение термина IoT имеет массу трактовок: эксперты спорят о том следует ли включать в список роутеры и сетевое оборудование, средства производства, а то и bluetooth-устройства. Исключая или добавляя в интернет вещей различные категории устройств, можно как заверить о полном порядке в безопасности, так и буквально запугать потенциального пользователя. Несложно догадаться, что сам факт существования проблем от направления смещения понятийных рамок и процесса перекладывания ответственности не зависит, меняются лишь ответственные за ошибки.

SimbirSoftMobile

Невозможность нанесения серьезного ущерба

Складывается мнение о том, что заверяющие о невозможности нанесения серьезного ущерба лукавят о том, ущерб кому именно рассматривается: пользователю или производителю.

Производитель рискует потерей доверия потребителей, что, в некоторых случаях, не является такой уж большой проблемой. Ведь можно скинуть вину на злоумышленников или просто сменить бренд.

Пользователь рискует по следующим направлениям:

  • Возможность утечки конфиденциальной информации
  • Возможность вывода оборудования из строя
  • Возможность использования устройства против пользователя.

Например, умный дверной замок с возможностью дистанционного открытия может быть открыт не только хозяином двери. Исследователи компании Merculite Security обнаружили, что 12 из 16 отобранных для исследования замков уязвимы, а в четырех случаях процесс передачи пароля от смартфона к замку через bluetooth осуществлялся открытым текстом несмотря на то, что эти данные легко перехватить с помощью bluetooth сниффера. В других замках использовалось самописное шифрование, которое не сильно помогло - замки открыли. Исследователи связались с фирмами-производителями, и только одна из них сообщила, что знает о существовании проблемы и при этом не планирует ее устранять.

С помощью “умных устройств” можно лишиться не только своего имущества, но и жизни: согласно данным исследования компании IOActive, кардиостимуляторы большинства производителей могут быть скомпрометированы и запрограммированы на генерирование смертельного электрического разряда напряжением 830 вольт. Для этого злоумышленнику достаточно иметь ноутбук и находиться на расстоянии 50 метров от жертвы.

Автомобильные системы также имеют проблемы с безопасностью: не так давно обнаружилась уязвимость в бортовом компьютере автомобилей Chrysler, позволяющая на расстоянии перехватить управление машиной.

Список устройств и их уязвимостей можно составлять довольно долго в силу того, что комбинаций ошибок великое множество. Ряд проблем связан с тем, что производителей low-end устройств много и далеко не все из них могут обеспечить полноценное тестирование своего оборудования даже на стадии производства. Сравнительно небольшой процент производителей надлежащим образом выполняют свои обязательства по поддержке оборудования: выпуску обновленного ПО, прошивок, патчей.

Именно в поддержке и обновлении устройств кроется масса проблем, о которых в следующей части.

Фото
mobile.SimbirSoft

Публикации

Авторизация в мобильном приложении на iOS или Android

Просто о разработке

Обзор возможностей WorkManager для фоновой работы в Android

Habr, Просто о разработке

Как создавать гибкие списки: обзор динамического UICollectionView – IGListKit

Habr, Просто о разработке

Ещё публикации