Интернет вещей: обзор проблем безопасности
В предыдущей статье об Интернете вещей (IoT) мы познакомились с его историей, перспективами развития, возможностями и, самое главное, пришли к простому выводу – Internet of Things должен сделать мир по-настоящему открытым. Он должен стать той технологией, которая поможет решить множество проблем, стоящих перед каждым из нас в отдельности и перед человечеством в целом, начиная от автоматизации быта и заканчивая защитой окружающей среды от экологических катастроф.
Многие преимущества «открытого мира» мы можем оценить уже сегодня – интернет позволяет нам делиться информацией, получать образование, совершать покупки, знакомиться с другими странами, общаться с близкими и наслаждаться произведениями искусства, не покидая своей квартиры. Интернет размывает границы – национальные, географические, культурные, коммуникационные – и с этой точки зрения является безусловным благом, так как обеспечивает взаимодействие всех структур общества.
С другой стороны, всеобщая интернетизация стала благоприятной средой для совершения преступлений, которые происходят в киберпространстве, но, благодаря все той же открытости, имеют последствия для реальной жизни как отдельного человека, так и целых государств. Речь идет о краже личных данных, хакерских атаках, взломах серверов национальных комитетов и министерств…
То же относится и к Интернету вещей, который есть не что иное, как один из этапов развития всемирной паутины. IoT становится объединением физической и цифровой реальности, превращением интернета в «сеть сетей», которая включает в себя все объекты окружающего мира – не только привычные девайсы, но и предметы, казалось бы, не созданные для роли «интернет-узлов»: кофеварки и холодильники, дорожные светофоры и уличные видеокамеры, водосчетчики и сантехнические устройства, медицинское и промышленное оборудование.
Как сегодня обстоит дело с безопасностью Интернета вещей? Каковы последствия создания глобальной сети, охватывающей все сферы нашей жизни? Воображение рисует пугающие перспективы: перепрограммирование тормозов автомобиля, удаленное отключение кардиостимуляторов, блокирование датчиков утечки газа в «умном» доме – неужели без должной защиты все это становится возможным? Ответов на эти вопросы пока нет, ведь мы находимся только в начале пути.
Проблемы безопасности IoT – отчеты экспертов
Что такое Интернет вещей в контексте безопасности? В общем смысле это совокупность цифровых устройств, которые обмениваются данными друг с другом и работают автономно, без участия человека.
Этих двух факторов вполне достаточно, чтобы задуматься над теми угрозами, которые несет с собой превращение предметов в интернет-узлы. И нужно сказать, что экспертные исследования проблем безопасности IoT не заставили себя ждать – уже в 2008 г. (именно этим годом датируется появление Интернета вещей как явления) «сеть сетей» фигурирует в отчете Национального разведывательного совета США в качестве одной из шести потенциально разрушительных технологий.
Спустя 7 лет, в начале 2015 года, компания OpenDNS представила неутешительные результаты исследования, проведенного в корпоративных сетях, которые используют «интернет-вещи». К слову, бренд OpenDNS принадлежит компании Cisco, мировому лидеру в области информационных технологий, с которым, в частности, связаны и общепринятая формулировка термина «Интернет вещей», и популяризация этого явления в целом.
Итак, компания OpenDNS неоднозначно заявила: безопасного IoT не существует. Инфраструктура, которая используется для подключения устройств в корпоративные сети, не контролируется ни пользователями, ни IT-специалистами. Вот лишь некоторые выкладки из экспертного отчета:
- Только 35% компаний используют отдельную wi-fi сеть для потенциально небезопасных «интернет-вещей»
- Видеокамеры, медицинские гаджеты, фитнес-браслеты и другое оборудование передают данные за пределы корпоративной сети
- Большинство телевизоров, интегрированных в IoT, не имеют сертификатов безопасности
- Жесткие диски используют для хранения данных небезопасные облачные серверы
В это же время компания HP независимо от OpenDNS провела собственное исследование, но не в коммерческом, а в потребительском секторе. Результаты оказались аналогичными – и в этом случае было выявлено множество уязвимостей, начиная от применения дефолтных паролей и заканчивая незащищенным веб-интерфейсом, который используют большинство устройств, подключенных к Интернету вещей. Кроме того, было выявлено, что почти все исследуемые девайсы собирают личную информацию пользователей без их ведома.
Есть и более свежие данные – в начале текущего года авторитетный интернет-журнал TechRepublic предсказал повышение количества киберпреступлений из-за плачевного состояния системы безопасности «сети сетей». Специалисты выделили несколько критериев, которые могут привести к настоящему хаосу в инфраструктуре Internet of Things. Вот главные из них:
- Быстрорастущий парк IoT-устройств. Сегодня к сети подключается около 6 000 000 новых «вещей» ежедневно! Если учесть, что каждый девайс имеет не одну «дыру» в системе безопасности, а несколько, то ситуация складывается действительно устрашающая.
- Слабая защищенность огромных массивов пользовательских данных. Добавим, что для корректной работы многие IoT-устройства собирают не только пароли, но и информацию другого типа, начиная от имени пользователя и заканчивая фактами из биографии. Очевидно, что там, где хранятся множества взаимосвязанных данных, требуется и надежная защита. Интернет вещей пока этим похвастать не может.
- Возможность быстро создать мощный ботнет из миллионов устройств, подключенных друг к другу. До появления IoT эта проблема стояла не так остро, что связано, прежде всего, с потерей «автономии» предметов физического мира – с наступлением эры Internet of Things «интернет-вещи» уже не работают сами по себе, а интегрированы в единую коммуникационную структуру.
Это теория. А что на практике?
Очевидно, что проблемы безопасности Интернета вещей требуют немедленного поиска решений, что и подтверждает наш обзор. И опасения экспертов, к сожалению, оправданы – IoT в его современном виде дает большие возможности для деятельности киберпреступников. Приведем лишь три реальных примера.
Пример 1. В феврале 2016 года инженеры из компании Panasonic взломали… унитаз. Устройство самопроизвольно спускало воду и таким образом пугало посетителя, находившегося в помещении. Все это происходило в рамках эксперимента, где требовалось доказать наличие уязвимостей в системе «умного» дома. Случай довольно забавный, но и вполне характерный – если можно подобрать пароль к унитазу (в буквальном смысле), то кто даст гарантию, что другие «вещи» из IoT защищены более надежно?
Пример 2. В сентябре 2016 года блог журналиста Брайана Кребса, имеющего репутацию одного из самых известных IT-специалистов по киберпреступлениям, подвергся масштабной хакерской атаке (665 гигабит в секунду). Эту крупнейшую в истории Интернета вещей DDoS-атаку организовали злоумышленники, объединившие в ботнет сотни тысяч устройств, интегрированных в IoT. И это уже совсем не шутка.
Пример 3. Участники конференции Positive Hack Days шестой год подряд участвуют в конкурсе по конкурентной разведке, что добавляет фактов в неутешительную статистику – взломать ту или информационную систему сегодня совсем не сложно, а физическое расширение Интернета вещей делает этот процесс еще проще.
В текущем году авторы конкурса придумали простую легенду, согласно которой все сотрудники некой IT-фирмы исчезли. Задача конкурсантов – распутать это странное дело. Расследование началось с анализа исходного кода сайта компании, что помогло выяснить фамилию одного из «пропавших» дизайнеров, его e-mail и обнаружить профиль в социальных сетях. Цепочка следующих действий выглядела так: анализ чекинов и публикаций пользователя, выявление его интересов и связанных профилей, получение доступа к access-логам сервера социальной сети, установление VoIP-шлюза и подключение к Skype-группе «пропавших» разработчиков, определение и взлом аккаунтов в профессиональных сервисах, получение информации об IP-адресе роутеров, доступ к платежным сервисам пользователей и так далее – до победного конца.
Что характерно, все участники конкурса справились хотя бы с одним этапом, а 9 человек из 66 выполнили более 50% заданий.
Вывод прост: чем больше мы оставляем «следов» в цифровом мире, тем более уязвимы для несанкционированного доступа к нашим данным.
Как защитить Интернет вещей?
Для повышения безопасности IoT предлагается много решений, но большинство из них можно свести к следующим:
- Во-первых, требуется единая стандартизация, которая установит регламенты для каждой из областей Интернета вещей. Первый шаг к этому уже сделан – в октябре 2016 года появилась информация о планах Еврокомиссии по обязательной сертификации предметов физического мира, интегрированных в IoT. Подробностей этой программы пока нет, но в качестве одного из вариантов называется необходимость чипирования «вещей», подключенных к глобальной сети. В контексте IoT речь идет о тех устройствах, которые сами по себе не представляют ценности для преступников, но могут быть использованы для хакерских атак и других криминальных активностей – холодильниках, телевизорах, видеокамерах, принтерах и пр.
- Во-вторых, нужно уходить от «кроссплатформенности», которая сегодня является одним из главных критериев не только Интернета вещей, но и цифровой реальности в целом. Другими словами, каждая категория устройств, встроенных в «сеть сетей», должна прийти к использованию двух-трех платформ, не более. Например, все стиральные машинки должны быть оснащены микроконтроллерами с типовыми, а не разными, прошивками, видеокарты должны использовать одинаковые драйверы... Пока это кажется фантастикой, но именно в этом направлении должны работать и производители аппаратного оборудования, и разработчики операционных систем, и поставщики ПО.
- И, в-третьих, нужно обратить внимание на производительность самого программного обеспечения. Это касается не только необходимости «латать дыры» в эффективности используемых приложений, но и улучшения их масштабируемости, что особенно важно, учитывая непрерывность процесса включения в IoT новых и новых устройств.
В заключение хочется сказать, что IoT находится только в начале своего развития, и было бы наивно полагать, что на этом пути не возникнут препоны и препятствия. Одним из них является уязвимость Интернета вещей. Несмотря на всю сложность ситуации, у нас есть серьезные основания для оптимизма – этой проблемой заинтересованы не только экспертное сообщество, но и политические институты, и коммерческие структуры, и обычные потребители.
Именно так, сообща, мы приблизим качественно новую эпоху в развитии информационного пространства. Эпоху безопасного Интернета вещей.
Автор: Максим Бобровский