Цивилизация
Отчет компании HP об уязвимости IoT-решений еще в 2015 году напомнил о важной проблеме безопасности технологий. В IoT Security Study: Home Security Systems Report производитель принтеров и ноутбуков рассмотрел 10 современных домашних систем безопасности.
Учитывая их уязвимость, эксперты обнаружили, что владелец дома может быть не единственным, кто управляет техникой, подключенной к сети.
В HP отмечают, что владельцам таких систем необходимо принять определенные меры для защиты собственного дома от простых атак со стороны злоумышленников.
В первую очередь компания вспомнила про главную заповедь цифровой безопасности — надежный пароль. Также эксперты рассказали про настройки отображения сети, разделение подключений и принцип недоверия третьим лицам, которые дотрагиваются до техники пользователя.
Однако специалисты обратили внимание, что профессиональных хакеров подобные способы обеспечения безопасности при желании не остановят. Последние события показывают, что усилия компаний по просвещению пользователей о заботе над своей цифровой защитой остаются порой проигнорированными.
Заместитель директора по развитию бизнеса компании Positive Technologies в России Алексей Качалин в беседе с «Газетой.Ru» сообщил, что технологии, на которых построены «умные» дома, сочетают в себе как привычные элементы IT-решений (приложения для мобильных девайсов, облачные системы), так и относительно новые устройства: датчики и контроллеры.
«Каждый из перечисленных элементов, как уже неоднократно демонстрировалось на практике, может содержать (и содержит) уязвимости», — добавил специалист.
Агрессивный термостат
Сайт Motherboard в начале августа рассказал случай, который напоминает один из эпизодов популярного сериала «Мистер робот». Издание подробно описало, как исследователи безопасности использовали баг в прошивке термостата, чтобы установить на него вредоносное программное обеспечение.
Обнаружив дыру в безопасности, им удалось изменять температуру устройства, поднимая ее до максимальной или опуская до минимальной. Для того чтобы остановить переохлаждение или перегрев, жертве техники необходимо было перевести на счет взломщиков определенную сумму. Она выводилась на дисплей термостата.
Исследователи не назвали подробностей того, как обнаружили уязвимость, так же как и модель взломанного устройства. Известно лишь, что аппарат оборудован разъемом для SD-карт и работает под управлением операционной системы Linux.
В ходе своих изысканий специалисты выяснили, что термостат не проверяет документы, которые открывает. Следовательно, в него под видом изображения можно загрузить любой файл.
Как отмечает издание, самой большой проблемой для исследователей стало убеждение владельца термостата скачать вредоносное ПО на устройство. Один из путей решения проблемы — передать файл под видом новой прошивки.
«Если устройство стало частью глобальной сети, то и угрозы из этого виртуального мира становятся для него реальностью. При этом компрометация подключенного к интернету устройства может открыть для злоумышленника интересные возможности — все зависит от конкретного гаджета», — предупреждает в разговоре с «Газетой.Ru» антивирусный эксперт «Лаборатории Касперского» Денис Легезо.
Однако, по его словам, в настоящее время мало известных атак на подключенную к сети бытовую технику. Легезо считает, что это связно с тем, что самих устройств пока не так много.
Эксперт полагает, что возможность компрометации защиты IoT-решений прежде всего подвергает опасности частную жизнь пользователя. «Взлом устройства открывает доступ к данным о его местонахождении, состоянии здоровья, фотографиям. Можно перехватывать разговоры, в том числе деловые и т.д.», — поясняет Легезо.
Взлом «умного» телевизора, оснащенного камерой и микрофоном, может позволить злоумышленникам наблюдать за владельцем без его ведома. В то же время доступ к данным, которые генерирует фитнес-браслет, способен обеспечить частичный доступ к персональной и медицинской информации.
Кроме того, некоторые модели устройств позволяют хранить учетные данные для социальных сетей и даже данные банковских карт, а значит, их тоже можно украсть.
Контроль над автомобилем
Самой большой проблемой, как считает Легезо, являются потенциальные кибератаки на автомобили. «Взлом машины — это прямая угроза для жизни его владельца. Если злоумышленник получил удаленный доступ к автомобилю, это значит, что он может включить или выключить любую систему в любое время: повернуть руль, нажать на газ или тормоза, выключить фары», — поясняет спикер.
В качестве примера сотрудник «Лаборатории Касперского» привел эксперимент американских исследователей со взломом Jeep Cherokee.
На момент начала атаки жертва хакеров ехала со скоростью 110 км/ч по автостраде в центре города Сент-Луиса. «Пока два взломщика удаленно играли с кондиционером, радио и стеклоочистителями, я гордился своим самообладанием. И в этот момент они добрались до коробки передач», — пишет журналист Wired, который находился за рулем взломанной машины.
Злоумышленники заполучили контроль над акселератором и тормозной системой машины, а также стеклоочистителями и клаксоном.
Для того чтобы удаленно управлять автомобилем, взломщикам понадобилось взломать мультимедийную систему Uconnect через сотовое соединение.
«Таким образом можно добраться до машины, несущейся по шоссе где-то по стране, далеко от взломщика. Вот она, та поворотная точка, после которой удаленный взлом автомобиля становится реальностью», — отмечает обозреватель издания.
Специалисты по безопасности пришли к выводу, что в результате потенциальной угрозы злоумышленник от одной мультимедийной системы к другой сможет заразить другие машины по сети оператора и создать ботнет из сотен тысяч машин с удаленным управлением.
Но благодаря обнаруженной уязвимости производители «умных» систем в автомобилях начали внедрять разнообразные меры для защиты от киберугроз.
Как защитить свой дом
При выборе решений, составляющих «умный» дом, пользователям необходимо изучить, подумал ли изготовитель о том, какие пользовательские данные будут храниться и обеспечивается ли защита данных при их передаче.
«Важно понять: если у злоумышленника появятся новые возможности для несанкционированного доступа, например, к дверному замку дома через мобильный телефон, то могут ли они быть ограниченны (или хотя бы проконтролированы). Например, через журнал действий на сервере», — указывает Качалин.
В свою очередь, Легезо полагает, что зачастую при создании устройств инженеры просто не думают про важность информационной безопасности. «Еще недавно сложно было представить атаку, начавшуюся с кондиционера, теперь приходится думать о защите при разработке любых устройств, смотрящих во внешний мир. Нужно сменить восприятие таких устройств», — поясняет эксперт.
Прежде всего, нужно изменить восприятие самой техники, подключенной к сети. Представитель «Лаборатории Касперского» считает, что как производителям, так и пользователям пора начать относиться к подобным вещам не как к обычным телевизору или автомобилю, а учитывать все риски подключения к интернету.
«Это уже другие устройства, обладающие несоизмеримо большими возможностями, и их необходимо защищать», — говорит Легезо.
Пользователям необходимо вовремя устанавливать обновления, особенно если они выходят после закрытия обнаруженных уязвимостей. Также настоятельно рекомендуется скачивать приложения для устройства только в официальных магазинах, а не на сторонних ресурсах.
