Стремительный рост популярности интернета вещей — экосистемы подключенных к интернету бытовых устройств — открывает широкие возможности не только для пользователей, но и для хакеров, предупреждает компания Hewlett-Packard. Согласно исследованию, проведенному сотрудниками подразделения безопасности HP Fortify, большинство устройств интернета вещей имеют серьезные уязвимости, ставящие под угрозу безопасность своих владельцев.
HP обнаружили множество незащищенных мест, проверив десять основных устройств интернета вещей на наличие угроз безопасности. В исследовании не уточняют, о каких именно устройствах идет речь, подчеркнул глава практики Fortify on Demand в HP Fortify Дэниел Майсслер. Цель исследования — не обвинить конкретных производителей, а скорее обратить внимание на определенные области риска, рассказал он изданию EWeek.
В частности, эксперты HP выяснили, что 70% устройств, подключенных к интернету, используют незашифрованные сетевые сервисы.
Когда данные передаются по сети незашифрованными, злоумышленники могут перехватить эту информацию.
В восьми из десяти случаев проверенные девайсы — термостаты, домашняя сигнализация, выключатели света и т.д. — выдавали информацию, которая могла включать имя пользователя, его адрес, электронную почту, дату рождения или данные о банковском счете.
Кроме того, у 60% устройств небезопасный веб-интерфейс, причиной которого служат слабые полномочия, а также риски Cross Site Scripting. Большинство проверенных устройств также не имеют жестких требований к паролям — они разрешают пользователям использовать в качестве паролей даже совершенно очевидные комбинации, которые легко подобрать, например «12345».
В среднем HP обнаружили 25 различных уязвимостей в каждом проверенном устройстве».
«В условиях ширящегося применения подключаемых к сети устройств сейчас как никогда важно с самого начала укреплять безопасность этих продуктов, чтобы отразить атаки злоумышленников и предотвратить серьезные риски для потребителей», — заявил вице-президент Fortify по корпоративной безопасности Майк Армистид.
В основном уязвимости, выявленные в ходе исследования, не новы: например, шифрование данных и надежные пароли уже давно считаются привычными мерами интернет-безопасности. Специфика интернета вещей состоит в том, что компоненты соединяются новыми способами: «умные» девайсы, как правило, связываются с мобильными устройствами, у которых могут быть собственные уязвимости и недостатки безопасности, говорит Дэниел Майсслер. Устройства интернета вещей также используют и сетевой трафик, и соединение с облаком, которые также должны быть надежно защищены.
«Каждая из этих точек соприкосновения имеет уязвимости, которым можно посвятить целые книги, но интернет вещей отличает то, что все эти уязвимости собраны в одной экосистеме», — говорит Майсслер.
Обратить внимание на безопасность следует не только вендорам, но и самим пользователям, рекомендует он: «Вы можете заключить устройства, подключенные к интернету вещей, в отдельную сеть. Вы должны разделять сети, так что «умные» девайсы не могут связываться с другими вещами, подключенными к защищенной сети». Если следовать этим рекомендациям, хакер, получивший доступ к какому-либо из «умных» устройств, будь то дверь гаража или термостат, не сможет получить доступ к остальной сети и украсть данные пользователя.
С безопасностью интернета вещей все достаточно плохо, потому что интернетом вещей сейчас по сути мало кто пользуется, и производители уделяют ему недостаточно много внимания, рассказал «Газете.Ru» технический директор Redmadrobot Артур Сахаров.
Чтобы вывести из строя холодильник вашего соседа от другого производителя, злоумышленнику пришлось бы искать уязвимости заново. Все это в глобальном масштабе было похоже на мелкие забавы и небольшое вредительство, — говорит он. — Если же интернет вещей — это не один холодильник, а локальная сеть с множеством устройств в пределах одного дома, то опасность взлома имеет куда более серьезные последствия».
К 2020 году к интернету вещей будет подключено примерно 26 млрд устройств, прогнозируют в HP. «К счастью, еще есть время принять меры по обеспечению безопасности устройств, до того как пользователи окажутся под угрозой», — отмечают в исследовании.
Низкий уровень безопасности «умных» вещей обусловлен слабой развитостью технологии в целом: понятие «интернет вещей» появилось 25 лет назад, но сама технология пришла в нашу жизнь несколько лет назад и находится в зачаточном состоянии, говорит аналитик ИК «Фридом Финанс» Шамиль Курамшин.
«Учитывая социальную значимость интернета вещей и, более того, потенциальную опасность в случае перехвата контроля над некоторыми объектами, как автомобиль, думаю, со временем будут установлены стандарты безопасности, включающие в себя обязательное шифрование кода и запрет на управление некоторыми функциями удаленно или без аутентификации», — прогнозирует он.