узившего свой список контактов, будет только ваш номер телефона, у второго – ваш номер и фотография, а третий опубликует у себя вашу фотографию, не указав, кто конкретно находится на снимке (причем все эти трое могут быть не связаны между собой), алгоритмы соцсети сопоставят данные из всех четырех источников. Система свяжет трех пользователей сети, так как они знакомы с вами, и предложит им подружиться[494]. А еще создаст ваш теневой профиль, в котором будут сохранены связи со всеми тремя пользователями (которые впоследствии будут предложены вам в «друзья», если вы зарегистрируетесь), а также будет ваш телефон и обе фотографии (благодаря алгоритмам распознавания лиц). Учитывая, что, вероятнее всего, номер телефона или адрес электронной почты в списке хотя бы одного пользователя сопровождается именем, а часто – и фамилией, система сопоставит их с вашим телефоном и запишет в теневой профиль. Таким образом в него вносится любая информация, в том числе и «потенциально реальные» имя/фамилия из списков контактов и псевдоним, под которым вы впоследствии можете захотеть зарегистрироваться.
Фотографии с вашим изображением могут попадать в интернет без вашего ведома разными путями. Например, ваши друзья могут публиковать совместные фотографии, иногда даже указывая, кто изображен на снимке вместе с ними. Вас могут зафиксировать системы видеонаблюдения, повсеместно устанавливаемые в городах как государственными организациями, так и коммерческими компаниями. Вы можете случайно попасть в кадр, когда посторонние люди, например туристы, ведут фотосъемку. Ваши фотографии могут попасть в открытый доступ в результате утечек из различных баз данных, причем вместе с фото там может храниться текстовая информация о вас, цифровые копии ваших документов и т. п.
Важный аспект при использовании устройств интернета вещей, на который сегодня почти не обращают внимания не только их владельцы, но и производители, – защита от несанкционированного доступа. В соответствующей главе мы подробно рассмотрим угрозы, связанные с IoT-девайсами, а сейчас обратим внимание только на те, которые связаны с устройствами, оборудованными камерами.
КЕЙС Уязвимость, возникшая из-за дефолтной и неизменяемой связки логина и пароля[495] администратора в прошивках IoT-девайсов, привела к созданию в 2016 г. одного из крупнейших ботнетов[496] под названием Mirai, состоящего из более чем 400 000 зараженных устройств. С помощью Mirai злоумышленники смогли вести крайне мощные DDoS-атаки, в том числе против сервис-провайдера Dyn, что вывело из строя сотни сайтов, включая Twitter, Netflix, Reddit и GitHub[497]. Угроза заражения Mirai (как и возникновения других ботнетов) была актуальна, и более того, в момент написания этой книги, создавались новые модификации трояна для других типов устройств, например телевизоров и беспроводных презентационных систем. Атаки с помощью ботнетов становятся более мощными, достигая интенсивности в десятки гигабит в секунду[498].
В большинстве случаев уязвимости в IoT-устройствах позволяют хакерам вести ботнет-атаки, но они также могут использоваться для шпионажа за владельцами или вывода девайсов из строя. Например, ведя атаку с учетом особенностей и уязвимостей облачной архитектуры, злоумышленник может получить административный доступ к камере и не только наблюдать за происходящим в зоне видимости камеры и управлять углом ее обзора (если камера имеет данную функцию), но и клонировать камеру, чтобы настоящий владелец видел изображение с камеры-клона на стороне злоумышленника, а настоящая камера при этом отключалась[499]. В процессе исследования видеокамер (видеонянь) типа Samsung SmartCam эксперты «Лаборатории Касперского» смогли перехватить видеоизображение, подслушать звук и даже извлечь информацию об их местонахождении. Мошенники могут таким образом выяснить местонахождение камеры, дождаться отъезда жильцов и проникнуть в дом. При этом они способны для усыпления бдительности владельца клонировать камеру и передать ему поддельное изображение (статичную фотографию интерьера) либо просто вывести камеру из строя[500].
Примечание. Стоит отметить, что многие уязвимости, обнаруженные исследователями в устройствах Samsung SmartCam, уже закрыты разработчиком, но данная информация касается только одной линейки определенного производителя. Кроме того, по мере усложнения аппаратного и программного обеспечения устройств возникает все больше новых уязвимостей[501].
Многие IoT-девайсы с камерами дополнительно оснащены микрофоном и динамиком, и злоумышленник, определив, что дома нет никого, кроме ребенка, может втереться к нему в доверие и попросить открыть дверь, заявив, что в подъезде его ждет подарок и т. п.[502]
КЕЙС В 2014 г. на одном из российских сайтов в открытом доступе велась трансляция с тысяч взломанных веб-камер частных лиц и компаний из 250 стран мира. В большинстве случаев были доступны трансляции с камер на американском континенте (свыше 4500), но можно было получить доступ и к камерам в Европе, в том числе в России – в домах жителей Королева, Москвы, Краснодара и других городов. Это стало возможным из-за того, что владельцы камер использовали дефолтные связки логина и пароля[503]. Впоследствии сайт закрыли, но трансляции по-прежнему ведутся на других ресурсах в интернете[504].
Особенное внимание стоит уделять современным «умным» игрушкам и IoT-устройствам, с которыми взаимодействуют дети. Злоумышленники могут взламывать такие устройства и наблюдать за детьми и даже общаться с ними. Ребенок мало знает о безопасности и соблюдении конфиденциальности. Более того, если он использует «умную» игрушку, то может разговаривать с ней, как разговаривает с обычной куклой. Тогда риск утечки приватных данных особенно велик. Случаи с такими игрушками, как кукла My Friend Cayla[505] или плюшевые животные CloudPets[506], мы обсудим в главе, посвященной IoT-устройствам. Преступник может выяснить, когда родителей нет дома или где хранятся определенные вещи и т. п. Угрожая ребенку, злоумышленник может вынудить его не рассказывать родителям об их коммуникациях и выяснить информацию, необходимую для совершения преступления.
КЕЙС В 2016 г. злоумышленник взломал видеоняню с системой ночного видения и шпионил за трехлетним сыном семейной пары из Вашингтона. Иногда он разговаривал с мальчиком, чем очень пугал его. Сначала родители не верили ребенку, но однажды мать вошла в детскую и услышала фразу «Проснись, маленький мальчик, папа ищет тебя», произнесенную злоумышленником[507].
Кроме того, многие «умные» игрушки могут снабжаться мобильным приложением и подключаться к нему через уязвимый протокол Bluetooth, часто без пароля. В результате находящийся поблизости злоумышленник может не только следить за ребенком, но и общаться с ним.
Еще один недостаток «умных» игрушек: они предлагают указывать персональную информацию – например, для регистрации профиля ребенка или в процессе коммуникации с ребенком (игрушки могут записывать и передавать реплики ребенка на серверы компании-разработчика, где их распознают и отвечают на них). Так, куклы My Friend Cayla предлагают детям сообщить имена родителей, информацию о месте жительства, название школы и т. д. Злоумышленники могут перехватить такую информацию и использовать ее при планировании преступлений[508].
«Взрослым игрушкам» тоже угрожает утечка персональных данных, в том числе и фотографий с видеозаписями. Например, вибратор Siime Eye американской компании Svakom «прославился» тем, что в зоне действия беспроводной сети любой желающий, используя дефолтный логин и пароль, может подключиться к нему и просматривать изображение со встроенной в него камеры[509].
Аудио– и видеоконференции часто используются в корпоративной среде для проведения совещаний, особенно если в компании есть сотрудники, которые работают удаленно. Особенный всплеск интереса к видеоконференциям произошел весной 2020 г., во время пандемии COVID-19, когда во многих странах из-за карантина вынужденно перешли на дистанционные формы обучения и работы.
При проведении групповой онлайн-конференции используется специальное программное обеспечение, например Skype или Zoom. Интерес к последнему сервису возник из-за наличия веб-интерфейса и возможности запланировать конференцию (например, дистанционный урок в школе). Благодаря этим особенностям Zoom опередил по популярности Skype, но он существенно менее безопасен. Как выяснилось, в Zoom присутствует немалое количество уязвимостей, и, хотя разработчики стараются их оперативно закрывать, некоторые бреши могут оставаться. В частности, в клиенте для операционной системы Windows были обнаружены проблемы, позволяющие злоумышленникам перехватывать учетные данные пользователей и даже получать удаленный доступ к файлам на их устройствах, подключаться к чужим конференциям, демонстрировать посторонний контент[510]