Заключение
В этой главе говорилось о различных причинах утечки данных при работе с мобильным устройством и связанных с этим опасностях. В сущности, она неразрывно связана со всеми предыдущими, и в ней повторяется многое из сказанного выше. Тем не менее в главе немало информации о том, что угрожает именно мобильным устройствам, и советов по безопасности. Вы узнали, каким образом ваши данные с мобильного устройства могут попасть к злоумышленникам и как это предотвратить.
В следующей главе мы рассмотрим еще более уязвимую технику – устройства интернета вещей.
Глава 11Интернет вещей
Некоторые люди не знают, зачем вообще менять его (пароль администратора), ведь все работает, и камера передает видео! А когда обнаруживается, что она используется для DoS-атак или слежки, – иногда уже слишком поздно. …То же – в случае целевой атаки, когда с помощью этого устройства похищается информация: люди понимают, что что-то не так, когда банковский счет уже пуст[1076].
Интернет вещей состоит из миллиардов интеллектуальных устройств, взаимодействующих с людьми, механизмами и окружающей средой. IoT-устройства проникли во все сферы – одни передают телеметрические данные и следят за безопасностью периметра, другие обеспечивают бесперебойную работу промышленности и эффективную логистику, третьи контролируют обогрев дома или занимают ребенка в отсутствие родителей. С помощью средств интернета вещей магазины и кафе анализируют поведение клиентов и привлекают их персональными предложениями, страховые компании анализируют манеру вождения клиентов, а сельскохозяйственные предприятия следят за состоянием полей и здоровьем и местонахождением скота.
КЕЙС В 2015 г. специалисты по ИБ из компании Trend Micro создали ханипоты (honeypots – дословно «горшочки с медом») – приманки для хакеров, имитирующие функционирующие системы мониторинга, которые используются на автозаправочных станциях с автоматизированными системами контроля топлива и утечек[1077] (ATG). В результате были обнаружены группы хакеров (в частности, иранская группировка Dark Coder), которые пытались взломать системы и перехватить управление АЗС[1078]. В 2015 г. было обнаружено, что более чем на 5800 АЗС с ATG в мире не был установлен пароль доступа, и это позволяло злоумышленникам блокировать работу станций[1079].
Пользовательские IoT-устройства, о которых пойдет речь в этой главе, делают жизнь потребителя комфортнее и заботятся о его здоровье. К таким IoT-устройствам относятся «умные» телевизоры, рекламирующие контент на основе предпочтений владельца; игрушки, развивающие и обучающие ребенка; смарт-колонки, по запросу пользователя оповещающие о прогнозе погоды, если тот собирается на работу, или включающие музыку. Многие IoT-устройства оборудованы датчиками, позволяющими девайсу реагировать на условия окружающей среды, например умеют автоматически включать освещение при наступлении сумерек или стричь газон, когда трава достигает определенной высоты. Фитнес-браслеты (или фитнес-трекеры) и смарт-часы фиксируют пульс и температуру, позволяя наблюдать за здоровьем и спортивными тренировками, а «умные» ошейники оповещают о координатах домашнего питомца, пройденном им расстоянии и количестве потраченных калорий. Существует «умная» одежда, измеряющая физиологические показатели, как и фитнес-трекеры; отображающая эмоции человека в виде световых сигналов и даже позволяющая принимать звонки, открывать приложения и отправлять сообщения на связанном с ней смартфоне.
Количество IoT-устройств
По словам Дейва Эванса, технолога и футуролога компании Cisco, временем рождения интернета вещей принято считать 2008–2009 гг., когда количество подключенных к интернету устройств превысило население Земли. В 2010 г. на одного жителя планеты приходилось уже 1,84 устройства с подключением к интернету, к 2015 г. количество таких девайсов выросло до 3,47, а к 2030 г., как прогнозируется, будет подключено 100 млрд устройств, что на порядок больше численности населения Земли[1080]. Стоит отметить, что при расчетах использовалась численность всего населения земного шара, в то время как на многих территориях еще не было доступа к интернету (и в течение следующего десятилетия он появился не везде). Если сократить выборку до количества людей, действительно имевших доступ к интернету, то количество IoT-устройств, приходившихся на человека, возрастало в несколько раз[1081].
Развитие интернета вещей несет в себе новые опасности для пользователей, в дополнение к тем, что уже существуют в сфере цифровых технологий. Некоторые девайсы интернета вещей способны взаимодействовать с физическим, реальным миром, что при их неправильном функционировании или в случае хакерских атак может привести к катастрофическим последствиям. Злоумышленник может дистанционно подключиться к IoT-системе и погрузить во тьму предприятие или даже целый город, вызвав хаос и спровоцировав мародерство; перехватить управление беспилотным автомобилем, чтобы совершить теракт; повлиять на работу кардиостимулятора[1082]. Кроме того, IoT-устройства нередко используются в составе ботнетов, таких как Mirai, в частности, для реализации масштабных DDoS-атак[1083]. К примеру, весной 2020 г. был обнаружен ботнет из 400 000 скомпрометированных устройств под управлением контроллера светодиодного освещения[1084]. При этом пользователь зачастую не способен вмешаться, чтобы предотвратить некорректную работу устройств, из-за невозможности конфигурирования системы их защиты.
Опасности IoT-устройств
Когда мы подключаем к интернету привычные цифровые устройства, такие как телефоны и компьютеры, то сами вносим существенный вклад в безопасность, например устанавливая надежный пароль и не посещая фишинговые сайты. Но производители IoT-устройств часто не обеспечивают надежную их киберзащиту. Так, нередки случаи, когда для административного доступа к IoT-устройству используется связка простых логина и пароля, причем их нельзя заменить на более надежные. В системе контроля за доступом PremiSys логин и пароль администратора были жестко вшиты в памяти устройства. Это позволило злоумышленнику, получившему доступ к системе, создавать новых пользователей и блокировать карты, необходимые для открытия дверей с этой системой[1085]. Иногда одни и те же логины и пароли используются для всей серии устройств либо пароль генерируется по определенному алгоритму, взломав который хакер потенциально может получить доступ ко всем экземплярам этой модели, особенно если нет защиты от брутфорса. Такая ситуация произошла в 2018 г. с системой видеонаблюдения Guardzilla: в код программного обеспечения были зашиты данные для доступа к облачному аккаунту Amazon Web Services, где хранились видеофайлы всех пользователей этих камер[1086].
В 2017 г. специалисты «Лаборатории Касперского» обнаружили уязвимости в средствах автоматизации автозаправочных станций, расположенных по всему миру. По сути, уязвимости (в частности, вшитые в код логин/пароль администратора с максимальными правами) предполагали несанкционированный дистанционный доступ к центральным узлам тысяч АЗС, получив который злоумышленники могли бы отключать заправочные системы, вызывать утечки топлива, менять цены на бензин, красть данные и финансовые средства путем взлома платежного терминала, похищать сведения о номерных знаках машин и личных данных водителей и т. п.[1087]
В другом случае исследователям удалось получить доступ к программному обеспечению автомойки PDQ LaserWash, подключенной к интернету. Подобрав несложный дефолтный пароль, которым был защищен доступ в систему, специалисты смогли открывать и закрывать ворота, пускать воду и отключать инфракрасные датчики. Кроме того, им удалось придавить автомобиль воротами; такие действия могут привести к его повреждению и травмированию находящихся в нем людей[1088].
В IoT-сетях могут использоваться недостаточно защищенные протоколы или слабое шифрование (в ряде случаев его и вовсе нет). Тогда возможны MiTM-атаки: злоумышленник может перехватывать передаваемые данные, изменять, подделывать или удалять их.
Перехват управления IoT-компонентами систем «умного» дома может грозить как мелкими неприятностями, такими как заказ взломанным «умным» холодильником 50 л молока и ложный вызов пожарной бригады из-за срабатывания противопожарного датчика, так и крупными проблемами. Например, хакер может заблокировать двери автомобиля или дома, требуя выкуп; дистанционно отключить сигнализацию перед кражей; спровоцировать пожар, взломав «умный» обогреватель или плиту; проанализировав уровень освещенности или громкости звука в помещении либо перехватив голосовые команды владельца «умного» дома, узнать о его присутствии[1089].
КЕЙС В одном из американских казино был установлен «умный» аквариум с функциями автоматического контроля за кормлением рыбок и слежения за характеристиками воды. Термостат аквариума был подключен к интернету, чтобы обслуживающий персонал знал о перегреве или, наоборот, чрезмерном охлаждении воды. Несмотря на меры предосторожности (на устройстве был настроен отдельный защищенный VPN-канал с целью предотвращения доступа к внутренней сети казино), хакеры все же смогли скомпрометировать термостат и использовать его, чтобы получить доступ к другим узлам в сети казино. Прежде чем взлом был обнаружен и лазейка закрыта, злоумышленники успешно похитили 10 Гб данных и передали их на некий сервер в Финляндии. Атака оказалась успешной, так как для взлома использовалось необычное устройство. Инцидент говорит о том, что нужно тщательно контролировать пользователей и устройства, включая «умные» аквариумы