В наших домах уже светят умные лампочки, а новой бытовой техникой можно управлять при помощи смартфона. Интернет вещей перестал быть концепцией. Он – уже здесь, вокруг нас. Он делает проще жизнь многих людей. Но за эту простоту приходится платить высокую цену. Речь идет об растущих угрозах информационной безопасности.
Безопасность интернета вещей в этом году стала главной темой хакерской конференции Def Con в Лос-Анджелесе. Около 15 тыс ведущих мировых специалистов по безопасности собрались вместе, чтобы обсудить способы защиты в изменившемся мире.
За последние месяцы экспертам удалось отыскать уязвимости практически во всех типах подключенных устройств. Программные дыры были найдены во всём – в умных телеприставкак и дверных замках, в солнечных батареях и термостатах, в автомобилях и даже в секс-игрушках.
Появились и доказательства того, что киберпреступники начинают в полной мере осознавать открывшийся им потенциал интернета вещей. На данный момент один из самых популярных способов применения подключенных устройств – DDoS-атаки.
Зараженные гаджеты по приказу хакера начинают единовременно посылать запросы на какой-либо веб-сайт, перегружая и обваливая его. Раньше для этих целей использовались только находящиеся в онлайне компьютеры. Позже к ним присоединились сетевые принтеры, смартфоны и прочие устройства, всё время подключенные к интернету. Но сейчас в таких атаках участвуют даже умные лампочки. Более того, лампочки взламывать оказалось куда проще, чем персональные компьютеры. В общем, с интернетом вещей в руки киберпреступников попал эдакий «DDoS-автомат» практически неограниченной мощности.
Растущая угроза
Хотя киберпреступники могут использовать подключенные устройства в своих целях, вряд ли эти гаджеты сами станут целью злоумышленников. Пожалуй, хакеры могли бы попытаться блокировать бытовую технику и требовать от пользователей «выкуп» за разблокировку. Но, по мнению экспертов, подобные действия слишком рискованы и экономически неоправданы. По словам Рэймунда Генеса, главы европейского подразделения Trend Micro, такие единичные атаки могут осуществляться, чтобы поднять шум в обществе, но не с целью заработка.
Угроза, исходящая от интернета вещей, становится понятной, если рассматривать подключенные устройства как часть единой экосистемы. «Ваш мобильный телефон – часть цепи, куда входят также приложения, облачные сервисы и другие подключенные устройства. Уязвимость в любом из элементов этой цепи компрометирует всю систему целиком», – поясняет Дерэл Хеиленд, исследователь кибербезопасности из компании Rapid7.
Многие компании, производящие устройства интернета вещей, недостаточно серьезно относятся к вопросам безопасности. Иногда они даже игнорируют найденные уязвимости и не выпускают программные обновления для своих продуктов. Тем не менее, рядовые пользователи пока не столкнулись с последствиями плохой безопасности. Чего не скажешь о бизнесе.
Сегодня многие крупные компании устанавливают в своих офисах и фабриках умные системы отопления и освещения. Такие системы помогают реально экономить на тепле и электроэнергии. Предполагается, что устройства, ориентированные на крупные предприятия, должны быть защищены лучше, чем гаджеты для широкого рынка. Увы, это не так. Компания Rapid7 изучила множество подключенных устройств, которыми пользуется крупный бизнес. Все эти устройства могут «похвастаться» теми же проблемами безопасности, что и гаджеты для обычных пользователей.
Именно эти устройства станут главной целью хакеров, стремящихся проникнуть в корпоративные сети.
Кто виноват?
Сесар Серрудо, главный инженер по безопасности компании IOActive уверен, что во всем виноваты стартаперы. По его словам, маленькие молодые компании, создающие новые гаджеты, практически никогда не уделяют должного внимания безопасности. Очень часто они торопятся выпустить продукт на рынок как можно быстрее, потому вообще не защищают его.
Как следствие, многие устройства попадают на рынок с уязвимостями, о которых было известно уже очень давно. Более того, для этих уязвимостей были выпущены соответствующие исправления. То есть, все, что требовалось от разработчиков, чтобы избежать проблем – хотя бы чуть-чуть поинтересоваться вопросами безопасности. Залатать уязвимости постфактум гораздо сложнее, чем сделать систему безопасной на стадии разработки. Потому и спустя месяцы после выхода товара на рынок многие «дыры» остаются открытыми.
Сможет ли интернет вещей стать безопасным? Вероятно да. Но лишь тогда, когда подавляющее большинство разработчиков начнет с большей ответственностью относиться к защите своих гаджетов.