Аналитика

Интернет дырявых вещей

⇣ Содержание

Словосочетание “Интернет вещей” нынче доносится буквально отовсюду. Все IT-компании будто помешались на подключенных к Сети устройствах, и вместе с “инновации, эффективность, развитие, будущее” и другими стандартными словами теперь регулярно можно услышать что-то именно про то, какой это гигантский шаг в будущее и как подключенные устройства изменят мир. Пожалуй, по популярности Интернет вещей обогнал даже облака.

Вот только на практике все не так гладко, как в рекламных проспектах и презентациях на выставках. О сложностях подключения миллионов устройств к Сети может рассказать, например, компания Ericsson, занимающаяся стандартизацией сотовых сетей 5G. А о безопасности Интернета вещей может поведать практически любая компания, имеющая к этой самой безопасности хоть какое-то отношение. И общая идея в таком рассказе будет очень простой: нет там никакой безопасности. Этому, в том числе, был посвящен один из докладов на хакерской конференции PHDays, проходившей в Москве 17-18 мая.

#Безопасность? А зачем?

Знакомы с умными светодиодными лампами LifX, которые умеют менять цвет свечения по команде со смартфона? Они удобны, но небезопасны. Обычно ламп LifX в доме сразу несколько, и в этом случае одна из них всегда работает как мастер, принимая команды от смартфона, а остальные получают указания уже от нее. При этом все они подключены к вашей домашней Wi-Fi-сети. Исследователям из компании Context удалось обмануть LifX: они, так сказать, прикинулись новой лампочкой в системе — и мастер-лампа отправила им данные о Wi-Fi-подключении. То есть логин и пароль от домашней Wi-Fi-сети!

Да, эти данные LifX передает в зашифрованном виде. Однако ключ от шифра один для всех ламп LifX на свете (был до недавнего времени). Он хранится в прошивке самой лампочки, которую, как оказалось, не так уж трудно извлечь из ее микроконтроллера. К чести LifX, скажем, что компания быстро отреагировала на проблему и выпустила обновление прошивки, устраняющее эту уязвимость. Но осадочек остался, а также остались тысячи ламп со старой прошивкой, пользователи которых просто не потрудились загрузить новую.

Изображение с сайта lifxrus.ru

Изображение с сайта lifxrus.ru

Еще пример. В США очень популярна домашняя беспроводная сигнализация SimpliSafe, которой пользуется более 200 000 человек. Устроена она просто: войдя домой, пользователь набирает на цифровой панели код — и, если он правильный, сигнализация выключается. Если же код не был набран либо не совпал, ну или если беспроводные датчики движения засекли в доме какую-то активность либо дым, сигнализация с помощью сотовой связи звонит вам, а также в полицию и пожарным. Для пущего удобства SimpliSafe предлагает брелок — он позволяет не набирать код, а нажать всего одну клавишу еще на подходе к дому.

Независимый исследователь Эндрю Зонненберг попытался сигнализацию взломать — и это удалось ему чрезвычайно легко. Ему даже не потребовалось находить код — он смог считать сигнал, который генерирует основной блок или брелок, когда ключ введен верно.

Зонненберг первым делом проинформировал компанию SimpliSafe — и больше никому ничего не говорил. Прошло 5 месяцев, но ответа не последовало. Затем Зонненберг решился опубликовать в своем блоге пост о том, что он обнаружил. Прошло еще пять месяцев — SimpliSafe так ничего и не исправила. После публикации материала по теме на достаточно крупном сайте techinsider.io SimpliSafe наконец среагировала: дескать, это настолько нестандартный взлом, что он вряд ли будет осуществлен ворами на практике. Если же господа пользователи все равно изволят беспокоиться, то пусть почаще меняют код.

Ну и еще более масштабный пример. Есть такой достаточно популярный стандарт для Интернета вещей ZigBee, разработанный ZigBee Alliance, куда входят ARM, Samsung, Sony и другие вполне заметные на мировом уровне компании. Стандарт примечателен тем, что он открыт, очень прост в использовании и не требует дорогого железа — этим он и полюбился многим производителям всевозможных умных вещей. При этом стандарт гибкий – он позволяет производителям делать либо более сложные и безопасные устройства, либо менее сложные (и менее безопасные). Менее сложные, понятное дело, дешевле, так что большинство выбирает именно этот вариант.

www.power-eetimes.com

www.power-eetimes.com

Как обычно, кто-то (в данном случае — австрийская компания Cognosec) решила проверить: а как там дела с безопасностью? Выяснилось, что с безопасностью дела плохи. При перезагрузке или в режиме подключения новых устройств хаб ZigBee передает в локальную сеть ключи. В простой и дешевой модификации — прямым текстом, без какого-либо шифрования. Перехватили ключи? Добро пожаловать, хозяин: теперь вы можете управлять всем умным домом. Кстати, стандарт ZigBee подразумевает подключение к хабу замков, термостатов, камер слежения, систем управления энергопотреблением и так далее. То есть злоумышленник может делать с домом вообще что угодно — на что фантазии хватит. Проблема в том, что как-то залатать эту дыру в стандарте невозможно — он уязвим, что называется, by design, просто из-за самой идеи, заложенной в него при проектировании.

#Кто виноват? Что делать?

Для подобных взломов необходимо некоторое количество знаний и аппаратура вроде SDR (“программно-определяемого радио”), стоимость которой не превышает тысячи долларов. То есть в целом — ничего сверхъестественного и недоступного тому, кому очень захочется что-нибудь взломать. При этом подобные дыры встречаются в Интернете вещей на каждом шагу. В автомобилях, в поездах — во всем.

Почему так получается? На этот вопрос мы уже, по сути, ответили. Дело в том, что компании-разработчики куда больше обеспокоены вопросом стоимости устройств, функциональности и времени выхода на рынок, нежели безопасностью. Безопасность — это всегда дорого (требуются дополнительные люди и дополнительное железо), долго (требуется дополнительное время на внедрение и проверку), и вообще безопасные устройства чаще всего куда сложнее небезопасных. При этом полностью безопасным цифровое устройство, подключенное к Сети, невозможно сделать в принципе. 

Джефф Кац (Jeff Katz), читавший доклад о безопасности Интернета вещей на конференции PHDays, произнес по этому поводу очень запоминающуюся фразу: “Нельзя сказать, что устройство на 100 процентов безопасное. Мы можем говорить что это устройство, кажется, безопасно или что оно точно не безопасно. То есть либо в нем уже нашли уязвимости, либо еще не нашли, но не факт, что так и не найдут. Более того, наверное, найдут — это вопрос больше сил и времени, чем того, есть ли уязвимости в устройстве. Наверняка есть.

Интернет вещей — очень сложная, очень масштабная и очень молодая штука. Плоскостей атак в нем полно — можно пытаться эксплуатировать уязвимости на уровне микроконтроллеров или прошивок к ним, можно пытаться перехватывать сигналы, можно искать дыры в отдельных сервисах, запущенных на устройстве, и так далее.

При этом часто устройствами для Интернета вещей занимаются маленькие компании, а то и вовсе одиночки, запустившие кампанию по сбору средств на очередной умный замок на Kickstarter. Кстати, задачка для не ленивых читателей — посмотрите на замок по ссылке и придумайте максимальное количество способов его взломать. Подсказка для ленивых читателей: программная обвязка замка подразумевает возможность открыть замок по определенной комбинации постукиваний по двери. Проходите вы, значит, мимо такой двери, когда владелец квартиры открывает замок, и…

Проблема, причем, не только в том, что устройства из Интернета вещей так легко взломать, а еще и в том, что они хранят ваши личные данные. Или даже такие данные о вас, которые вы, в общем-то, и не думали им доверять.

Начнем с того: а вы читате лицензионные соглашения при подключении к очередному облачному сервису? А знаете, где хранит ваши данные разработчик умного замка, который открывается из приложения для айфона? Может, в облаке? А какие данные он там хранит?

Чаще всего создатели устройств собирают слишком много данных. И у разработчика замка в облаке может оказаться, например, информация о IP-адресе, на который он отправляет вашему замку сигнал открыться или закрыться. А также история — в какой день и в какое время вы открывали или закрывали дверь. Если такую историю немного поизучать, можно составить примерное представление о том, когда вы бываете дома, а когда — на работе. Если же это была кампания на Kickstarter, то в облаке мог оказаться и ваш физический адрес проживания, на который вам отправляли посылочку с замком.

Очень живо представляется группа воров-домушников, высчитывающих по этим данным, когда вас нет дома. А затем они просто приходят к вам, открывают нехитрые цифровые замки с помощью перехваченного кода и отключают уязвимые сигнализации вроде SimpiSafe.

Причем отношение к личным данным у некоторых компаний бывает откровенно циничным. Умные телевизоры одного из крупнейших производителей по умолчанию непрерывно записывают звук — таким образом организовано голосовое управление. То есть сотрудники компании в непрерывном режиме могут слушать то, о чем вы говорите в своей гостиной. При этом компания заявляет, что она со всей ответственностью относится к пользовательским данным и стремится обеспечить их максимальную конфиденциальность.

А есть, например, такое устройство, как Amazon Echo, которое также в непрерывном режиме слушает вас, но в дополнение к этому хранит и обрабатывает полученные данные в облаке. А если в одном предложении есть слова “Amazon” и “обрабатывает данные”, то можно не сомневаться, что в результате вы вдруг начнете видеть рекламу того, о чем вы говорили в той комнате, где установлено Echo.

Но, допустим, мы — как пользователи — еще готовы простить то, что данные о нас попадают в руки Amazon, Google или Facebook. Мы надеемся, что у этих компаний все хорошо с информационной безопасностью, данные никуда не утекут и будут использоваться только для нашего блага и в точном соответствии с лицензионным соглашением (которое мы не читали). А вот у очередной маленькой компании, придумавшей какой-нибудь умный термостат, облако может быть далеко не таким защищенным — скорее всего, к его безопасности создатели термостата отнеслись так же, как к безопасности самого термостата. То есть данные могут утечь — и оказаться совсем не у тех, кому вы их доверяли.

Как от этого всего можно защититься? К сожалению, практически никак. Нет антивирусов и файерволлов для Интернета вещей. Нужно просто знать, что вы покупаете. Не поленитесь найти информацию в Интернете и лишний раз подумать: а нужна ли вам симпатичная лампа LifX, которая транслирует пароль от вашей Wi-Fi-сети, или все же не так уж и нужна? Устраивает ли вас ситуация с безопасностью SimpliSafe — или вы лучше по старинке будете пользоваться проводными сигнализациями?

Не всем устройствам действительно нужно быть подключенными к Интернету, к смартфону или к чему-нибудь еще. Подключенных молотков или умных вилок вроде пока не встречается — просто потому, что им незачем выходить в Интернет и передавать на телефон данные о количестве подцепленных макарон. И каждое новое устройство стоит оценивать с этой точки зрения — а действительно ли ему нужно интернет-подключение?

С другой стороны, тема безопасности Интернета вещей потихоньку набирает обороты — о ней хотя бы начинают говорить. Производителям указывают на их ошибки, и в новых устройствах они достаточно часто оказываются учтены.

Напоследок — немного цифр. По расчетам Cisco, в 2019 году рынок Интернета вещей будет оцениваться в 19 миллиардов долларов. При этом в мире будет насчитываться 24 миллиарда подключенных к Сети устройств и 10,5 миллиарда соединений между ними (M2M, machine to machine). На долю домашних устройств вроде сигнализаций, принтеров, умных замков и подключенных к Сети холодильников будет приходиться более 50% из них. То есть Интернет вещей будет окружать нас со всех сторон уже очень, очень скоро. Хочется верить, что к тому моменту это будет хоть чуточку более безопасный Интернет вещей, чем сейчас.

 
 
⇣ Содержание
Если Вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
⇣ Комментарии
window-new
Soft
Hard
Тренды 🔥
Роскомнадзор пригрозил заблокировать сайт проекта Tor 13 мин.
Руководитель хакерской группировки, продававшей устройства для взлома консолей Nintendo, оштрафован ещё на 10 миллионов долларов 18 мин.
«VK Звонки» запустили функцию замены фона в веб-версии приложения 2 ч.
Эксперты предупредили об уязвимости используемого российскими промышленными компаниями софта 2 ч.
Умные враги, правдоподобная анимация и важность звуков: разработчики Horizon Forbidden West рассказали об улучшенных сражениях 2 ч.
Видео: геймплейный трейлер экшена Star Wars: Hunters для Switch, Android и iOS 3 ч.
Актёр озвучения главного героя Dying Light 2 Stay Human рассказал о работе над ролью и длине сценария 3 ч.
Instagram ужесточит меры по обеспечению безопасности пользователей-подростков 3 ч.
Детали зимних обновлений Forza Horizon 5: экзотические машины, гудки и ёлки с подарками 4 ч.
По требованию ЦБ РФ рублёвые кошельки WebMoney на полгода приостановили операции 4 ч.