В среднем по миру ежемесячно в домашних сетевых устройствах (Wi-Fi- и 3G-роутерах) обнаруживаются около 10 уязвимостей. По мнению экспертов Positive Technologies, большинство разработчиков и поставщиков сетевых устройств не придают должного значения таким понятиям, как «тестирование» и «безопасность». Многие серьезные уязвимости остаются без обновлений, а если они и выходят, то пользователи не торопятся их применять. Так, в 87% систем, протестированных экспертами Positive Technologies, были найдены уязвимости, связанные с отсутствием обновлений.
«Новости последнего года свидетельствуют, что злоумышленники все больше интересуются уязвимостями Интернета вещей. Причем атаки в этом направлении будут только расти с учетом того, что, по оценкам Gartner, к 2020 году количество IoT-устройств превысит 20 млрд., — отметил Антон Тюрин, руководитель группы разработки методов обнаружения атак, Positive Technologies. — Сегодня чуть ли ни каждый может просканировать весь интернет (порядка 4 млрд адресов) на предмет выявления уязвимых устройств — это потребует чуть более суток при определенной скорости передачи данных. Можно и вовсе не предпринимать самостоятельных действий по сканированию — цена вопроса доступа к данным десятков миллионов IoT-устройств составляет всего 49$».
В пятерку наиболее популярных устройств небезопасного Интернета вещей, которые уже сейчас используются многими людьми, по мнению экспертов Positive Technologies, входят роутеры, камеры и видеорегистраторы, навигаторы, устройства беспроводного управления и всевозможные датчики.
Средний возраст прошивки на среднестатистическом домашнем роутере составляет
В настоящее время злоумышленник может потенциально получить доступ более чем к 3,5 миллионам камер по всему миру. При этом для доступа к видео произвольно взятого пользователя требуется всего пара запросов в Shodan, один в Google,
По оценкам Positive Technologies, порядка 90% всех DVR-камер, которые используются для видеонаблюдения предприятиями малого и среднего бизнеса, содержат те или иные уязвимости и могут быть взломаны.
Системы глобального позиционирования настолько глубоко проникли во все сферы нашей жизни, что большинство людей пользуются ими, не задумываясь о том, насколько им можно доверять. Между тем уже есть множество примеров, подтверждающих, что подобные системы уязвимы к разнообразным атакам, включая spoofing, то есть подмену сигнала. Более 5 лет назад иранские военные смогли посадить американский беспилотник, используя данную технику. А в конце 2016 года темой многих СМИ стали искажения GPS и ГЛОНАСС в центре Москвы, около Кремля: навигаторы вдруг показывали своим пользователям, что они находятся в аэропорту Внуково.
Компьютерные мыши и клавиатуры с радиоинтерфейсом и USB-трансивером не защищены от взлома: собрать набор для проведения атаки можно всего за 300 рублей, а вестись она может с расстояния до 1 км. Исследователи Positive Technologies протестировали безопасность устройств Logitech, A4Tech и Microsoft и смогли перехватить данные, передаваемые клавиатурами и мышами, дешифровать трафик и осуществить ряд других атак. Обнаруженные уязвимости могут приводить к утечке паролей, платежных реквизитов, персональных данных и другой важной информации.
В ходе одного из исследований умных сетей электроснабжения (smart grid) эксперты Positive Technologies обнаружили тысячи пользовательских веб-панелей управления системами мониторинга солнечных электростанций. Примерно 5% систем вообще не требовали пароля для входа на страницу конфигурации, у остальных 95% систем пароль был, но его оказалось достаточно легко подобрать. Обойдя авторизацию, злоумышленник может удаленно установить модифицированную прошивку или просто поменять параметры системы, что приведет к аварии.
Чтобы сделать Интернет вещей хотя бы немного безопаснее, эксперты Positive Technologies предложили ряд мер для разработчиков и пользователей устройств: отказ от небезопасных протоколов, фильтрация пользовательского ввода адресов и данных, введение парольных политик, регулярные обновления; отключение отладочных механизмов (JTAG), физическая защита устройств; использование HTTPS, двухфакторной аутентификации; аудит защищенности; практика безопасной разработки с использованием анализаторов кода; внедрение отраслевых и государственных стандартов безопасности — по аналогии с промышленными системами управления (АСУ ТП).
Вопросы безопасности Интернета вещей в условиях бурного развития IТ-отрасли и проникновения «умных» устройств в бизнес и повседневную жизнь стали центральной темой проходящего в Москве форума по практической информационной безопасности Positive Hack Days VII.
«Проблему под разными углами обсуждают представители регуляторов, ведущие ИБ-исследователи и визионеры компаний, развивающих новые технологии, — рассказал Алексей Качалин, заместитель директора компании Positive Technologies по развитию бизнеса в России. — Мы ожидаем, к сожалению, что злоумышленники расширят спектр используемых IoT-устройств: в зоне риска „умные“ бытовые приборы. Это может потребовать регулирования минимального уровня защищенности устройств — либо производители проявят сознательность в этом вопросе, либо подключится государство. Формирование требований по безопасности и сертификации устройств Интернета вещей — это вопрос времени».
