Поскольку устройства IoT все больше становятся частью реального, физического мира, необходимо что-то сделать, чтобы избежать катастрофы в случае кибератаки против подключенных к Интернету систем.
В офисах и жилищах по всему миру насчитываются миллиарды устройств Интернета вещей, от сенсоров и домашних помощников до подключенных к Интернету детских игрушек.
Но многие производители устройств IoT поторопились выпустить продукты, практически не заботясь о кибербезопасности. Это привело не только к хищению данных благодаря продуктам IoT со слабой защитой, но и к включению интернет-устройств в сети ботов и их использованию для DDoS-атак или в качестве точки входа при взломе более широкой сети.
Хотя мысль о применении устройств IoT для разрушительных кибератак может показаться надуманной, следует помнить, что технология развивается вызывающими тревогу темпами. Устройства IoT, которые получат распространение в ближайшие годы, будут работать еще лет
Это означает, что за это время могут обнаружиться ошибки и уязвимости, которые невозможно устранить из-за используемой сейчас технологии создания этих устройств.
«Десять лет назад iPhone находился на периферии, а Windows XP была передовой системой. Сейчас мы рассматриваем Windows XP как крайне уязвимую. Не только из-за отсутствия обновлений, но и потому, что с точки зрения инжиниринга ее принципиальный дизайн уязвим. Он ни в коей мере не отражает наших представлений о безопасности. Это было всего десять лет назад», — считает консультант компании Sophos по глобальной безопасности Джеймс Лайн.
Десять лет назад производители смартфонов могли не подозревать, что их устройства могут использоваться преступниками для распространения вредоносного кода или получения денег незаконными способами. Но они используются. То же может произойти в ближайшем будущем с устройствами IoT.
«Могут ли устройства IoT через пять лет превратиться в новый канал атак или монетизации? Этого нельзя исключать. Это вполне реально», — полагает Лайн.
Наши жилища уже насыщены подключенными к Интернету устройствами, от инструментов мониторинга здоровья, кухонных приспособлений или IP-видеокамер до детских игрушек и гаджетов. Полезны они или нет, но в дальнейшем выпущенные в 2017 г. продукты потенциально могут создавать проблемы как в реальном, так и в онлайновом мире.
Сегодня на многие встроенные устройства нелегко устанавливать исправления, если это вообще возможно, и они будут создавать проблемы в будущем, когда хакеры найдут в них уязвимости и используют их к своей выгоде. А никто не хочет иметь кардиостимулятор, зараженный вымогательским ПО.
«Подобные устройства встроены в инфраструктуру городов, образуя узлы с ожидаемым сроком эксплуатации 20 лет. Это тотальная инжиниринговая проблема, которую мы должны решить», — говорит Лайн.
Даже если производители устройств IoT объединят свои усилия и разработают устройства, позволяющие легко обновлять ПО, будут ли пользователи этим заниматься? Устанавливать обновления операционных систем сравнительно просто. Тем не менее, люди предпочитают этого не делать, оставляя ОС открытыми для кибератак, для защиты от которых производители выпустили обновления.
Если нельзя побудить людей устанавливать исправления на свои ноутбуки и телефоны, будут ли они тратить силы на то, чтобы устанавливать их на каждом устройстве IoT в своем доме? Станут ли они возиться под умывальником, чтобы отсоединить устройство мониторинга труб и установить на него обновления? Это представляется маловероятным.
Более того, даже если они знают, что их продукт уязвим для атак или даже что он уже включен в сеть ботов, это может не вызывать у них беспокойства, поскольку это не причиняет ущерба их собственному дому или инфицирование не мешает им использовать устройство.
«У меня был очень поучительный опыт периода борьбы с вредоносным ПО Mirai, поскольку мы идентифицировали несколько устройств, производивших атаки типа „отказ в обслуживании“, определяли их местонахождение и действительно сумели локализовать их настолько точно, что могли позвонить их владельцам», — рассказал директор по исследованиям компании F-Secure Микко Хиппонен.
Ему удалось дозвониться до некоторых из тех, чьи устройства были заражены и включены в сеть ботов Mirai, которая использовалась для совершения общемировой DDoS-атаки, заблокировавшей крупные онлайновые сервисы, включая Twitter, Netflix и PlayStation Network. Но эти люди не испытывали никакого беспокойства, поскольку для них устройства по-прежнему выполняли все свои функции.
«Их тепловой насос работает, они могут им пользоваться, он не выводится из строя даже когда он совершает DDoS-атаку. Так что для них не возникает проблем, а тот факт, что их тепловой насос создает проблемы для кого-то другого, их не тревожит. Они не собираются исправлять ситуацию, они не намерены тратить деньги на устранение проблемы, которая их не затрагивает», — сказал Хиппонен.
По его словам, отсутствие реакции показывает, что несмотря на всемирный эффект Mirai не стала «тем сигналом к пробуждению, в котором мы нуждаемся» и что произойдет нечто более масштабное, прежде чем безопасность IoT начнет рассматриваться всерьез. Этим нечто может стать атака с помощью IoT, которая будет иметь реальные физические последствия.
«В каждом доме все превращается в компьютер. Можно будет подключиться ко всему, что подключено к электрической сети. В будущем, если случится конфликт, кризис или война, это значительно облегчит решение задачи сделать беспомощным целое государство», — говорит Хиппонен.
Отключив линии электропередачи Украины, хакеры продемонстрировали, как кибератака может быть использована для выведения из строя инфраструктуры. Возможно, устройства IoT станут для атакующих дополнительным оружием в кибервойне.
«Если вы хотите видеть действительно кошмарные сценарии, вообразите способы атаки устройств в каждом доме страны и заставьте их воспламениться, чтобы в один и тот же миг начались пожары во всех домах страны. Война немедленно закончится. Никакие пожарные бригады не справятся с чем-то подобным», — говорит Хиппонен.
Да, сейчас такая атака может восприниматься как фантазия. Но 15 лет назад также воспринималось ношение в кармане мощного компьютера, не говоря уже о возможности использования его в качестве кибероружия.
Поэтому организации, провайдеры систем безопасности, регуляторы и правительства должны объединить усилия и подумать о том, как создаются продукты для IoT и как обеспечить их будущее. В противном случае те самые забытые продукты могут отомстить, когда выяснится, что они небезопасны и на них нельзя установить исправления для защиты от атак.
«Я думаю, мы сейчас переживаем настоящий переломный момент, когда речь идет о подключенных к Интернету физических устройствах и безопасности, — говорит вице-президент по изучению безопасности компании Trend Micro Рик Фергюсон. — Сейчас мы получили шанс изменить картину, начать внедрять стандарты и в качестве сообщества специалистов по безопасности установить взаимодействие с сообществом производителей оборудования. В противном случае мы останемся с этим ядовитым наследием подключенных к Интернету устройств, которое сохранится еще очень долгое время».
Хотя обычного человека мысль, что хакеры могут проникнуть в ваш подключенный к Интернету чайник или тостер, не слишком пугает, открывается весьма реальная перспектива, что вскоре они смогут разделить города с самоуправляемыми автомашинами.
Они представляют собой подключенные к Интернету компьютеры на колесах. И если какому-то средству передвижения разрешено появляться на дорогах, имея уязвимости в системе безопасности, которые предоставят возможность удаленного взлома и использования их для создания аварийных ситуаций, это будет иметь последствия не только для имущества, но и для людей.
«Дело в том, что мы к этому придем, если не сконцентрируемся и не подумаем о физических последствиях для реального мира, которое будет иметь непонимание безопасности, — говорит Фергюсон. — Речь идет уже не о проникновении в машины и краже информации. Риску подвергается наш связанный компьютерными сетями мир и подключенное к Интернету человечество».
Правительство США и Европейский Союз среди тех, кто пытается регулировать Интернет вещей, но принятие законов может быть долгим, растянутым по времени процессом. Могут пройти годы, прежде чем производителям продуктов придется считаться с требованиями безопасности для защиты IoT, как они придерживаются требований пожарной безопасности, предъявляемых ко многим из тех же самых продуктов. К тому времени, когда появится правовая основа, мы уже можем иметь во всем мире наследие в виде десятков миллиардов устройств IoT, значительная часть которых сможет быть взломана атакующими.
Мысль, что эти устройства могли бы сейчас использоваться для разрушительных атак, может показаться надуманной. Но экосистема киберпреступности быстро развивается. Производители устройств IoT должны как можно раньше обеспечить решение этой проблемы.