Эти опасные «умные» вещи

Михаил Кондрашин, Технический директор Тренд Микро в России и СНГ

Мир устройств стремительно «умнеет». Камеры наблюдения становятся IP-камерами, к названиям телевизоров добавляется слово smart, а автомобили обзаводятся бортовыми системами, которые еще несколько лет назад можно было увидеть лишь в кино. Однако «умные» вещи приносят своим владельцам не только дополнительные удобства и возможности, но и новые угрозы.

Несмотря на великое многообразие современных «умных» устройств, на самом деле все инновации сводятся к двум основным технологическим решениям: в архитектуру изделия добавляется универсальное вычислительное устройство, которое является аналогом привычного персонального компьютера и имеет необходимую для конкретных целей мощность, а затем это устройство подсоединяется к Интернету. Подключенные к Сети устройства, которые могут общаться друг с другом или с неким центром управления, получили название «Интернет вещей» (Internet of Things — IoT).

Ну а поскольку устройства класса IoT архитектурно почти не отличаются от компьютеров или смартфонов, они тоже подвержены интернет-угрозам. При этом речь идет об угрозах не только для информации, но и для самих пользователей.

По стопам «Терминатора»

Самым ярким свидетельством новой реальности стало появление ботнета Mirai. В 2016 г. он позволил злоумышленникам успешно реализовать DDoS-атаку на серверы DynDNS, что вызывало недоступность, в частности, сервисов Twitter. Расследование показало, что ботнет состоял из тысяч взломанных IP-камер и устройств записи видеоизображений. Авторы Mirai воспользовались уязвимостями в устройствах конкретного производителя и создали ботнет, который не мог быть обнаружен антивирусом, поскольку, в отличие от персональных компьютеров, эти устройства просто не оснащались антивирусными программами.

Массовый переход к «умным» устройствам опасен не только тем, что они подвержены угрозам, которые ранее были актуальны только для компьютеров и смартфонов. Ситуация – куда более серьезная. Деятельность в сфере информационной безопасности, в первую очередь, нацелена на задачи защиты данных, т.е. на предотвращение доступа третьих лиц к ценным сведениям и на обеспечение контроля над целостностью. Применительно к «умным» устройствам такие задачи также важны, но бреши в защите порождают и угрозы иного свойства – в первую очередь, угрозы для физической безопасности и неприкосновенности частной жизни.

В 2016 г. с такими проблемами столкнулась семейная чета из Вашингтона. Супруги обнаружили, что купленная ими для присмотра за трехлетним сыном видеокамера ведет с ним беседы мужским голосом. Оказалось, что неизвестный злоумышленник «взломал» устройство и развлекался с его помощью, общаясь с ребенком.

Угрозы для жизни и здоровья пользователей вызывают все больше беспокойства с учетом того, что число потенциально опасных изделий, получающих «умные» функции и подключение к Интернету (например, автомобилей), постоянно растет. В 2015 г. автоконцерн Fiat Chrysler Automobiles был вынужден отозвать почти 1,5 млн своих автомобилей Jeep, поскольку специалисты по информационной безопасности выявили и продемонстрировали уязвимости их бортовых систем. В ходе исследования удалось получить полный доступ к управлению автомобилем, и понятно, что использование злоумышленниками такого доступа могло привести к трагедии.

Хотя возможность воплощения в жизнь трагического сценария, известного нам по фильму «Терминатор», пока еще далека, вместе с «умными» устройствами к нам уже пришло огромное число угроз. Чаще всего пользователи не задумываются о безопасности, когда покупают очередной телевизор, камеру наблюдения или автомобиль, но самое неприятное состоит в том, что о безопасности не задумываются и производители этих изделий. Их разработчики не обладают компетенциями в сфере ИБ, да и в глазах потребителей, к сожалению, высокий уровень защиты «умных» устройств не является конкурентным преимуществом. Исследования, проведенные в 2016 г. специалистами альянса Zero Day Initiative, позволили обнаружить более 100 уязвимостей в Advantech WebAccess — самой популярной платформе управления устройствами IoT.

В помощь разработчикам специалисты по информационной безопасности предлагают специальные инструменты, позволяющие дополнять «умные» продукты средствами защиты и централизованно контролировать все проданные устройства. Такие системы доступны уже сегодня, но сложно прогнозировать, когда разработчики начнут массово их использовать. А пока IoT-устройства, число которых на рынке увеличивается в геометрической прогрессии, покупаются, используются и будут использоваться еще много лет «как есть», без подсистем безопасности и централизованного контроля.

Бомбы замедленного действия

К сожалению, даже если производитель ответственно подходит к разработке своего устройства IoT, внедряет в него определенные механизмы защиты и выпускает заплаты при обнаружении уязвимостей, возникает другая сложность — обеспечения долговременной поддержки уже применяемых устройств.

Традиционное ПО предоставляется пользователям по принципу AS-IS, то есть без каких-либо обязательств поставщиков. Правда, разработчики озвучивают сроки, в течение которых будут доступны обновления, призванные устранять выявленные неполадки и латать уязвимости. Однако мы постоянно сталкиваемся с угрозами, связанными с использованием устаревшего ПО. Самый яркий пример в ИТ-индустрии – ОС Windows XP, которая до сих пор действует на 7% компьютеров, подключенных к Интернету, хотя с 2014 г. не поддерживается разработчиком.

Ситуация с программной начинкой «умных» устройств – еще плачевнее. Разработчики не мотивированы на долгосрочную поддержку актуальности своего ПО, и прекращение производства того или иного устройства чаще всего означает, что его обновления теперь тоже выпускаться не будут. А значит, тысячи проданных устройств переходят в «серую зону», о чем пользователей зачастую даже не оповещают.

Человечество не имеет опыта массовой долгосрочной эксплуатации сложных информационных систем с поддержанием их в актуальном состоянии, а ведь каждый новый класс изделий IoT порождает подобную систему. Через 10–15 лет мы будем окружены миллионами таких устройств, огромная часть которых уже не будет поддерживаться производителями, – например, потому, что они попросту уйдут с рынка. При этом устройства будут содержать в себе уязвимости, уже известные на тот момент, и станут представлять собой угрозы для жизни и здоровья потребителей.

Необходимо четко понимать, что любое «умное» устройство содержит в себе десятки уязвимостей. Пока о них ничего не известно, но рано или поздно все тайное становится явным. Новый «умный» автомобиль, оснащенный всеми средствами защиты, в одночасье станет очень опасным, когда какой-либо злоумышленник выявит в нем роковую ошибку, допущенную программистами. IP-камера, размещенная в доме с целью обеспечения безопасности его хозяев, сможет преподнести им весьма неприятные сюрпризы, если к ней сумеют подсоединиться преступники. А телевизор, оснащенный камерой для проведения видеочатов, сможет без ведома владельцев включать ее, снимать видеоматериалы и отправлять их в неизвестном направлении.

Найдет ли индустрия информационных технологий разумный компромисс между инновационностью и безопасностью? Озаботятся ли производители «умных» изделий их защитой прежде, чем произойдет масштабная атака, которая объяснит все пользователям гораздо доходчивее, чем нравоучения специалистов по информационной безопасности? Очень хочется, чтобы ответ на оба вопроса оказался  положительным.

Тэги: 
Оцените материал:
Total votes: 15

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.