IoT-устройства — отдельные части «умного» дома, о котором все уже хорошо знают.
Мы покупаем IoT-устройства и даже не подозреваем, что эти «помощники» могут стать инструментом тайной слежки или даже атаки. Рассказываем, как настроить «умные» гаджеты, чтобы они приносили исключительно пользу.
Предметы «умного» дома призваны помогать своим занятым владельцам в быту: камеры следят за безопасностью в доме, датчики дыма или воды оповещают владельца о состоянии дома и т.д. Использование потенциала Интернета вещей для экономического и социального блага в ближайшие десятилетия будет одной из основных задач общества, включая проблемы и возможности, вытекающие из этого явления.
Повсеместное и небезопасное использование IoT-устройств уже отмечено такой глобальной атакой, как показательный случай с ботнетом Mirai. Он был использован для DDoS-атак, в результате которых был выведен из строя сегмент сети Интернет в США, а также оказался недоступен Twitter. Эта атака достигла рекордных показателей по объему генерируемого трафика.
Помимо организации DDoS-атак для злоумышленников могут представлять интерес устройства, которые можно заблокировать. Были инциденты с «локерами» умных кондиционеров и телевизоров. Для таких сценариев важна массовость – это необходимое условие рентабельности атаки.
Некоторые китайские производители намеренно встраивают дефекты кода (бэкдоры) в свои устройства при разработке, что дает им в дальнейшем возможность полного доступа к своим устройствам в обход желаний его владельца.
Почему IoT-устройства не защищены?Важная проблема, стоящая на пути к улучшению защищенности Интернета вещей, — это позиция производителей «умных» гаджетов. Уровень ответственности за безопасность среди производителей IoT-устройств крайне низкий: почти никто из них добровольно не тратит время и средства на дополнительное тестирование своей продукции на наличие уязвимостей, так как в ряде случаев это может поставить под угрозу темпы вывода продукта на рынок.
Также нельзя сбрасывать со счетов и общее увеличение числа таких устройств, а также скорость появления их новых типов. В результате на рынке представлена масса уязвимых устройств, с помощью которых злоумышленники могут осуществлять как локальные, так и глобальные атаки.
На данный момент базовой защитой «умных» устройств озадачены только крупные производители. Они используют защищенные протоколы передачи информации между устройством и сетью.
- Павел Новиков
руководитель группы исследований безопасности телекоммуникационных систем Positive Technologies
Важным аспектом низкого уровня защищенности гаджетов также является отсутствие обновлений ПО. Как правило, владельцы устройств не задумываются об обновлениях: к примеру, домашняя камера будет работать в штатном режиме без обновлений на протяжении долгих лет, в течение которых могут быть обнаружены уязвимости в используемом ею софте. В связи с отсутствием обновлений камера может оставаться мишенью для злоумышленников до тех пор, пока не сломается, или владелец не решит ее поменять.
Прежде чем выпустить устройство на рынок, производителю следует провести аудит безопасности нового гаджета, а также тщательно исследовать сетевую защищенность, и защищенность используемых беспроводных интерфейсов.
Камеры видеонаблюдения и беспроводные датчики, на наш взгляд, наиболее уязвимы к атакам. Производители не шифруют трафик, передаваемый с устройства на сервер.
Поэтому злоумышленник может перехватить незащищённый трафик (личные фото, аудио- и видеозаписи) и использовать против пользователя.
В некоторых случаях можно заставить камеру взламывать окружающие Wi-Fi-точки доступа (например, соседей) с дальнейшим проникновением в их сети.
- Павел Новиков
руководитель группы исследований безопасности телекоммуникационных систем Positive Technologies
Не менее популярный девайс – роутер, также относятся к группе «умных» устройств. Опасность заключается в том, что пользователь забывает о его существовании сразу после первого включения. Атаковав незащищенный роутер, злоумышленник может проникнуть в домашнюю сеть, где на сетевом хранилище могут оказаться личные фото, видео и другие документы.
К группе устройств, за которыми нужен «глаз да глаз» следует отнести телевизоры с функцией Smart TV. Например, телевизоры Samsung вели постоянную аудиозапись своих пользователей, и отправляли полученные файлы в облачное хранилище. Производитель охарактеризовал это как некую особенность, а не как ошибку в программе устройств, но позже все-таки исправил баг.
Популярные у родителей видеоняни и «умные» игрушки не менее уязвимы. В качестве примера можно привести случай с производителем «умных» плюшевых игрушек, позволяющих детям и родителям на расстоянии обмениваться сообщениями. Компания не обеспечила надлежащую защиту учетных данных свыше 800 тыс. пользователей, сделав их доступными через интернет любому желающему.
Как превратить «умные» устройства в надежных помощников?Рынок IoT-девайсов только формируется, поэтому на нем представлено очень много «сырых» решений. Пользователю следует внимательно относиться к выбору и покупке устройства. Мы советуем приобретать решения известного производителя, который может обеспечить хотя бы базовую защиту девайса.
Надежная защита домашних «умных» устройств начинается с правильной настройки домашнего роутера:
Изменить предустановленный производителем пароль к управлению роутером
Установить WPA2 шифрование
Установить сложный пароль с использованием не менее 12 символов
Отключить WPS (Wi-Fi Protected Setup)
Включить в настройках точки доступа NAT
Включить в настройках Stateful Packet Inspection firewall. Эта технология позволяет дополнительно защититься от атак, выполняя проверку проходящего трафика на корректность.
Отключить возможность управления роутером из сети Интернет
Все остальные «умные» девайсы должны подключаться к роутеру, а не напрямую в интернет. Если умное устройство использует облако, пользователю необходимо регистрироваться там со сложными паролями, не совпадающими с другими вашими аккаунтами (например, от интернет-банка или личной почты).
Чтобы обезопасить себя, пользователю следует регулярно отслеживать обновления ПО, и по возможности применять настройки безопасности в соответствии с рекомендациями производителя. Эти правила касаются настройки всех «умных» девайсов.