Опасности IoT

Компания HP (точнее – её подразделение Fortify) проанализировала настройку защитных механизмов в устройствах класса «Интернет вещей» (IoT).

Были изучены десять типов таких устройств, в том числе телевизоры, web-камеры, домашние термостанции, поливальные установки, управляемые электрические розетки и весы, станции управления разным оборудованием, электронные замки и системы сигнализации. Как правило, эти устройства имеют собственный облачный сервис либо мобильное приложение для дистанционного управления.

Собственно, внимание исследователей из группы Fortify в большей степени привлек именно облачный сервис, и соответствующие web-приложения были проверены на наличие в них классических уязвимостей из списка OWASP. Выяснилось, что разработчики сервисов уделяют не очень много внимания защите таких сервисов.

В частности, 70% сервисов используют незашифрованное соединение с облаком, которое можно, как минимум, «подсмотреть». В 90% случаев устройства собирают те или иные персональные данные их владельцев. В 60% случаев обнаружены уязвимости в web-интерфейсе, позволяющие, например, перехватывать сеансы пользователей с помощью XSS-атак и получать доступ к персональным данным. А в 80% случаев сервис и мобильное приложение не имеют проверки на достаточную сложность пароля, что, как правило, приводит к выбору пользователями простых словарных паролей, которые очень легко подбираются. Таким образом, исследование HP показало, что безопасностью IoT пока практически никто не занимается, хотя соответствующие устройства уже доступны из агрессивной среды Интернета.

Ни к чему хорошему это привести не может. В частности, Алексей Бабенко, ведущий менеджер по развитию бизнеса компании «Информзащита», признается: «На мой взгляд, проблема IoT – это победа маркетинга над техническими специалистами. Устройства, о безопасности которых ранее не задумывались в силу их недосягаемости для злоумышленников, подключили к Интернету, сделав их доступными для атакующих. Неудивительно, что большинство из этих устройств не готовы противостоять новым угрозам. Это все равно что поменять входную дверь на межкомнатную и проверять, сколько времени она выстоит на защите дома».

Если речь идет о безобидных «умных» весах или датчике температуры, то риски для пользователя, вроде бы, минимальны, хотя и в таких устройствах может храниться полезная для злоумышленников информация. «А если мы говорим об устройствах, контролирующих здоровье или даже влияющих на него, то вопросы обеспечения безопасности становятся весьма важными, ведь на кону может оказаться сама жизнь пользователя, – предупреждает Алексей Бабенко. – Ситуация, описанная в исследовании HP, свидетельствует не только о безалаберности разработчиков, но и о низком потребительском спросе на обеспечение информационной безопасности. У производителя проблемы возникают только во время громких скандалов в СМИ, связанных со взломом их устройств. Однако вы вряд ли выберете кардиостимулятор, зная, что злоумышленники могут легко остановить его. При этом весьма бурное развитие и проникновение в нашу жизнь устройств IoT не исключает массового появления новых схем мошенничества, вымогательства, шпионажа, нарушения привычного ритма жизни и др., в которых ключевую роль играет перехват контроля над IoT-устройствами.»