22 марта 2016

[уязвимость] Страшно и смешно: взлом «взрослых» гаджетов — реальность

На прошедшей в Ганновере выставке CeBIT снова поднималась тема кибербезопасности и «страшного нового мира», в котором все устройства подключаются к Интернету и, соответственно, могут быть взломаны.

Как известно любому, кто следит за новостями мира информационной безопасности, и «белые», и обычные хакеры активно прощупывают оборону современных подключаемых устройств. Исследователи уже продемонстрировали реальный взлом автомобиля, гаража, умного дома, заправки, беспилотника, умного чайника, куклы Барби, умного домофона, радионяни, умного гриля — казалось бы, не осталось сферы, в которой не похозяйничали взломщики.

С целью опровергнуть это мнение представитель Trend Micro Удо Шнайдер (Udo Schneider) прибег к неоднозначной демонстрации. На встрече с журналистами в рамках CeBIT он решил показать на деле, что взломать можно даже секс-игрушку: специалист смог включить ее удаленно с ноутбука посредством нескольких строк кода.

Конечно, эта бесхитростная демонстрация вызвала оживление и смешки присутствующих, и, хотя цель подобной атаки в реальной жизни совершенно не ясна, PoC-атака прекрасно иллюстрирует основные опасения ИБ-специалистов. Бурный рост количества подключаемых к Интернету устройств, небрежное отношение производителей и разработчиков к обеспечению безопасности, а также плачевно низкий уровень осведомленности о киберрисках среди пользователей и сотрудников компаний-производителей рисуют довольно безрадостную картину.

«Взломать секс-игрушку можно смеха ради, — признался специалист Trend Micro. — Но если уязвимости в интерфейсе позволят мне добраться до backend-инфраструктуры, я смогу, например, шантажировать производителя».

Что интересно, что бы ни стало объектом взлома, проблема помимо уязвимостей всегда одна и та же: недостаточная осведомленность об опасности кибератак. Как отметил один из ИБ-экспертов, выступивших в рамках выставки: «Если кто-то начнет стрелять с крыши Рейхстага, сразу же прибегут бойцы нацгвардии. А вот в случае, когда киберпреступники месяцами выкачивают данные пользователей, никто даже не забьет тревогу».

К примеру, ряд больниц в Германии недавно пострадали из-за атаки вымогателя, зашифровавшего критически важные данные на компьютерах учреждений. Кроме того, по различным данным, за последние два года около половины германских предприятий, работающих в сфере критической инфраструктуры, стали жертвами кибершпионажа, кражи данных или внутреннего саботажа. Малые и средние отраслевые компании страдают от киберпреступников в большей степени: две трети предприятий доложили о киберинцидентах.

В этой связи в Германии принят закон об ИТ-безопасности, согласно которому 2 тыс. поставщиков критической инфраструктуры должны применять хотя бы базовые средства защиты от киберугроз и уведомлять о серьезных инцидентах, иначе их ждет штраф.

Источник