09 февраля 2016

IoT: расплата неизбежна

Если говорить об Интернете вещей, то, по словам эксперта Криса Роуланда (Chris Rouland), бояться стоит не Wi-Fi. Опасность представляет сама концепция беспроводных сетей, которые регулярно прирастают новыми и изначально плохо защищенными протоколами.


Обратный инжиниринг этих беспроводных протоколов провести очень легко; Роуланд считает, что появление эквивалента червя Melissa для IoT-устройств в скором времени весьма вероятно.

Роуланд, являющийся основателем, председателем совета директоров и президентом компании Bastille, которая специализируется на безопасности IoT, во время саммита Security Analyst Summit подробно объяснил, как легко можно взломать некоторые устройства.

Масштабы зарождающегося Интернета вещей известны всем. Например, согласно прогнозу Gartner, к 2020 году в мире будет насчитываться 50 млрд устройств, подключенных к Интернету. Если верить грубому расчету, в день будет подключаться около 15 новых устройств, многие из которых будут уязвимы.

Роуланд заключил, что опасность уязвимостей растет прямо пропорционально увеличивающейся площади атаки: в мире IoT злоумышленники могут скомпрометировать устройства через дыры в аппаратной начинке, ПО, прошивке, беспроводной сети, облачной инфраструктуре и так далее. Таким образом, количество векторов атаки увеличивается в три-четыре раза по сравнению с тем, что мы имеем сегодня.

Времена действительно очень сильно изменились: Роуланд вспомнил, что на заре своей карьеры в 1990-х работал в Lehman Brothers, и тогда сниффер пакетов Network General стоил целых $25 тыс. Сегодня миниатюрный сниффер можно купить на Amazon за $6.

«Многие из потенциально уязвимых устройств используют алгоритмы шифрования, устойчивость которых даже не проверяли, — уточнил Роуланд. — Проприетарное шифрование — это всегда плохо. Оно просто не работает».

По словам Роуланда, большинство IoT-устройств, которые были скомпрометированы за последние годы, просто не были достаточно защищены. В этой связи Роуланд вспомнил об уязвимостях, найденных в относительно новых протоколах: например, в Zigbee, который используется в работе уличного освещения в Нью-Йорке, и Z-Wave, используемом на уровне обеспечения безопасности в системах «умных замков». Под угрозой в течение недавних лет оказывались фитнес-браслеты Fitbit. Злоумышленники также пробуют на прочность критически важные цели — например, умные счетчики и системы освещения.

«Технические директора не понимают, да вообще никто ничего не понимает, что может угрожать инфраструктуре, если нет подходящих инструментов для выявления этих угроз», — сказал Роуланд.

Роуланд назвал еще несколько примеров, когда безопасность IoT оставляла желать лучшего. Например, один раз он проводил аудит безопасности умного холодильника для Samsung. По непонятным причинам холодильник был привязан к Google-календарю пользователя и, что еще хуже, не валидировал SSL-сертификаты, что делало его уязвимым к MiTM-атакам. Из-за этой бреши учетные данные были доступны всем, кто имел доступ к Wi-Fi-сети, и этот эпизод серьезно обеспокоил Роуланда.

«Приватные данные могут утечь не только в сеть Wi-Fi, а практически куда угодно, — считает Роуланд. — Нажимая «Принимаю» в пользовательском соглашении, вы отдаете все подключаемому устройству, вы сами соглашаетесь стать продуктом».

IoT: расплата неизбежна | Threatpost | Новости информационной безопасности