Темная сторона Интернета вещей

Любое незащищенное устройство, подключенное к Сети, — потенциальный источник проблем как для его владельца, так и для окружающих


12:55 05.06.2017   |   3369 |  Дмитрий Гапотченко |  Computerworld Россия

Рубрика Индустрия



Positive Hacks Days: производители умных устройств пока не видят необходимости должным образом вкладываться в решение проблем с безопасностью.

Традиционно программа конференции Positive Hacks Days охватывает практически все аспекты информационной безопасности. Седьмой форум PHD, собравший почти 5 тыс. участников, не стал исключением, но явный акцент был сделан на проблемах, сопровождающих рост Интернета вещей. Прошли и «штабные игры на местности»: команды хакеров и безопасников бились за контроль над построенным в центральном зале выставки макетом города — его городскими службами, предприятиями, коммунальными системами.

Причина внимания Positive к «темной стороне Интернета вещей» — резкий рост распространенности соответствующих решений (прогноз Gartner на 2020 год — 20 млрд устройств Интернета вещей) при почти полном, по словам Антона Тюрина, руководителя группы разработки методов обнаружения атак, игнорировании проблем с безопасностью. Игнорировании как производителями, так и владельцами устройств и ИТ-систем.

Так, практически все маршрутизаторы, а они, по оценке Positive, возглавляют рейтинг самых небезопасных устройств, работают всю свою жизнь под управлением исходной прошивки (примечательно, что в этом ПО находят ежемесячно десяток уязвимостей). Около 15% устройств защищено заводской парой «пароль/логин», в 10% случаев это одна из пяти пар вида admin/admin или user/user.

Поиск незащищенных маршрутизаторов, как и любых других устройств, «в мировом масштабе» — дело несложное и недорогое: например, доступ к поисковику shodan.io, показывающему все подключенные к Сети устройства, стоит полсотни долларов. За эти деньги можно «увидеть» миллионы маршрутизаторов, камер видеонаблюдения, датчиков АСУ ТП и пр.

Вторым по опасности классом устройств в Positive считают видеокамеры и видеорегистраторы. Их в Shodan около 3,5 млн. Доступ к ним можно получить за минуту-другую, причем, по оценке Positive, 90% камер, которые используются для видеонаблюдения в малом и среднем бизнесе, содержат уязвимости и могут быть взломаны. Взломанная камера способна доставить своему обладателю большие неприятности в личной жизни или производственной сфере, а также стать частью бот-сети, такой как, например, ботнет Mirai, охвативший более 400 тыс. маршрутизаторов и камер.

На третьем месте по опасности стоят навигаторы, далее в рейтинге Positive идут беспроводные клавиатуры и мыши (стоимость комплекта для взлома и получения паролей, платежных реквизитов и персональных данных — 300 руб.). Замыкают пятерку умные сети, практически вообще не защищенные. На подходе и иные устройства, например компоненты автоматизированных систем управления технологическими процессами, из которых 160 тыс. уже сейчас доступны через Интернет.

Проблемы с безопасностью усугубляются тем, что производители пока не видят необходимости вкладываться в решение проблем с безопасностью должным образом. Этого от них не требуют ни пользователи, ни отраслевые стандарты, ни государство. В такой ситуации далеко не все вендоры (а лишь, как правило, наиболее известные) задумываются над проблемой, принуждая пользователей при первом запуске устройства менять хотя бы пароль и регулярно обновляя прошивки. А вот купленные «на китайском сайте» изделия неизвестных марок не только избавят своего обладателя от необходимости ломать голову над новым паролем, но и могут содержать закладки «от производителя».

Как полагают в Positive, частично проблему помогли бы решить технические меры (отказ от небезопасных протоколов, введение парольных политик, выпуск регулярных обновлений, отключение в готовых устройствах отладочных механизмов, переход на HTTPS и двухфакторную аутентификацию, внедрение безопасной разработки с использованием анализаторов кода), а также внедрение отраслевых и государственных стандартов безопасности. На сознательность клиентов, будь то частные пользователи или крупные компании, как было отмечено на одной из пленарных дискуссий, надежды никакой.

Пока же, как сказано в отчете одного из прошлогодних конкурсов Positive по поводу отказа ряда посетителей от участия во взломе дрона, «многие боятся браться за что-то новое и непонятное, на этом и держится защищенность современного Интернета вещей».

Показательный пример

Не могли на PHD пройти и мимо эпидемии WannaCry, как примера безответственного подхода к безопасности. Заплата, устраняющая возможность атаки через сервис SMB, которой воспользовался шифровальщик, вышла за два месяца до эпидемии, приблизительно в то же время стало известно про существование соответствующего эксплойта.

Сама процедура атаки была максимально проста — не было писем с зараженными файлами, злоумышленники просто обращались ко всем найденным серверам.Те, в которых по каким-то причинам были открыты TCP-порты 139 и 445, заражались и в свою очередь заражали менее защищенные машины внутри периметра системы безопасности предприятия. Результат налицо: 200 тыс. зараженных компьютеров в 150 странах. Под удар — и в нашей стране, и за рубежом — попали машины достаточно крупных структур.

И, как показывает опыт Positive, это далеко не единичный случай. Во всем мире эксплуатируются устройства с необновляемыми операционными системами; по данным мониторинга, у каждой шестой обследованной компании сервис SMB доступен через Интернет.

Черный ящик. Бесплатно

В ходе форума компания Positive Technologies объявила о запуске публичного бета-тестирования бесплатного онлайн-сервиса PT BlackBox Scanner, предназначенного для обнаружения уязвимостей в веб-приложениях, в том числе находящихся в локальной сети. Воспользоваться им можно после крайне простой авторизации, даже не доказывая, что ты являешься владельцем сайта. Сервис предоставляет отчет о найденных уязвимостях и рекомендации по исправлению. Как надеются в Positive, бесплатное средство тестирования позволит повысить общую безопасность Интернета. При этом, как утверждают в компании, приняты меры, препятствующие тому, чтобы сервисом поиска ошибок могли воспользоваться злоумышленники.


Теги: Информационная безопасность Интернет вещей Positive Technologies Positive Hack Days
На ту же тему: