Безопасность Интернета вещей: как можно взломать умный дом?

52e60a16ee9ad08a2ed6a0e4f027f1be

 

Пo дaнным aнaлитичeскoй кoмпaнии IDC, рынoк устрoйств для «умнoгo» дoмa будeт eжeгoднo рaсти нa 16,9%. К 2023 гoду иx кoличeствo дoстигнeт 1,6 млрд. Прoгнoз впoлнe мoжeт сooтвeтствoвaть рeaльнoсти, вeдь интeрeс пoльзoвaтeлeй к дoмaшним умным гaджeтaм и Интeрнeту вeщeй нe oслaбeвaeт. Нoвыe умныe устрoйствa пoстeпeннo зaмeняют oбычную бытoвую тexнику либo пoзвoляют знaчитeльнo рaсширить eё вoзмoжнoсти. При этoм, дaлeкo нe всe влaдeльцы смaрт-устрoйств знaют дoстaтoчнo o тoм, как работает интернет вещей, и о проблемах, которые могут возникнуть при его использовании. А где есть проблемы безопасности, там обычно появляются и киберугрозы. О них и расскажем далее.

 

К счастью, в реальной жизни киберпреступники работают не так быстро, как в фильмах: за пару часов системы обычно не взламываются. На одни только исследования и оценку безопасности, например, маршрутизаторов у хакеров могут уйти недели. Но итогом этих недель станет тот самый день, когда они определят наиболее выгодные векторы атаки и смогут взломать недостаточно защищённые устройства умного дома. Далее, мы рассмотрим возможные риски и покажем конкретные примеры того, как умные гаджеты из полезных превращаются во вредные и даже опасные.

 

Умные устройства и риски

 

На рисунке ниже вы видите примеры бытовой техники и гаджетов, которые часто можно встретить в современных домах, и которые хакеры могут выбрать для осуществления своих атак.

 

 

 

Например, умный холодильник может самостоятельно заказывать еду через интернет, если запасы каких-либо продуктов подходят к концу. Если его взломать, киберпреступники могут опустошить семейный бюджет, бесконечно заказывая продукты из магазина, или повысить температуру до такой степени, что еда в холодильнике испортится.

 

Умный унитаз Kohler Numi

 

Умный туалет подстраивает температуру и давление воды под предпочтения пользователей и умеет экономить воду. Если его взломают, вместо экономии владельцы рискуют получить огромный счёт за постоянно работающий слив.

 

Дрон Барби

 

Умные игрушки помогают воспитывать и обучать детей и часто оборудованы веб-камерами и микрофонами, чтобы родители могли присматривать за ребёнком даже с работы. Взломанная игрушка может передавать запись голосов и видео злоумышленникам или станет удобной точкой входа в домашнюю сеть.

 

 

Домашний шлюз служит для связи между различными умными устройствами и позволяет управлять ими или подключаться к интернету. В случае взлома он может загружать на гаджеты вредоносное ПО, пересылать киберпреступникам учётные данные владельцев и перенаправлять запросы устройств на подконтрольные хакерам ресурсы.

 

На первый взгляд кажется, что большая часть подобных атак может нанести минимальный вред, но смысл уязвимостей в том, что киберпреступники чаще всего используют их в связке, а не по отдельности. Ведь среди уязвимых для взлома устройств есть как умные пылесосы, которые создают собственные карты помещений, так и умные замки, которые могут пустить хакеров в эти помещения…

 

Последствия атаки

 

Рассмотрим пример с пылесосом более подробно. Владельцы считают, что он подключен только к домашней сети, и не особо задумываются о безопасности этого устройства. Но протоколы UPnP позволяют пылесосу подключаться к домашнему роутеру, значит, у хакеров есть вектор атаки. После взлома пылесоса они получают доступ к созданным прибором картам и/или возможность взломать другие умные устройства в доме, например, видеокамеры. Запустив голосовой модуль умной игрушки, они отвлекают владельцев, отключают систему безопасности, взломав умный замок и входят в помещение. При желании злоумышленники могут использовать эти же замки, чтобы запереть хозяев в одной из комнат или отключить все лампочки в квартире.

 

Вот готовый сценарий взлома и проникновения, но ведь вместо физического проникновения в квартиру злоумышленники могут просто следить за владельцами и собирать информацию. Постепенно они будут взламывать их устройства и учётные записи, получая всё больше данных. Их в свою очередь можно будет использовать для кражи средств со счетов или шантажа.

 

В основном сценарии атак (и их цели) можно разделить на несколько категорий:

 

  • получение денег;
  • создание хабов для майнинга криптовалюты;
  • проведение DoS- и DDoS-атак с помощью взломанного оборудования;
  • создание ботнета;
  • кража финансовой и личной информации;
  • уничтожение «умных» устройств;
  • разрушение собственности и запугивание;
  • отправка ложных сообщений и недостоверной информации;
  • запуск ложных срабатываний сигнализации.

 

Векторы атаки на IoT-устройство

 

Что позволяет хакерам взламывать умные устройства? В первую очередь — недостаточный уровень безопасности «из коробки». То есть отсутствие механизмов защиты у самих устройств, о которых стоило бы подумать разработчикам. Второй причиной можно назвать действия пользователей, которые заботятся о собственном комфорте, а не о безопасности. Например, оставляя пароли по умолчанию или отключая часть механизмов аутентификации.

 

При этом, практически любое устройство на рынке можно разобрать и получить доступ к отладочному порту, после чего хакеры могут начать поиск «вшитых» паролей и ключей шифрования, бэкдоров и уязвимостей прошивки. Также поиск уязвимостей возможен непосредственно на уровне ОС и приложений, веб-интерфейса, политик и протоколов передачи данных.

 

Рисунок 2. Проблемы безопасности устройств IoT, риски и возможные векторы атак

 

Способы защиты умных устройств

 

Первым и основным инструментом, который поможет защитить умный дом от вторжения, должны стать знания. Вот пять вопросов, ответы на которые пользователь должен получить в первую очередь:

 

  • Какие умные устройства есть в доме?
  • Есть ли у них уязвимости?
  • Можно ли эти уязвимости устранить патчами и новыми версиями прошивки?
  • Правильно ли настроены устройства и их система безопасности?
  • Как много времени (и средств) уйдёт на замену устройств, безопасность которых обеспечить не удаётся?
  •  

    Чтобы ответить на них, пользователю необходимо провести инвентаризацию всех умных устройств. Внимательно изучить руководства пользователя и ознакомиться с настройками. Сменить все пароли по умолчанию, просмотреть базы уязвимостей, доступные в сети и обновить прошивки до последней версии и (в случае, если таких прошивок нет). Определить, можно ли такие устройства защитить от атак при помощи правильно настроенного домашнего шлюза. Особо важные или уязвимые устройства стоит полностью изолировать от сети, чтобы они не послужили удобными векторами атаки для хакеров, дав доступ к другим элементам «умного» дома. Также рекомендуется использовать комплексное ПО для защиты, например, Trend Micro HouseCall for Home Networks, которое умеет самостоятельно сканировать домашнюю сеть на наличие уязвимостей и предлагать способы их устранения, чтобы освободить пользователя от большей части «ручного» труда.

     

    В итоге

     

    Люди, живущие в умных домах, должны знать о них как можно больше. Особенно это касается понимания того, как работают различные гаджеты. Знание их уязвимостей и «нормального поведения» в сочетании с правильными настройками безопасности поможет защитить дом от атак хакеров. С каждым годом на рынке появляется всё больше умных устройств, а значит, и векторов атаки. В таких условиях комплексный подход к обеспечению безопасности дома и следование простым правилам, описанным в этой статье, поможет пользователям без лишнего риска наслаждаться всеми преимуществами новых технологий и интернета вещей.


    Владимир Табаков
    Редакционный директор
      

    Комментирование и размещение ссылок запрещено.

    Комментарии закрыты.