Заключение
В этой главе говорилось о различных причинах утечки данных при работе с мобильным устройством и связанных с этим опасностях. В сущности, она неразрывно связана со всеми предыдущими, и в ней повторяется многое из сказанного выше. Тем не менее в главе немало информации о том, что угрожает именно мобильным устройствам, и советов по безопасности. Вы узнали, каким образом ваши данные с мобильного устройства могут попасть к злоумышленникам и как это предотвратить.
В следующей главе мы рассмотрим еще более уязвимую технику – устройства интернета вещей.
Глава 11
Интернет вещей
Некоторые люди не знают, зачем вообще менять его (пароль администратора), ведь все работает, и камера передает видео! А когда обнаруживается, что она используется для DoS-атак или слежки, – иногда уже слишком поздно. …То же – в случае целевой атаки, когда с помощью этого устройства похищается информация: люди понимают, что что-то не так, когда банковский счет уже пуст
[1076].
Владислав Ильюшин, исследователь угроз для интернета вещей в Avast. Декабрь 2019 г.
Интернет вещей состоит из миллиардов интеллектуальных устройств, взаимодействующих с людьми, механизмами и окружающей средой. IoT-устройства проникли во все сферы – одни передают телеметрические данные и следят за безопасностью периметра, другие обеспечивают бесперебойную работу промышленности и эффективную логистику, третьи контролируют обогрев дома или занимают ребенка в отсутствие родителей. С помощью средств интернета вещей магазины и кафе анализируют поведение клиентов и привлекают их персональными предложениями, страховые компании анализируют манеру вождения клиентов, а сельскохозяйственные предприятия следят за состоянием полей и здоровьем и местонахождением скота.
КЕЙС В 2015 г. специалисты по ИБ из компании Trend Micro создали ханипоты (honeypots – дословно «горшочки с медом») – приманки для хакеров, имитирующие функционирующие системы мониторинга, которые используются на автозаправочных станциях с автоматизированными системами контроля топлива и утечек
[1077] (ATG). В результате были обнаружены группы хакеров (в частности, иранская группировка Dark Coder), которые пытались взломать системы и перехватить управление АЗС
[1078]. В 2015 г. было обнаружено, что более чем на 5800 АЗС с ATG в мире не был установлен пароль доступа, и это позволяло злоумышленникам блокировать работу станций
[1079].
Пользовательские IoT-устройства, о которых пойдет речь в этой главе, делают жизнь потребителя комфортнее и заботятся о его здоровье. К таким IoT-устройствам относятся «умные» телевизоры, рекламирующие контент на основе предпочтений владельца; игрушки, развивающие и обучающие ребенка; смарт-колонки, по запросу пользователя оповещающие о прогнозе погоды, если тот собирается на работу, или включающие музыку. Многие IoT-устройства оборудованы датчиками, позволяющими девайсу реагировать на условия окружающей среды, например умеют автоматически включать освещение при наступлении сумерек или стричь газон, когда трава достигает определенной высоты. Фитнес-браслеты (или фитнес-трекеры) и смарт-часы фиксируют пульс и температуру, позволяя наблюдать за здоровьем и спортивными тренировками, а «умные» ошейники оповещают о координатах домашнего питомца, пройденном им расстоянии и количестве потраченных калорий. Существует «умная» одежда, измеряющая физиологические показатели, как и фитнес-трекеры; отображающая эмоции человека в виде световых сигналов и даже позволяющая принимать звонки, открывать приложения и отправлять сообщения на связанном с ней смартфоне.
Количество IoT-устройств
По словам Дейва Эванса, технолога и футуролога компании Cisco, временем рождения интернета вещей принято считать 2008–2009 гг., когда количество подключенных к интернету устройств превысило население Земли. В 2010 г. на одного жителя планеты приходилось уже 1,84 устройства с подключением к интернету, к 2015 г. количество таких девайсов выросло до 3,47, а к 2030 г., как прогнозируется, будет подключено 100 млрд устройств, что на порядок больше численности населения Земли
[1080]. Стоит отметить, что при расчетах использовалась численность всего населения земного шара, в то время как на многих территориях еще не было доступа к интернету (и в течение следующего десятилетия он появился не везде). Если сократить выборку до количества людей, действительно имевших доступ к интернету, то количество IoT-устройств, приходившихся на человека, возрастало в несколько раз
[1081].
Развитие интернета вещей несет в себе новые опасности для пользователей, в дополнение к тем, что уже существуют в сфере цифровых технологий. Некоторые девайсы интернета вещей способны взаимодействовать с физическим, реальным миром, что при их неправильном функционировании или в случае хакерских атак может привести к катастрофическим последствиям. Злоумышленник может дистанционно подключиться к IoT-системе и погрузить во тьму предприятие или даже целый город, вызвав хаос и спровоцировав мародерство; перехватить управление беспилотным автомобилем, чтобы совершить теракт; повлиять на работу кардиостимулятора
[1082]. Кроме того, IoT-устройства нередко используются в составе ботнетов, таких как Mirai, в частности, для реализации масштабных DDoS-атак
[1083]. К примеру, весной 2020 г. был обнаружен ботнет из 400 000 скомпрометированных устройств под управлением контроллера светодиодного освещения
[1084]. При этом пользователь зачастую не способен вмешаться, чтобы предотвратить некорректную работу устройств, из-за невозможности конфигурирования системы их защиты.
Опасности IoT-устройств
Когда мы подключаем к интернету привычные цифровые устройства, такие как телефоны и компьютеры, то сами вносим существенный вклад в безопасность, например устанавливая надежный пароль и не посещая фишинговые сайты. Но производители IoT-устройств часто не обеспечивают надежную их киберзащиту. Так, нередки случаи, когда для административного доступа к IoT-устройству используется связка простых логина и пароля, причем их нельзя заменить на более надежные. В системе контроля за доступом PremiSys логин и пароль администратора были жестко вшиты в памяти устройства. Это позволило злоумышленнику, получившему доступ к системе, создавать новых пользователей и блокировать карты, необходимые для открытия дверей с этой системой
[1085]. Иногда одни и те же логины и пароли используются для всей серии устройств либо пароль генерируется по определенному алгоритму, взломав который хакер потенциально может получить доступ ко всем экземплярам этой модели, особенно если нет защиты от брутфорса. Такая ситуация произошла в 2018 г. с системой видеонаблюдения Guardzilla: в код программного обеспечения были зашиты данные для доступа к облачному аккаунту Amazon Web Services, где хранились видеофайлы всех пользователей этих камер
[1086].
