■ Не подключаться к публичным сетям. Трафик в таких сетях могут перехватывать посторонние лица. Для защиты можно использовать проверенных VPN-провайдеров.
■ Отключить неиспользуемые функции. В первую очередь это касается разнообразных «облачных» сервисов, которыми оснащается все большее число IoT-устройств. Они, к примеру, могут предоставлять удаленный доступ к устройству или хранить записи. В некоторых случаях это удобно или даже необходимо, в других – совершенно излишне, например при использовании вибраторов. Кроме того, не гарантирована безопасность приложения (особенно если его код закрыт) и сервиса, а также их защита от взломов и утечек.
Также следует отключать микрофоны и камеры, если они не используются, – например на телевизорах. Обратите внимание: в некоторых случаях программное отключение неиспользуемых функций невозможно или не дает результата (устройство все равно собирает данные, такой случай с телевизорами LG мы рассмотрели ранее). Тогда можно физически заблокировать микрофон и камеру, например заклеив ее темным скотчем.
■ Не предоставлять IoT-девайсам и связанным с ними приложениям и сайтам избыточные персональные данные. Таким устройствам, в том числе и детским IoT-игрушкам, незачем знать дату рождения, адрес, Ф.И.О., имена родственников и данные о геолокации.
■ Настроить параметры безопасности, связанные с покупками, совершаемыми с помощью IoT-устройств, в том числе и через ASR-системы (голосовые помощники). Следует убедиться, что постороннее лицо не сможет осуществить покупку или перевести деньги с помощью устройства.
■ Учитывать риск физической компрометации. Любые устройства с аппаратной кнопкой сброса к настройкам производителя по умолчанию, а также с доступными разъемами уязвимы.
■ По возможности использовать шифрование в случае передачи данных внутри домашней сети и за ее пределы, в том числе при установке отдельных соединений, например связи с помощью Bluetooth, между устройством и смартфоном.
■ Не использовать потенциально уязвимые устройства, которые уже не поддерживаются вендором, либо те, защиту которых невозможно обеспечить
[1188].
■ Учитывать уязвимости ASR-систем. Такие системы могут активироваться, если рядом с ними произносятся не только стандартные и установленные пользователем ключевые слова, но и какие-либо дополнительные. Трафик (речь пользователя) могут перехватывать посторонние (сотрудники компаний-разработчиков, хакеры, государственные организации
[1189]), поэтому существует риск утечки конфиденциальных данных.
Практическое задание
1. Проверьте настройки конфиденциальности и безопасности в используемых вами IoT-устройствах. Особенное внимание уделите устройствам, оборудованным микрофонами, камерами и GPS-локаторами.
2. Проверьте наличие обновлений для своих IoT-устройств.
3. Проверьте настройки безопасности связанных с ними приложений. Проверьте, шифруются ли данные, которыми IoT-устройство обменивается с таким приложением.
4. Поищите в интернете информацию об уязвимостях своих IoT-устройств и, если такие обнаружены, – о способах решения проблемы.
5. Проверьте, всеми ли интернет-функциями устройства вы пользуетесь. Возможно, некоторые следует отключить.
6. Изучите детские игрушки и устройства с выходом в интернет. Обсудите с детьми вопросы безопасности, связанные с интернетом вещей.
7. Обсудите с детьми правила поведения в случае подозрительного поведения их IoT-игрушек – например, если злоумышленник пытается выведать личную информацию.
Заключение
Мы вкратце обсудили основные опасности, связанные с утечкой персональных данных через IoT-устройства. На защиту таких девайсов от несанкционированного доступа нужно обратить самое пристальное внимание, так как вендоры зачастую допускают недоработки в их системах безопасности, в том числе не позволяя пользователю сменить дефолтные логины и пароли. В особенной защите нуждаются детские игрушки, имеющие выход в интернет.
В следующей главе мы рассмотрим угрозы в сфере ИБ, связанные с транспортом.
Глава 12
Автомобилем, самолетом, поездом
Многие считают главной угрозой ядерные державы, но в действительности любая страна может развернуть масштабную кибератаку и убить миллионы людей, взломав автомобили
[1190].
Джастин Каппос, сотрудник Нью-Йоркского университета, 2017 г.
«В тот момент, когда началась атака, я подъезжал к центру Сент-Луиса на скорости свыше 110 км/ч. Хотя я не касался приборной панели, из вентиляционных отверстий автомобиля Jeep Cherokee стал на максимальной мощности дуть холодный воздух, остужая мое взмокшее тело. Затем радиоприемник переключился на местную хип-хоп-волну, и на полной громкости заиграл рэп. Я прокрутил ручку уровня громкости и нажал кнопку выключения – ноль реакции. Затем включились дворники, и на лобовое стекло брызнула стеклоочистительная жидкость.
Пока хакеры удаленно баловались с системой климат-контроля, радиоприемником и стеклоочистителями, я мысленно поздравил себя с тем, как хорошо держусь в стрессовой ситуации. И именно в этот момент они перехватили контроль над коробкой передач.
В ту же секунду перестала работать педаль газа. Я лихорадочно давил на нее и видел, как растет число оборотов в минуту, но скорость джипа сначала упала вдвое, а затем снизилась до такой степени, что машина практически поползла. Это произошло как раз в тот момент, когда я оказался на длинной эстакаде, где не было ни одного съезда.
В это время машина подъехала к подъему на трассе, скорость упала еще больше, и джип практически не двигался. За моим джипом выстроились другие машины и пытались обгонять меня, отчаянно сигналя. Через зеркало заднего вида я увидел приближающуюся фуру. Мне оставалось только надеться, что ее водитель заметил меня и понял, что я застрял на трассе. В зеркале показался полуприцеп, который надвигался на мой парализованный джип…»
Это не сюжет остросюжетного фильма, а реальная история
[1191], произошедшая с Энди Гринбергом, журналистом интернет-издания Wired.