Фотографии с вашим изображением могут попадать в интернет без вашего ведома разными путями. Например, ваши друзья могут публиковать совместные фотографии, иногда даже указывая, кто изображен на снимке вместе с ними. Вас могут зафиксировать системы видеонаблюдения, повсеместно устанавливаемые в городах как государственными организациями, так и коммерческими компаниями. Вы можете случайно попасть в кадр, когда посторонние люди, например туристы, ведут фотосъемку. Ваши фотографии могут попасть в открытый доступ в результате утечек из различных баз данных, причем вместе с фото там может храниться текстовая информация о вас, цифровые копии ваших документов и т. п.
Устройства интернета вещей
Важный аспект при использовании устройств интернета вещей, на который сегодня почти не обращают внимания не только их владельцы, но и производители, – защита от несанкционированного доступа. В соответствующей главе мы подробно рассмотрим угрозы, связанные с IoT-девайсами, а сейчас обратим внимание только на те, которые связаны с устройствами, оборудованными камерами.
КЕЙС Уязвимость, возникшая из-за дефолтной и неизменяемой связки логина и пароля
[495] администратора в прошивках IoT-девайсов, привела к созданию в 2016 г. одного из крупнейших ботнетов
[496] под названием Mirai, состоящего из более чем 400 000 зараженных устройств. С помощью Mirai злоумышленники смогли вести крайне мощные DDoS-атаки, в том числе против сервис-провайдера Dyn, что вывело из строя сотни сайтов, включая Twitter, Netflix, Reddit и GitHub
[497]. Угроза заражения Mirai (как и возникновения других ботнетов) была актуальна, и более того, в момент написания этой книги, создавались новые модификации трояна для других типов устройств, например телевизоров и беспроводных презентационных систем. Атаки с помощью ботнетов становятся более мощными, достигая интенсивности в десятки гигабит в секунду
[498].
В большинстве случаев уязвимости в IoT-устройствах позволяют хакерам вести ботнет-атаки, но они также могут использоваться для шпионажа за владельцами или вывода девайсов из строя. Например, ведя атаку с учетом особенностей и уязвимостей облачной архитектуры, злоумышленник может получить административный доступ к камере и не только наблюдать за происходящим в зоне видимости камеры и управлять углом ее обзора (если камера имеет данную функцию), но и клонировать камеру, чтобы настоящий владелец видел изображение с камеры-клона на стороне злоумышленника, а настоящая камера при этом отключалась
[499]. В процессе исследования видеокамер (видеонянь) типа Samsung SmartCam эксперты «Лаборатории Касперского» смогли перехватить видеоизображение, подслушать звук и даже извлечь информацию об их местонахождении. Мошенники могут таким образом выяснить местонахождение камеры, дождаться отъезда жильцов и проникнуть в дом. При этом они способны для усыпления бдительности владельца клонировать камеру и передать ему поддельное изображение (статичную фотографию интерьера) либо просто вывести камеру из строя
[500].
Примечание. Стоит отметить, что многие уязвимости, обнаруженные исследователями в устройствах Samsung SmartCam, уже закрыты разработчиком, но данная информация касается только одной линейки определенного производителя. Кроме того, по мере усложнения аппаратного и программного обеспечения устройств возникает все больше новых уязвимостей
[501].
Многие IoT-девайсы с камерами дополнительно оснащены микрофоном и динамиком, и злоумышленник, определив, что дома нет никого, кроме ребенка, может втереться к нему в доверие и попросить открыть дверь, заявив, что в подъезде его ждет подарок и т. п.
[502]
КЕЙС В 2014 г. на одном из российских сайтов в открытом доступе велась трансляция с тысяч взломанных веб-камер частных лиц и компаний из 250 стран мира. В большинстве случаев были доступны трансляции с камер на американском континенте (свыше 4500), но можно было получить доступ и к камерам в Европе, в том числе в России – в домах жителей Королева, Москвы, Краснодара и других городов. Это стало возможным из-за того, что владельцы камер использовали дефолтные связки логина и пароля
[503]. Впоследствии сайт закрыли, но трансляции по-прежнему ведутся на других ресурсах в интернете
[504].
Особенное внимание стоит уделять современным «умным» игрушкам и IoT-устройствам, с которыми взаимодействуют дети. Злоумышленники могут взламывать такие устройства и наблюдать за детьми и даже общаться с ними. Ребенок мало знает о безопасности и соблюдении конфиденциальности. Более того, если он использует «умную» игрушку, то может разговаривать с ней, как разговаривает с обычной куклой. Тогда риск утечки приватных данных особенно велик. Случаи с такими игрушками, как кукла My Friend Cayla
[505] или плюшевые животные CloudPets
[506], мы обсудим в главе, посвященной IoT-устройствам. Преступник может выяснить, когда родителей нет дома или где хранятся определенные вещи и т. п. Угрожая ребенку, злоумышленник может вынудить его не рассказывать родителям об их коммуникациях и выяснить информацию, необходимую для совершения преступления.
КЕЙС В 2016 г. злоумышленник взломал видеоняню с системой ночного видения и шпионил за трехлетним сыном семейной пары из Вашингтона. Иногда он разговаривал с мальчиком, чем очень пугал его. Сначала родители не верили ребенку, но однажды мать вошла в детскую и услышала фразу «Проснись, маленький мальчик, папа ищет тебя», произнесенную злоумышленником
[507].