avatar it-news

Новости информационных технологий



подробнее...

Следить за персональным блогом


Автоматизированная система Промышленная безопасность и охрана труда

Обновления главной ленты блогов
Вконтакте Facebook Twitter RSS Почта Livejournal
Внимание

На нашем портале можно бесплатно публиковать информацию о своей компании, размещать товары и услуги и цены на них.
Ведите свой личный или корпоративный блог и его ежедневно увидят 30 тысяч посетителей нашего сайта.

06 декабря 2018, 12:33

Информационная безопасность интернета вещей (Internet of Things)


2018/03/22 12:06:09

Информационная безопасность интернета вещей (Internet of Things)

Данная статья посвящена аспектам информационной безопасности интернета вещей, в том числе, инцидентам, связанным с этой технологией.

Теоретические аспекты ИБ интернета вещей

Безопасной экосистемы IoT не существует

Эксперты настойчиво заявляют о том, что поставщики услуг и устройств рынка IoT нарушают принцип сквозной информационной безопасности (ИБ), который рекомендован для всех ИКТ-продуктов и услуг. Согласно этому принципу, ИБ должна закладываться на начальной стадии проектирования продукта или услуги и поддерживаться вплоть до завершения их жизненного цикла.

Но что же мы имеем на практике? Вот, например, некоторые данные исследований корпорации HP (лето 2014 года), целью которых было не выявить какие-то конкретные небезопасные интернет-устройства и уличить их изготовителей, но обозначить проблему ИБ-рисков в мире IoT в целом.

Исследователи HPE обращают внимание на проблемы как на стороне владельцев устройств, так и на проблемы, над которыми должны подумать разработчики. Так, в самом начале эксплуатации пользователю обязательно нужно заменить фабричный пароль, установленный по умолчанию, на свой личный, поскольку фабричные пароли одинаковы на всех устройствах и не отличаются стойкостью. К сожалению, делают это далеко не все. Поскольку не все приборы имеют встроенные средства ИБ-защиты, владельцам также следует позаботиться об установке внешней защиты, предназначенной для домашнего использования, с тем чтобы интернет-устройства не стали открытыми шлюзами в домашнюю сеть или прямыми инструментами причинения ущерба.

В ходе проведенного HP исследования обнаружено, что примерно в 70% проанализированных устройств не шифруется беспроводной трафик. Веб-интрефейс 60% устройств эксперты HP посчитали небезопасным из-за небезопасной организации доступа и высоких рисков межсайтового скриптинга. В большинстве устройств предусмотрены пароли недостаточной стойкости. Примерно 90% устройств собирают ту или иную персональную информацию о владельце без его ведома.

Всего же специалисты HP насчитали около 25 различных уязвимостей в каждом из исследованных устройств (телевизоров, дверных замков, бытовых весов, домашних охранных систем, электророзеток...) и их мобильных и облачных компонентах.

Вывод экспертов HP неутешителен: безопасной экосистемы IoT на сегодняшний день не существует. Особую опасность вещи Интернета таят в себе в контексте распространения целевых атак (APT). Стоит только злоумышленникам проявить интерес к кому-либо из нас, и наши верные помощники из мира IoT превращаются в предателей, нараспашку открывающих доступ в мир своих владельцев.

Слабые места IoT

  • стандартные учётные записи от производителя, слабая аутентификация
  • отсутствие поддержки со стороны производителе для устранения уязвимостей
  • трудно или невозможно обновить ПО и ОС
  • использование текстовых протоколов и ненужных открытых портов
  • используя слабость одного гаджета, хакеру легко попасть во всю сеть
  • использование незащищённых мобильных технологий
  • использование незащищённой облачной инфраструктуры
  • использование небезопасного ПО

Насколько безопасны «умные дома будущего»

Ниже Panda собрала несколько идей о способах, благодаря которым хакеры могли бы получить беспрецедентный доступ к Вашей повседневной жизни через комплексные устройства, которые расположены у Вас дома[1].

Выкуп за вход домой?

Т.к. Интернет вещей продолжает интегрировать, казалось бы, бессмысленные и несвязанные объекты, то полноценная домашняя операционная система выглядит вполне вероятной. Хотя это превратит Ваш дом в оптимизированное жизненное пространство, полностью предназначенное для обеспечения Вашего комфорта, тем не менее, она может также нести Вам серьезные риски стать жертвой кибер-атаки в Вашем собственном доме.

Центральное звено любой системы безопасности умного дома будущего – это его замок.

Кстати, недавнее исследование показало, что умные замки пугающе легко можно взломать, в результате чего они не могут гарантировать выполнение своей основной функции, для которой, собственно говоря, они и существуют.

Существующие системы достаточно просты для кибер-хакеров и не являются препятствием для того, чтобы проникнуть в Ваш дом.

И мы решили подумать дальше: а что если хакеры в будущем смогут использовать это технологическое достижение против Вас? Если умный замок можно взломать, чтобы его открыть, возможно, хакеры найдут способ, как полностью его закрыть, чтобы Вы не могли его открыть.

В этом случае в будущем можно будет достаточно тихо проникать в чужой дом: хакер сможет контролировать все события удаленно. Более того, он сможет запрашивать у своих жертв какой-нибудь разумный выкуп за то, чтобы они могли попасть в свои собственные дома.

Кстати, это может быть идеей для сценария какого-нибудь страшного фильма (Совсем один дома), но это ужасная мысль. Если все Ваши устройства безопасности взаимосвязаны, то кибер-преступники потенциально могли бы получить доступ также к Вашей домашней сигнализации и даже ключам от Вашего автомобиля.

Задымленный экран – тревога о пожаре

Одна функция безопасности, которая уже встроена в некоторые доступные на рынке детекторы дыма, - это возможность, позволяющая умному дому получать информацию (и использовать ее в дальнейшей работе) от других смарт-устройств, что позволяет системе реагировать соответствующим образом в случае опасности. Данная функция внедрена для безопасности пользователя, позволяя домашней системе, которая обнаружила пожар, например, разблокировать все двери в доме, чтобы помочь выбраться из него как можно быстрее.

Это отличный пример того, как производители IoT-решений работают над прозрачной интеграцией и взаимодействием смарт-устройств внутри умного дома. Однако есть одна оговорка: если эта технология будет использоваться кибер-преступниками, то существует вероятность создания нежелательной цепной реакции, которая в конечном итоге может, наоборот, снизить уровень безопасности умного дома.

Еще один способ, когда хакер мог бы потенциально издалека навредить, - это создание ложной тревоги о пожаре, которая отправляется в пожарные службы. Хаотическая сцена может выглядеть в виде задымленного экрана, что также в итоге может сделать Вас легкой добычей для других потенциально вредоносных кибер-атак.

Пылесос смерти

Наверное, это одна из наших «уайлдеровских» идей, но если вспомним про фурор, который произвел на всех самовзрывающийся смартфон, то не будем удивляться и тому, что IoT-устройства все чаще ставят нас в такое положение, которое предоставляет хакерам доступ к потенциально взрывоопасным устройствам!

Можно ли использовать IoT-устройства для кибер-атаки? Легко.

Злоумышленники, как правило, работают на массы: например, распределенные атаки на отказ в обслуживании (DDOS), когда тысячи электронных писем или запросов отправляются на какой-то сервер, чтобы замедлить его работу или вообще вывести его из строя.

В этом случае в будущем мы можем столкнуться с ситуациями, когда хакеры попытаются «завалить» как можно больше машин в надежде на то, что какая-то их часть будет работать неправильно, что приведет к тяжелым последствиям. Вообще-то, пугающая перспектива. Возможно, как раз по этой причине правительственные органы говорят о потенциальных опасностях Интернета вещей, связанных с кибер-атаками.

Остерегайтесь холодильника

Помните эпизод в «Симпсонах», когда Мардж нападает на домашнюю операционную систему с искусственным интеллектом, озвученную Пирсом Броснаном, которая готовит еду, но тайно планирует «избавится» от остальных членов семьи? Да, конечно, это забавная пародия, но смущает то, что нам потребуется всего несколько технологических достижений, чтобы эти события уже перестали быть смешными, а оказались ужасной действительностью.

Хорошо, допустим, что Ваш холодильник пока не ведет с Вами интеллектуальных бесед, и уж тем более, не прорабатывает какие-то убийственные схемы в отношении Вашей семьи. Однако еще два года назад ЦРУ отметили угрозу со стороны смарт-холодильников в умных домах. К чему бы это?

ЦРУ всполошилось от того, что холодильник использовался как часть бот-сети для выполнения DDOS-атаки. И все это происходило совершенно незаметно для хозяина этого холодильника, который даже и понятия не имел о том, что его смарт-устройство может выполнять какие-то дьявольские действия, кроме как охлаждать и сохранять еду.

Что дальше?

Т.к. смарт-устройства становятся все умнее, отслеживая Ваши покупательские предпочтения и осуществляя заказы на дом, мог бы хакер получить доступ к Вашим банковским данным или вмешаться в Ваши покупки? Мы все знаем, что искусственный интеллект и холодильники лучше оставить как жуткое видение в мультиках, а не ужас в реальной жизни!

Сертификация устройств IoT для защиты от хакеров

11 октября 2016 года стало известно о планах Еврокомиссии - ввести обязательную сертификацию или другую аналогичную процедуру всех приборов, подключаемых к интернету вещей. Предполагается принять меры на государственном уровне, что должно помешать хакерам использовать интернет вещей для создания ботнетов.

Как вариант, не исключается установка на устройства сети специальных унифицированных чипов, которые обезопасят их от атак хакеров. Эти меры, по мнению чиновников Еврокомиссии, должны повысить уровень доверия к интернету вещей в обществе и помешать хакерам создавать ботнеты из подключаемой техники[2].

После DDoS-атаки на ресурс Krebs, индустрия в шоке от ее размера, глубины и сложности, (2016)

«

Меры по защите интернета вещей от хакеров следует принимать именно на государственном уровне, поскольку в контроле нуждаются не только сами приборы, но и сети, к которым они подключены, а также облачные хранилища. Схема сертификации интернета вещей сравнима с европейской системой маркировки энергопотребляющих товаров, принятой в 1992 году. Маркировка обязательна для автомобилей, бытовой техники и электрических ламп. Но производители техники считают систему подобной маркировки неэффективной для защиты от хакеров. Вместо этого они предпочли бы установить в приборы стандартный чип, который будет отвечать за безопасность подключения к интернету. Тибо Клейнер (Thibault Kleiner), заместитель европейского комиссара по цифровой экономике и обществу

»

В группу приборов, подключаемых к интернету, входят видеокамеры, телевизоры, принтеры, холодильники и другая техника. Большая часть этих устройств неудовлетворительно защищена от хакерских атак. Сами по себе эти устройства могут не представлять интереса для преступников. Однако хакеры взламывают их, чтобы использовать в качестве роботов для создания ботнетов, посредством которых можно атаковать более серьезные системы. Большинство владельцев взломанных устройств даже не подозревают, как используется их техника.

В качестве примера приведена масштабная DDoS-атака на интернет-ресурс Krebs On Security, в сентябре 2016 года.

«

Интенсивность запросов от ботсети во время атаки достигла 700 Гб/с. В составе ботсети более 1 млн камер, видорегистраторов и других подключенных к интернету вещей устройств. Это не первый резонансный случай, когда подобные устройства становятся частью ботнета, однако впервые сеть состояла почти полностью из таких приборов. Брайан Кребс (Brian Krebs), владелец ресурса

»

По данным Gartner, к интернету вещей подключено около 6 млрд приборов, а к 2020 году их число достигнет 20 млрд, что создаст хакерам более широкие возможности для проведения масштабных атак посредством ботнетов.

Оценка рынка

2017: Расходы на безопасность IoT в $1,2 млрд

21 марта 2018 года аналитическая компания Gartner обнародовала результаты исследования мирового рынка информационной безопасности в сфере [[Интернет вещей Internet of Things (IoT)|Интернета вещей (IoT)]]. Расходы компаний на обеспечение киберзащиты IoT-систем в 2017 году достигли $1,17 млрд, увеличившись на 29% относительно предыдущего года, когда затраты измерялись $912 млн.

Большая часть рассматриваемого рынка пришлось на профессиональные услуги, которые в 2017 году оказаны на сумму $734 млн против $570 млн годом ранее. В сегментах безопасности межсетевых устройств и пользовательского оборудования зафиксированы инвестиции в размере 138 и 302 млн долларов соответственно. В 2016-м эти показатели измерялись 240 и 102 млн долларов.

Расходы на безопасность Интернета вещей, данные Gartner

В исследовании отмечается, что кибератаки на Интернет вещей стали реальностью. С ними в период с 2015 по 2018 годы столкнулись около 20% организаций, опрошенных Gartner.

По словам аналитика Gartner Руггеро Конту (Ruggero Contu), развертывая Интернет вещей, компании чаще всего не уделяют внимания источникам закупки оборудования и программного обеспечения, а также их особенностям.

Прогнозируется, что еще до 2020 года безопасность Интернета вещей не будет приоритетной для бизнеса. Кроме того, внедрение наилучших ИБ-практик и инструментов при планировании IoT будет игнорироваться. Из-за этих двух сдерживающих факторов рынок ИБ-решений для Интернета вещей лишится 80% потенциальной выручки.

Главным драйвером роста рассматриваемого рынка специалисты называют спрос на инструменты и сервисы, улучшающие обнаружение угроз и управление активами, оценку безопасности оборудования и софта, а также тестирование на защиту IoT-систем от несанкционированного доступа. Благодаря этим факторам расходы на информационную безопасность Интернета вещей вырастут до $3,1 млрд в 2021 году, прогнозируют в Gartner.[3]

История инцидентов

2018: Nokia Threat Intelligence Report

В ноябре 2018 года компания Nokia опубликовала отчет, согласно которому доля IoT-ботнетов среди всех вредоносных программ в сетях провайдеров услуг связи в 2018 году выросла до 78%. Это более чем в два раза превышает показатели 2016 года, когда о ботнетах стали говорить, как о значимой угрозе. Прогнозируется, что в 2019 году ситуация только ухудшится. Подробнее здесь.

2017

Gemalto: У потребителей нет уверенности в безопасности устройств IoT

Компания Gemalto обнародовала в октябре 2017 года данные: оказывается, 90% потребителей не доверяют безопасности устройств Интернета вещей (Internet of Things или IoT). Вот почему более двух третей потребителей и почти 80% организаций поддержали правительства, принимающие меры по обеспечению безопасности IoT.

Основные опасения потребителей (согласно двум третям респондентов) касаются хакеров, которые могут установить контроль над их устройством. Фактически, это вызывает большее беспокойство, чем утечка данных (60%) и доступ хакеров к личной информации (54%). Несмотря на то, что устройствами IoT владеет более половины (54%) потребителей (в среднем, по два устройства на человека), только 14% считают себя хорошо осведомленными о безопасности этих устройств. Такая статистика показывает, что как потребителям, так и предприятиям, необходимо дополнительное образование в данной сфере.

Что касается уровня инвестиций в безопасность, то опрос показал, что производители устройств IoT и поставщики услуг тратят всего 11% своего общего IoT-бюджета на обеспечение безопасности устройств Интернета вещей. Исследование показало, что эти компании действительно признают важность защиты устройств и данных, которые они генерируют или передают, а 50% компаний обеспечивают безопасность на основе проектного подхода. Две трети (67%) организаций сообщают о применении шифрования в качестве основного метода защиты активов IoT с 62%-ным шифрованием данных сразу по достижении IoT-устройства, а 59% − при выходе из устройства. Девяносто два процента компаний наблюдали увеличение продаж или использования продукта после внедрения мер по обеспечению безопасности IoT.

Поддержка правил безопасности IoT набирает обороты

Согласно опросу, компании поддерживают положения, дающие понять, кто несет ответственность за обеспечение безопасности устройств и данных IoT на каждом этапе их применения (61%) и каковы последствия несоблюдения безопасности (55%). Фактически, почти каждая организация (96%) и каждый потребитель (90%) испытывают необходимость в правилах по обеспечению безопасности Интернета вещей, принятых на уровне правительства.

Отсутствие всесторонних возможностей, способствующих налаживанию партнерства

К счастью, компании постепенно осознают, что им нужна поддержка в понимании технологии IoT и обращаются к партнерам за помощью, отдавая наибольшее предпочтение провайдерам облачных услуг (52%) и поставщикам услуг IoT (50%). В качестве главной причины для такого обращения они чаще всего называют отсутствие опыта и навыков (47%), а затем − помощь и ускорение развертывания Интернета вещей (46%).

Несмотря на то, что такие партнерские отношения могут принести пользу бизнесу при внедрении Интернета вещей, организации признают, что они не имеют полного контроля над данными, собираемыми продуктами или сервисами Интернета вещей, когда эти данные переходят от партнера к партнеру, что потенциально оставляет их незащищенными.

Уязвимость HomeHack позволяет взять под контроль IoT-устройства LG SmartThinQ

Компания Check Point Software Technologies Ltd., поставщик решений по кибербезопасности во всем мире, 26 октября 2017 года объявила об обнаружении HomeHack — уязвимости, из-за которой миллионы домашних смарт-устройств SmartThinkQ могли оказаться под угрозой взлома и удаленного управления. HomeHack позволила исследователям Check Point создать поддельную учетную запись LG, а затем использовать ее, чтобы завладеть учетной записью и умными устройствами пользователя LG.

Контроль над смарт-устройствами

Уязвимости в мобильном и облачном приложениях LG SmartThinkQ позволили исследователям Check Point удаленно войти в облачное приложение SmartThinQ, и, завладев учетной записью LG, получить контроль над пылесосом и встроенной в него видеокамерой. Получив контроль над учетной записью конкретного пользователя LG, злоумышленник может контролировать любое устройство LG или устройство, связанное с этой учетной записью, включая пылесосы, холодильники, плиты, посудомоечные и стиральные машины, фены и кондиционеры, рассказали в компании.

Слежка за пользователем

Уязвимость HomeHack дает хакерам возможность следить за домашней жизнью пользователей с помощью видеокамеры робота-пылесоса Hom-Bot, которая в режиме реального времени отправляет видео в приложение LG SmartThinQ в рамках функции HomeGuard Security. В зависимости от моделей устройств LG злоумышленники могут также включать и отключать посудомоечные или стиральные машины.

Видео, демонстрирующее, как может быть проведена атака посредством уязвимости HomeHack

Уязвимость устранена

Check Point обнаружила уязвимость 31 июля 2017 года и сообщила об этом LG, соблюдая политику конфиденциальности информации. LG устранила уязвимости в приложении SmartThinQ в конце сентября.

Как защититься

Для защиты от возможного взлома мобильных приложений и устройств LG SmartThinQ Check Point рекомендует пользователям выполнить следующие действия:

  • Обновить приложение LG SmartThinQ до последней версии (V1.9.23). Это можно сделать через Google Play Store, Apple App Store или через настройки приложения LG SmartThinQ.
  • Обновить сами устройства Smart Home до последней версии. Необходимо нажать на «интеллектуальный домашний продукт» под панелью инструментов SmartThinQ (если доступно обновление, пользователь получит всплывающее оповещение).

Об устройствах SmartThinQ

Умные устройства и решения по безопасности SmartThinQ от LG позволяют пользователям проверять и поддерживать состояние своего дома со смартфона. По данным LG, только в первом полугодии 2016 года объем продаж роботизированного пылесоса Hom-Bot превысил 400 тыс. ед. В 2016 году 80 млн смарт-устройств были распроданы по всему миру — на 64% больше, чем в 2015 году.

Хакеры атаковали сеть ИВ-устройств университета

Компании и организации по всему миру все чаще сталкиваются с кибератаками, способными остановить или серьезно замедлить их бизнес-операции, говорится в отчете от компании Verizon (весна 2017 года). В частности, эксперты по безопасности приводят пример неназванного американского университета, который столкнулся с крупной хакерской атакой через сеть из более чем пяти тысяч устройств интернета вещей (ИВ) на территории кампуса[4].

Данный тип атаки эксперты называют «ботнет заграждением». Изначально представители ИТ-служб университета зарегистрировали множество жалоб на медленное или совсем недоступное подключение к интернету в кампусе. После проверки выяснилось, что DNS-серверы сети университета производили огромное количество запросов, а также создали множество поддоменов с именами, связанными с морепродуктами. После более подробного расследования было выявлено более пяти тысяч отдельных устройств, отправлявших сотни DNS-запросов каждые пятнадцать минут.

«Среди этих устройств, почти все относились к сегменту сети, составляющей нашу инфраструктуру интернета вещей. Ситуация была крайне сложная, так как на сегодняшний день специалисты по борьбе с кибератаками неплохо подготовлены для исправления проблем со сторонним доступам к компьютерам или серверам, но не имеют ни малейшего понятия о том, что делать в случае атаки на устройства интернета вещей, кроме, разве что, полной замены каждой машины с напитками и каждого фонарного столба», — говорится в отчете Verizon.

Исследование показало, что ботнет, захвативший сеть устройств интернета вещей в университете, распространялся от одного девайса к другому, подбирая доступ к устройствам со слабыми или совсем отсутствующими паролями с помощью техники полного перебора. Чтобы вернуть управление над скомпрометированными устройствами, специалисты университета использовали специальный алгоритм, позволяющий перехватывать пароли взломанных устройств с последующей оперативной их заменой до того, как вредоносное ПО успеет провести обновление.

2016: Хакеры впервые взломали унитаз

Футуристические высокотехнологичные унитазы весьма уязвимы к кибернападениям. Это удалось доказать группе взломщиков, работающих в подразделении компании Panasonic, которое занимается вопросами безопасности, написала в феврале 2016 года Mirror[5].

Глава подразделения, Хикохиро Лин, рассказал, что "умный" унитаз, который управляется через беспроводное соединение Bluetooth при помощи смартфона, очень легко поддается взлому. В результате хакеры получают доступ ко всем возможностям устройства - например, они могут в любой момент включить спуск воды и испугать посетителя туалета.

По словам исследователей, причиной легкого взлома стал стандартный пароль, который устанавливается производителем и практически никогда не меняется самими пользователями.

"Всякий раз, когда кто-то использует туалет, мы можем контролировать все", - заявил Хикохиро Лин. Стоит отметить, что, по мнению многих специалистов, разработчики устройств для "интернета вещей" слишком мало внимания уделяют вопросам безопасности. В результате хакеры, используя уязвимости в программном обеспечении, могут похищать личные данные владельцев устройств.

Смотрите также

Источник: http://tadviser.ru/a/381373