Будущее интернета-вещей (IoT) уже рядом. IoT-устройства используются в здравоохранении, энергетике и промышленности. Мы не только наслаждаемся удобством и эффективностью, которые нам предоставляют устройства, подключенные к интернету вещей, но и сталкиваемся с их уязвимостями в процессе использования.

Мы наблюдаем рост количества IoT-устройств и приложений, связанных с ними, вместе с этим увеличивается и число кибератак. Кроме того, IoT-устройства используются в том числе в тяжелой промышленности, военных и других ключевых областях, и, если эти устройства недостаточно защищены, хакеры могут скомпрометировать общественную и национальную безопасность.

Большинство компаний, предприятий и пользователей недостаточно осведомлены о вопросах конфиденциальности и безопасности. Обычно пользователи слишком оптимистично относятся к использованию собственных данных. По этой причине некоторые провайдеры получают возможность долго хранить данные пользователей IoT-устройств и даже используют эти данные совместно с другими компаниями без согласия пользователя. Это увеличивает риск утечки конфиденциальной информации.

Так как бизнес редко волнуют вопросы безопасности, производители устройств обычно сосредотачиваются на разработке самого продукта, а не на обеспечении его безопасности. Большая часть производителей считает, что обеспечение мер безопасности приведет к удорожанию продукта. Поэтому компании продолжают производить новые IoT-устройства с небезопасной по умолчанию конфигурацией. Эти устройства не только обладают многими известными уязвимостями, но и иногда даже разрабатываются заведомо уязвимыми.

Кроме этого, предприятия редко заботятся о безопасности клиентов при последующей эксплуатации их оборудования. Инструкции для устройств пишут максимально простыми и не дают никаких рекомендаций о безопасном использовании. Пользователь попросту может не знать, какую конфиденциальную информацию будет собирать его новое устройство, и как его безопаснее использовать. Производители крайне редко проявляют инициативу, помогают заказчикам установить патчи или обновить прошивку, и даже не информируют потребителей о появлении новых возможных уязвимостей. Таким образом, злоумышленникам намного проще использовать уязвимости IoT-устройств, чем «традиционные» уязвимости в компьютерах, и зачастую это можно делать более продолжительное время.

Из-за производственных ограничений (таких как стоимость компонентов и фактические физические параметры) в IoT-устройствах обычно не работают полноценные механизмы безопасности - некоторые устройства изначально проектируются маленькими и легкими. Такие устройства, как правило, долго сохраняют простые в эксплуатации уязвимости, например, «пароли по умолчанию». Из-за ограниченности вычислительных мощностей, многие IoT-устройства взаимодействуют с сервером даже без простейшего шифрования или используют SSL-шифрование, не проверяя сертификат сервера.

С ростом количества IoT-устройств, растет сложность их взаимодействия друг с другом, и этот процесс уже не требует активного участия человека. IoT-устройства могут контролироваться другими устройствами, группами устройств, или специальным программным обеспечением (типа if-then), что действительно популярно в различных пользовательских сценариях. В таких случаях, даже если целевое устройство взломать не получается, злоумышленники могут легко изменить параметры работы связанных устройств, что тоже может быть опасно для пользователя.

Большинство IoT-устройств не имеет собственной системы защиты и не имеет программного обеспечения, позволяющего проверить безопасность окружающей среды. Умные счетчики, камеры наблюдения, имплантируемые устройства, промышленные, сельскохозяйственные и военные устройства зачастую должны исправно функционировать в течение длительного времени без сервисного обслуживания. К таким устройствам сложно подключить внешний интерфейс для диагностики, поэтому трудно зафиксировать момент, когда эти устройства подвергаются атаке или, например, присоединяются к ботнету.

Многие IoT-устройства, такие как носимые устройства и смарт-автомобили, активно используют подключение к интернету. Они часто переключаются от одной сети к другой и «общаются» со многими новыми неизвестными устройствами. Поскольку мобильные IoT-устройства с большей вероятностью присоединяются к большому количеству сетей, хакеры любят распространять вредоносный код через них – так быстрее.

Стоит признать, что различные IoT-устройства стали частью нашей жизни. Объем возможных уязвимостей IoT-устройств огромен, и даже «простой» вирус может остановить работу химического завода, «сломать» умный город или заставить автомобиль съехать с дороги. А это значит, что есть много возможностей для интересных проектов по кибербезопасности в IoT!

Назад