Не стоит думать, что Интернет вещей (Internet of Things, IoT) появился только сегодня. Недавно я с удивлением узнал, что первой машиной, соединенной с Интернетом, была автомат по продаже кока-колы в университете Карнеги-Меллона в далеком 1982 г. Она передавала данные об уровне запасов и о температуре недавно загруженных напитков. Фактически создание данного устройства положило начало IoT, встроенных вычислительных систем с передачей данных через Интернет. Сегодня их уже огромное количество, включая различные датчики «умного» дома, телевизоры, некоторые автомобильные системы (навигация, механизмы управления автомобилем). При этом необходимо учесть, что разнообразие систем порождает разнообразие угроз. Более того, в погоне за скоростью вывода на рынок все новых и новых устройств разработчики особо не думают о безопасности, а ведь анализируя огромный поток данных злоумышленники могут выудить из него огромное количество приватной информации путем простого анализа данных. Ситуация весьма напоминает сбор разведданных. В соответствие с некоторыми газетными статьями, более 80% конфиденциальной информации разведка добывает анализом открытой информации. Так и здесь.

Стоит отметить что некоторые атаки уже способны использовать уязвимости в маршрутизаторах и даже автомобилях.

Вспомните далекий 2010 г. В ходе эксперимента группа американских исследователей, разработав программу CarShark, взломала бортовую электронику автомобиля, получив доступ к бортовому компьютеру через стандартные разъемы диагностики.

А ведь уже прошло почти 5 лет. Кто знает, как далеко ушли за это время взломщики?

Сегодня весьма популярны атаки на маршрутизаторы под управлением Linux. Как часто вы обновляете ПО для ваших роутеров? Скорее всего, в лучшем случае редко, чаще — никогда.

Заодно стоит вспомнить число атак на Android. А ведь на очереди «умные» часы и очки на этой ОС.

Безусловно, IoT улучшает нашу жизнь, но стоит упомянуть и о темной стороне. Уже не редкость использование веб-камер для слежки за людьми. Интернет уже давно содержит огромное количество маршрутизаторов, видеокамер, видеорегистраторов и т. д. Сегодня можно элементарно отслеживать ваши перемещения и составлять ваши типовые маршруты передвижения. IoT-устройства умеют собирать, хранить, обрабатывать и передавать по Интернету информацию, а значит все они потенциально уязвимы для атак.

Но самое страшное — атаки на медицинские устройства. Уже сегодня существует масса устройств для изменения нашей двигательной активности, давления, пульса. При этом данные могут передаваться онлайн.

Специалистами Symantec был проведен анализ более 100 медицинских приложений в App Store. 52% не имеют никаких средств для обеспечения конфиденциальности. Более того, каждое приложение передавало данные пяти интернет-доменам рекламных агентств и служб аналитики. При этом 20% приложений передают пользовательские данные, не шифруя их.

А теперь представьте, что ваши медицинские данные станут известны, например, вашему работодателю? Вашей страховой компании? Не страшно? Мне — да.

Фактически 2014-й стал годом, когда основной темой стала безопасность медицинских устройств. Это различные устройства для анестезии, вентиляторы, дефибрилляторы, лабораторные системы. Современная тенденция — подключение таких устройств к Интернету со всеми вытекающими. Проблема состоит еще и в том, что многие из этих устройств имеют весьма долгий срок использования, то есть со временем нас ждет «зоопарк» подобных устройств, безопасность которых нужно поддерживать. Это тем более сложно, потому что многие из них используются в режиме 24×7.

Не так давно издание «Хакер» сообщило о взломе инфузионной помпы, что в принципе позволяет ввести смертельную дозу лекарства пациенту. Хакер Билли Райос в ходе изучения безопасности медицинского оборудования производства американской компании Hospira выяснил что система управления инфузионными помпами этой фирмы, 400 тыс. которых установлено в больницах по всему миру, ненадежна. В мае 2014 г. Райос сообщил в госведомства США о ряде уязвимостей в системе управления инфузионной помпой PCA 3 Lifecare производства Hospira. Баги были не слишком значительные, например, позволяли постороннему лицу в дистанционном режиме увеличить максимально возможный лимит для введения лекарств. Спустя более 400 дней производитель так и не удосужился выпустить ни единого патча.

Уверен, что такие случаи, увы, не единичны.

Что можно сказать в заключение? Разработчики в погоне за получением прибыли не обращают внимания на безопасность и самое печальное — не стремятся оперативно выпускать патчи в случае обнаружения уязвимостей. Поэтому распространение IoT сегодня рождает много вопросов и опасений.

Автор статьи — Microsoft Most Valuable Professional, Microsoft Security Trusted Advisor.

Версия для печати