Каждое подключенное к Интернету устройство является потенциальным оружием для кибератаки.

Отчет, исследующий потенциальные бреши в кибербезопасности новой технологии подключений, отмечает, что «она понемногу становится более популярной, но средства безопасности, встроенные в ее спецификацию, вызывают беспокойство».

Более того, документ детализирует, почему эта технология содержит риски безопасности, отмечая «утрату конфиденциальности», которая может проистекать, в частности, от использования «конфигурации по умолчанию» и атак типа «человек посередине» и DoS (отказ в обслуживании).

Возможно, эти слова очень напоминают недавние предупреждения о проблемах кибербезопасности, которые встают перед Интернетом вещей, но в реальности это текст из статьи «Bluetooth и присущие ему проблемы безопасности», опубликованной 14 лет назад.

С развитием Bluetooth улучшилась и его безопасность, однако недавно проявившиеся проблемы безопасности Интернета вещей говорят о том, что нам опять приходится иметь дело с тем же самым. Что касается технической безопасности, похоже, мы обречены быть свидетелями многократного повторения истории.

«По сути дела, мы ничего из уроков Bluetooth не усвоили», — говорит Джастин Долли, директор по ИБ фирмы Malwarebytes, занимающейся кибербезопасностью.

К сожалению, эта ситуация переносится и на устройства Интернета вещей. Хотя создатели IoT-продуктов могут бесцеремонно заверять, что их чудесные новые устройства защищены от хакеров и кибератак, специалисты по кибербезопасности смотрят на это с недоверием.

«Меня просто поражает то, что делают IoT-вендоры, т. к. история их ничему не научила, — говорит Стив Манзик, директор по исследованиям безопасности Duo Labs компании Duo Security. — Они полностью проигнорировали всю прошлую информацию об опасностях уязвимостей».

Не ходя далеко за примерами, взгляните на происходившую неделю назад массивную кибератаку против Dyn, DNS-провайдера для сотен крупных веб-сайтов, которая сделала недоступными для многих пользователей такие сервисы, как Twitter, Reddit, Spotify и PlayStation Network. Эта крупномасштабная DDoS-атака была замышлена с целью вызвать перегрузку систем и помешать людям использовать привычные сервисы, и есть основания думать, что за ней стоял ботнет Mirai Интернета вещей.

Любые устройства Интернета вещей, будь то веб-серверы, роутеры, модемы, NAS-устройства, системы видеонаблюдения или промышленные системы управления, могут быть собраны в ботнеты для осуществления DDoS-атак.

Добавьте к этому сервисы вроде Shodan, позволяющие любому желающему вести поиск IoT-устройств по всему миру. На многих из этих устройств продолжают использоваться дефолтные логины и пароли, если только у них вообще предусмотрена парольная защита. Соберите вместе эти факторы, и станет очевидным наличие гигантской проблемы в том, что злоумышленники легко могут объединять огромные массы устройств в ботнеты, которые можно направить на выбранную цель.

Однако многие производители подключаемых устройств, похоже, настолько пренебрегают безопасностью, что всплывают на свет старые уязвимости. «Мы находимся в том круге проблем безопасности, с которым мы имели дело в Windows 98 и Windows XP, вроде чисто текстовой аутентификации», — говорит Джеймс Лайн, глобальный руководитель исследований по безопасности Sophos.

При столь плохой безопасности IoT-устройств поиск уязвимостей напоминает «ловлю рыбы в бочке, — говорит Манзик из Duo Security. — Их легко находить и легко использовать. С этими устройствами мы, похоже, опять повторяем конец 1990-х — начало 2000-х».

Дело не в том, что создатели устройств плохо реализуют их безопасность, а в том, что они вообще ее не рассматривают как часть проекта конструируемых IoT-продуктов. «Большинство этих компаний и не пытаются ею заниматься. Речь вовсе не идет о хитрых эксплойтах, возникающих как побочный продукт написания кода. Речь о том, что производители вообще не встраивают безопасность в свой процесс», — говорит Лайн.

Почему игнорируются уроки прошлого? Ответ простой. Компании всего лишь хотят, чтобы их устройства как можно быстрее поступали на рынок, а их производство обходилось как можно дешевле. Встраивание безопасности требует времени, сил и, зачастую самое главное, денег, так что безопасность игнорируют, чтобы продукт был недорогим и появился в продаже до того, как рынок насытится аналогичными продуктами.

«IoT-продукты будут иметь уязвимости, потому что вендоры хотят, чтобы эти продукты продавались, а люди их использовали, и зачастую это идет вразрез с безопасностью», — говорит Долли.

Вторая проблема состоит в том, что Интернет вещей является относительно новой областью. Он вышел в мэйнстрим только в последнюю пару лет, и этот сектор заполняется организациями, выпускающими что угодно, от подключенных кухонных принадлежностей и интерактивных кормушек для домашних животных до домашних помощников. В погоне за этим молодые компании могут проявлять невнимательность, неопытность или халатность и тем самым пренебрегать безопасностью.

«Множество этих IoT-компаний являются стартапами, и эти проблемы наверняка до них доходят слишком поздно. Они узнают, что им необходимо этим заняться, когда получают отчет от исследователя безопасности или кто-то сообщает об их уязвимостях в Twitter», — говорит Манзик.

Однако, чтобы усилить кибербезопасность IoT-устройств, нужна только небольшая работа. «Не нужно много трудиться, чтобы предотвратить атаки с инъекцией команд. Не нужно много трудиться, чтобы зашифровать ваши секреты, и существуют отличные стандартизованные библиотеки, позволяющие хорошо это сделать», — говорит Лайн, сетующий на то, что он предпочел бы иметь дело с «оригинальными и замысловатыми эксплойтами нулевого дня», но вместо этого «занимается вопросом использования пароля admin».

Если бы ко всем устройствам Интернета вещей применялись строгие законодательные требования безопасности, выпускающие их компании быстро бы изменили свой подход к проектированию этих продуктов.

«Когда столь много дыр в безопасности находится в плоскости „вопрос не рассматривался“, а не в категории „сложный интересный дефект“, в будущем появится гораздо больше примеров вендоров, поражающих своей беспечностью», — говорит Лайн.

«Надвигается что-то нехорошее, и это должно заставить правительство принять нужные законы», — говорит Манзик.

Версия для печати