Несмотря на хмурое небо за окнами и то и дело идущий мелкий дождь, в департаменте информационной безопасности царило приподнятое настроение. Сегодня, в первую пятницу февраля, начинались «научные посиделки», которые решено было проводить дважды в месяц по пятницам. А значит снова можно будет делиться своими наработками и исследованиями. С легкой руки Иоганна такие посиделки уже давно превратились в конференции по обмену опытом, а авторов наиболее интересных докладов и показов ждала немалая премия из особого императорского фонда на развитие науки.

Вообще исследовательская деятельность, как и самообразование, в департаменте очень поощрялись. Считалось что каждый сотрудник не менее двух часов в день должен посвящать самообразованию. А если он за год ни разу не посещал курсы повышения квалификации, то это было серьезным поводом для проведения служебного расследования.

— Слово предоставляется Рите. О чем вы будете рассказывать?

— Мы снова покопались в мусоре. Ведь сегодня пользователи различных устройств в большинстве своем — представители культуры потребления. Если что-то ломается, то владелец вещи просто ее выбрасывает, не задумываясь ни о возможности ремонта, ни о том, чтобы почистить устройство, убрав свои личные данные.

Как вы знаете, на свалку отправляются жесткие диски, полные данных, телефоны с контактными книжками и данными владельцев, а также «умные» устройства с сохраненными паролями и логинами. Поскольку редкий пользователь использует больше 2-3 логинов и паролей, то такие гаджеты могут стать для взломщиков источником ценной информации.

Мы уже показывали здесь, какие ценные данные мы восстанавливали с найденных жестких дисков, флэшек, мобильных телефонов. Увы, люди все так же беспечны. Но сегодня мы поговорим о новом поколении подобных устройств. Об устройствах Интернета вещей (IoT) и, в частности, о нашем исследовании найденных на сайте продаж бывших в употреблении «умных» лампочек.

Мы приобрели «умную» лампочку L за 30 империалов и настроили при помощи соответствующего приложения. В частности, лампочку подключили к Wi-Fi. Затем отключили и разобрали.

— А что было вашей целью?

— Мы хотели понять, что можно извлечь из памяти такой лампочки и насколько безопасно их выбрасывать. И стоит ли выбрасывать вообще. Нашей целью была плата управления. Безусловно, пришлось изрядно потрудиться, чтобы ее достать и очистить от клея. Затем мы идентифицировали устройство. И нашли через Интернет ее описание и SDK. Как оказалось, доступы к беспроводной сети хранились в открытом виде.

Кроме того, гаджет вообще никак не защищен от стороннего вмешательства. Ни шифрования, ни безопасной загрузки, ничего. Более того, корневой сертификат и частный ключ RSA были также доступны. После этого изучение лампочки завершили.

Итог? Мы смогли не только узнать пароль использовавшегося Wi-Fi, но и управлять аналогичными лампами.

— А что это дает злоумышленникам, кроме пароля?

— Очень многое. Ведь, в общем-то, проблема не только в лампочках. Аналогичным образом данные хранятся в разного рода «умных» гаджетах иного рода, включая камеры, колонки, холодильники, чайники, скороварки и т. п. Благодаря слабой защищенности подобных устройств взломщики без проблем формируют ботнеты, размер которых может достигать многих тысяч или даже миллионов устройств. Для этого используются зловреды, которые, в отличие от защиты смарт-девайсов, становятся все более совершенными и опасными.

— Н-да... Интересное будущее нам описала Рита... Спасибо огромное! Ну что же, коллеги! Будущее конечно мрачное, но ведь приходя на эту работу никто из нас не думал, что у нас светлое и безоблачное будущее, верно? Так что работы у нас с вами только прибавится, увы...

Описанный сценарий уже применяется на практике. Ну и разработчики подобных систем, увы, озабоченны не вашей безопасность, а лишь своей прибылью. Помните об этом!


Версия для печати