Интернет вещей (IoT) — без сомнения удобно. Это очень удобно, но безопасно ли? Ой, не уверен!
Для меня переломным моментом в безопасности IoT было появление трояна для кофеварки, работающей через Интернет. У кого-то беспокойство мог вызвать холодильник, осуществляющий заказы в ближайшем интернет-супермаркете. Но троян, написанный для кофеварки, превзошел все мои ожидания!
Еще одним переломным моментом было появление чайника с Wi-Fi. Устройство, само существование которого перевернуло мои представления с ног на голову и над которым мы подшучивали с коллегами.
Конечно, интернет-устройства открывают массу новых возможностей, это радует. Но одновременно появляются и причины бояться прогресса. Я не думаю, что производители целых классов интернет-вещей сильно задумываются о безопасности. Ведь большинство поставщиков такой продукции на данном этапе озабочено лишь удобством для пользователей, дружелюбным интерфейсом, скоростью вывода продукта на рынок.
Действительность состоит в том, что компании торопятся как можно скорее заставить нас купить эти вещи. В результате защита вашего дома превращается в минное поле. И что дальше? Каждое устройство будет иметь все более сложное программное обеспечение и сетевые права доступа?
Увеличение количества векторов атаки уже подтверждается широким диапазоном тематических исследований. Скомпрометированная электронная подпись фотоаппаратов Nikon и Canon сулит потерей доверия тысячам экспертных заключений, сделанных эти фотоаппаратами. Также рискованно доверять радионяням, снабженным двусторонним аудио, а также двусторонним видеоканалам.
Существует весьма превозносимый термостат Nest от Google — экологически чистое умное решение для обогрева. В прошлом августе взлом этого устройства занял целых... 15 секунд.
Думаете, это все? Как бы не так! Умные светодиодные лампы были взломаны, позволив хакеру управлять системой освещения. Умные дверные звонки, системы видеозаписи также оказались уязвимыми, что без сомнения весьма интересно для потенциальных воров.
Но самое страшное, что Интернет вещей не ограничивается уязвимостями. Самое страшное, что функции, которые должны выполнять эти вещи, также могут быть использованы против нас.
Вспомним телевизоры Samsung, которые, как выяснилось, могут быть записывать, собирать и передавать все что слышат их микрофоны, отправляя эту информацию третьим лицам.
На самом деле вовсе неважно, что за вещь взламывается. Это может быть ваш холодильник, ваша дверь, ваш автомобиль, более того, медицинский робот в медицинском центре. Все эти устройства могут использоваться для продолжения взлома в мире роботов, упрощая дальнейшие взломы.
Еще интереснее соединить полученные обрывки информации для получения целостной картины. Например, насколько будет упрощено применение социальной инженерии, если знать ваши предпочтения в еде, напитках, какая температура дома вам нравится, когда вы приходите (уходите), какие телепередачи смотрите, как вы называете своего ребенка (супруга). Ваш вес? Давление? Ваши медицинские показания?
Устройства, использующие Интернет вещей, должны защищаться так же, как ваши компьютеры, телефоны или планшеты, если не строже. Они не должны хранить пароли в виде простого текста, им нельзя позволять собирать данные о вас в коммерческих целях. Потребители должны понимать потенциальные опасности.
Пора признать, что эти вопросы нужно решать, пользователей нужно учить, и чем быстрее, тем лучше. Время разговоров давно прошло!
Автор статьи — MVP Consumer Security, Microsoft Security Trusted Advisor.