Прежде чем вы соберетесь приобрести что-то из категории Интернета вещей (IoT) — термостат, камеру, устройство, которое может удаленно получать доступ в Интернет или управляться через Интернет, подумайте, можете ли вы в действительности обеспечить ее безопасность. Не создаст ли ваше приобретение новых дыр в вашей сети, не появятся ли новые критические места в безопасности, порожденные поставщиком оборудования.
В апреле 2014 г. исследователи Cisco предупредили поставщика подключаемых к Интернету термостатов компанию HVAC Trane о трех критических уязвимостях в их изделии ComfortLink II. Тогда HVAC Trane не отреагировала на запросы Cisco.
Было обнаружено, что уязвимость позволяет атакующим получить удаленный доступ к устройствам и через них — к остальной сети пользователя. Но самая большая проблема состояла в том, что термостаты ComfortLink посталялись с учетными данными, среди которых неизменяемые пароли, записанные в оборудовании. По умолчанию эти учетные записи могут использоваться, чтобы удаленно войти в систему по протоколу SSH.
Две другие ошибки позволяли атакующим установить свое вредоносное ПО на устройствах Trane.
Прошло почти два года, прежде чем Trane 26 января исправила наиболее серьезный из дефектов (прописанные учетные данные). По данным Cisco, еще две ошибки были исправлены в мае 2015 г. Однако клиенты не получили данных о необходимости исправления прошивок.
Увы, но скрытые учетные записи и небезопасные значения параметров по умолчанию — весьма обычное явление для устройств IoT. К тому же стоит учесть, что исправление уязвимостей таких устройств может быть весьма сложным, а то и просто невозможным для среднего пользователя.
Автор статьи — Microsoft Security Trusted Advisor.