Статья опубликована в № 4024 от 29.02.2016 под заголовком: Дивный подключенный мир

Интернет вещей открывает киберпреступникам новое поле деятельности

Соединенные друг с другом предметы могут перейти под контроль хакера

Никто уже давно не ставит под вопрос необходимость IT-безопасности корпоративных и банковских систем, ведь суммы с банковских счетов со множеством нулей продолжают приманивать хакеров. Появление и распространение смартфонов и планшетов доказало, что и к безопасности личных устройств нужно относиться так же серьезно. Смартфон уже превратился в полноценный компьютер, и хакеры пришли за деньгами пользователей мобильных устройств, почему-то полагавших, что киберпреступников вряд ли заинтересует их смартфон. Появление нового сегмента подключенных устройств и век интернета вещей, который, как обещают технологические компании, уже не за горами и где все устройства будут подключены друг к другу, приносят человечеству новый вид угроз. Хакеры уже начали взламывать машины и самолеты – но пока, по их словам, исключительно из благих побуждений.

На абордаж!

Американский хакер Крис Робертс сумел взломать самолет, подключив ноутбук к его развлекательному центру, сообщало CNN в мае 2015 г. Во время допроса ФБР он заявил, что с 2011 г. провернул это до 20 раз и даже умудрился получить доступ к управлению двигателями самолета, скомандовав набрать высоту, сообщает CNN со ссылкой на документ ФБР. Позже Робертс возражал, что его слова вырваны из контекста и на самом деле самолетом он не управлял.

ФБР изучило одно из тех пассажирских мест, на которых путешествовал Робертс, и нашло следы проникновения – но Робертс снова возражал, что в том полете ничего не взламывал. А представитель Boeing уверял CNN, что развлекательная система самолета изолирована от систем навигации и управления полетом.

Робертсом, по его словам, двигало желание улучшить авиационную безопасность. Он рассказал, что ему известны уязвимости трех самолетов Boeing и одного Airbus, а небезопасные развлекательные системы выпускали компании Thales и Panasonic.

Два месяца спустя американское издание Wired рассказало, как американские исследователи кибербезопасности Чарли Миллер и Крис Валашек получили доступ к системе управления автомобилем Jeep Cherokee (концерн Fiat Chrysler). «Я не дотрагивался до панели управления, и вдруг кондиционер заработал на полную мощность, выбрасывая холодный воздух», – пишет автор Wired, согласившийся проверить на себе возможности хакеров. После этого они сумели удаленно переключить радиостанцию – да так, что автор Wired не смог переключиться обратно, включить дворники и облить ветровое стекло стеклоомывателем. Миллер и Валашек использовали найденную ими уязвимость нулевого дня, позволявшую им через развлекательную систему Jeep Cherokee управлять коробкой передач, рулем, тормозами. В финале эксперимента они сбросили скорость машины и отправили ее в кювет.

Злоумышленник может найти массу способов заработать на взломе IT-систем автомобиля, например отключить сигнализацию и угнать машину, замечает эксперт по информационной безопасности IT-интегратора «Крок» Евгений Дружинин.

Современный автомобиль – это мощный компьютер, подключенный к сети и активно обменивающийся данными, говорит антивирусный эксперт «Лаборатории Касперского» Сергей Ложкин, и он не может не интересовать киберпреступников, особенно учитывая скорое появление беспилотных автомобилей. По словам Ложкина, автомобилестроители уже осознали проблему и начали, например, внедрять стандарты и правила безопасности для IT-систем автомобилей.

Дырявый IoT

70% такова доля устройств интернета вещей, содержащих уязвимости, пишет в своем отчете консалтинговая компания EY со ссылкой на результаты исследования компании Hewlett-Packard. По прогнозам EY, к 2020 г. интернет вещей разрастется до 50 млрд устройств

Избежать взломов не получится, сокрушается Ложкин: уязвимости рано или поздно обнаруживаются везде, где есть операционная система и программное обеспечение. Ведь код пишут люди, а значит, ошибки неизбежны, уверен эксперт. Ложкин видит выход только в разработке способов защиты.

Система Chrysler была взломана через уязвимость в системе Uconnect, аналоги которой есть и в автомобилях Mercedes (это система Command Audio), и у компании Ford (Microsoft Sync), говорит руководитель инжинирингового центра Московского инженерно-физического института (МИФИ) Дмитрий Михайлов. Эти системы общаются с другими блоками автомобиля по специальной шине, а доступ к ним можно получить через подключенный телефон водителя или встроенные модули связи. Если найти уязвимости в этих системах, то через них можно научиться отправлять команды на общую шину автомобиля, рассказывает Михайлов. По его словам, инжиниринговый центр МИФИ еще два года назад начал разрабатывать устройство, защищающее IT-систему автомобиля от хакерских атак. Модуль устанавливается аналогично автосигнализации и сканирует электронику в поисках вирусов, несанкционированных команд и оборудования, рассказывает Михайлов. По его словам, устройство «Автовизор» уже готово и протестировано автодилером «Рольф». Представитель «Рольфа» подтвердил это.

Компания Илона Маска Tesla Motors выплачивает вознаграждение исследователям, нашедшим уязвимости в ее продуктах. Tesla готова платить за каждую от $10 до $10 000 и уже заплатила за нахождение 86 уязвимостей, следует из объявления компании на специализированном сайте bugcrowd.com. Компания уточняет, что ее интересуют уязвимости не только производимых ею машин, но и принадлежащих ей веб-сайтов и мобильных приложений. Правда, чтобы искать уязвимости в машинах, исследователь должен владеть ею или иметь разрешение на тестирование, оговаривается Tesla Motors.

Реальных атак на автомобили еще не происходило, поскольку автопроизводители болезненно реагируют на любые угрозы безопасности и быстро закрывают найденные исследователями уязвимости, рассказывает замдиректора компании InfoWatch (разрабатывает корпоративные средства защиты от утечек информации) Рустем Хайретдинов.

Целью злоумышленников могут быть не только автомобили, но и так называемые умные дома, считает Дружинин. Они мало чем отличаются от обычных офисных систем и для внешнего мониторинга и управления подключаются к сетям связи по стандартным протоколам. Помимо физического проникновения (отключив сигнализацию) из такого дома можно украсть конфиденциальную информацию – ноутбук с важными данными может быть подключен во внутреннюю сеть дома, рассуждает эксперт.

Осторожно: все включено

Среди новых типов устройств сейчас популярны умные часы, фитнес-браслеты и прочие носимые устройства, напоминает руководитель группы консультантов Check Point Software Technologies (производит оборудование сетевой безопасности) Антон Разумов. С точки зрения информационной безопасности у умных часов уязвимы зашифрованные каналы связи. Он знает, что существуют специальные атаки, позволяющие расшифровать информацию и получить доступ к личным данным пользователя часов. При этом платформа устройства – iOS или Android – не важна, отмечает Разумов.

Другое перспективное для хакеров направление – интернет вещей, позволяющий объединить в одну сеть почти любую технику, от чайника или утюга до автомобиля, включая жизненно необходимые устройства вроде кардиостимуляторов, продолжает эксперт. Если злоумышленник получит к ним доступ, он сможет создавать большие ботнеты и пользоваться ими для целенаправленных атаках или для сбора информации. Такие ботнеты используются и при создании больших DDoS-атак, напоминает Хайретдинов.

Однако хуже всего, по мнению Разумова, если хакер сможет управлять самим устройством. Например, уже известны случаи нелегального подключения к веб-камерам, встроенным в телевизоры, напоминает он. В результате злоумышленники могут в прямом смысле подглядывать за владельцами таких телевизоров.

Самым простым и одновременно эффективным средством защиты от атак на носимые устройства Разумов называет осторожность – по его словам, не стоит хранить на них чувствительную информацию, если нет уверенности, что эти устройства защищены. Он также напоминает, что нужно следить за надежностью паролей и аккуратнее подключаться к публичным сетям WiFi.

Сейчас уже есть основные защитные средства для промышленных систем – умных домов, энергетики, нефтехимии, отмечает Хайретдинов. О безопасности бытового интернета вещей должен заботиться производитель, а никак не пользователь, который вряд ли будет что-то делать ради своей защиты, рассуждает он. По мнению Хайретдинова, должен появиться специальный регулятор, который устанавливал бы требования к безопасности, а вендор привлекал бы специальных производителей защитных решений и даже страховые компании. Для бытовых приборов такого регулятора сейчас нет ни в России, ни за границей, говорит Хайретдинов.

Всемирный экономический форум (ВЭФ) в Давосе включил безопасность IoT в свою повестку. В одном из материалов к форуму, опубликованном в декабре 2015 г., задается вопрос о безопасности подключенных к интернету детских игрушек. Производители вкладывают много денег в технологии, позволяющие анализировать поведение ребенка и собирать статистику по использованию игрушек. Так, впервые появившаяся в 1959 г. кукла Барби к сегодняшнему дню обзавелась модулями распознавания голоса, подключением к интернету и облачным хранением данных.

Эти технологии не только наделяют игрушку новыми игровыми возможностями, но и позволяют бизнесу точнее подстраиваться под интересы потребителя – в данном случае ребенка, сказано в сообщении ВЭФа. В итоге один из исследователей кибербезопасности нашел уязвимость в продуктах производителя игрушек VTech. Эта уязвимость позволяла украсть имена, домашние адреса, фотографии и записи чатов 6,3 млн детей, говорится в сообщении ВЭФа.