Интернет вещей открывает киберпреступникам новое поле деятельности

Соединенные друг с другом предметы могут перейти под контроль хакера
Чем больше самодвижущихся машин будет появляться на улицах, тем выше будет опасность их взлома хакерами

Никто уже давно не ставит под вопрос необходимость IT-безопасности корпоративных и банковских систем, ведь суммы с банковских счетов со множеством нулей продолжают приманивать хакеров. Появление и распространение смартфонов и планшетов доказало, что и к безопасности личных устройств нужно относиться так же серьезно. Смартфон уже превратился в полноценный компьютер, и хакеры пришли за деньгами пользователей мобильных устройств, почему-то полагавших, что киберпреступников вряд ли заинтересует их смартфон. Появление нового сегмента подключенных устройств и век интернета вещей, который, как обещают технологические компании, уже не за горами и где все устройства будут подключены друг к другу, приносят человечеству новый вид угроз. Хакеры уже начали взламывать машины и самолеты – но пока, по их словам, исключительно из благих побуждений.

На абордаж!

Американский хакер Крис Робертс сумел взломать самолет, подключив ноутбук к его развлекательному центру, сообщало CNN в мае 2015 г. Во время допроса ФБР он заявил, что с 2011 г. провернул это до 20 раз и даже умудрился получить доступ к управлению двигателями самолета, скомандовав набрать высоту, сообщает CNN со ссылкой на документ ФБР. Позже Робертс возражал, что его слова вырваны из контекста и на самом деле самолетом он не управлял.

ФБР изучило одно из тех пассажирских мест, на которых путешествовал Робертс, и нашло следы проникновения – но Робертс снова возражал, что в том полете ничего не взламывал. А представитель Boeing уверял CNN, что развлекательная система самолета изолирована от систем навигации и управления полетом.

Робертсом, по его словам, двигало желание улучшить авиационную безопасность. Он рассказал, что ему известны уязвимости трех самолетов Boeing и одного Airbus, а небезопасные развлекательные системы выпускали компании Thales и Panasonic.

Два месяца спустя американское издание Wired рассказало, как американские исследователи кибербезопасности Чарли Миллер и Крис Валашек получили доступ к системе управления автомобилем Jeep Cherokee (концерн Fiat Chrysler). «Я не дотрагивался до панели управления, и вдруг кондиционер заработал на полную мощность, выбрасывая холодный воздух», – пишет автор Wired, согласившийся проверить на себе возможности хакеров. После этого они сумели удаленно переключить радиостанцию – да так, что автор Wired не смог переключиться обратно, включить дворники и облить ветровое стекло стеклоомывателем. Миллер и Валашек использовали найденную ими уязвимость нулевого дня, позволявшую им через развлекательную систему Jeep Cherokee управлять коробкой передач, рулем, тормозами. В финале эксперимента они сбросили скорость машины и отправили ее в кювет.

Злоумышленник может найти массу способов заработать на взломе IT-систем автомобиля, например отключить сигнализацию и угнать машину, замечает эксперт по информационной безопасности IT-интегратора «Крок» Евгений Дружинин.

Современный автомобиль – это мощный компьютер, подключенный к сети и активно обменивающийся данными, говорит антивирусный эксперт «Лаборатории Касперского» Сергей Ложкин, и он не может не интересовать киберпреступников, особенно учитывая скорое появление беспилотных автомобилей. По словам Ложкина, автомобилестроители уже осознали проблему и начали, например, внедрять стандарты и правила безопасности для IT-систем автомобилей.

Дырявый IoT

70% такова доля устройств интернета вещей, содержащих уязвимости, пишет в своем отчете консалтинговая компания EY со ссылкой на результаты исследования компании Hewlett-Packard. По прогнозам EY, к 2020 г. интернет вещей разрастется до 50 млрд устройств

Избежать взломов не получится, сокрушается Ложкин: уязвимости рано или поздно обнаруживаются везде, где есть операционная система и программное обеспечение. Ведь код пишут люди, а значит, ошибки неизбежны, уверен эксперт. Ложкин видит выход только в разработке способов защиты.

Система Chrysler была взломана через уязвимость в системе Uconnect, аналоги которой есть и в автомобилях Mercedes (это система Command Audio), и у компании Ford (Microsoft Sync), говорит руководитель инжинирингового центра Московского инженерно-физического института (МИФИ) Дмитрий Михайлов. Эти системы общаются с другими блоками автомобиля по специальной шине, а доступ к ним можно получить через подключенный телефон водителя или встроенные модули связи. Если найти уязвимости в этих системах, то через них можно научиться отправлять команды на общую шину автомобиля, рассказывает Михайлов. По его словам, инжиниринговый центр МИФИ еще два года назад начал разрабатывать устройство, защищающее IT-систему автомобиля от хакерских атак. Модуль устанавливается аналогично автосигнализации и сканирует электронику в поисках вирусов, несанкционированных команд и оборудования, рассказывает Михайлов. По его словам, устройство «Автовизор» уже готово и протестировано автодилером «Рольф». Представитель «Рольфа» подтвердил это.

Компания Илона Маска Tesla Motors выплачивает вознаграждение исследователям, нашедшим уязвимости в ее продуктах. Tesla готова платить за каждую от $10 до $10 000 и уже заплатила за нахождение 86 уязвимостей, следует из объявления компании на специализированном сайте bugcrowd.com. Компания уточняет, что ее интересуют уязвимости не только производимых ею машин, но и принадлежащих ей веб-сайтов и мобильных приложений. Правда, чтобы искать уязвимости в машинах, исследователь должен владеть ею или иметь разрешение на тестирование, оговаривается Tesla Motors.

Реальных атак на автомобили еще не происходило, поскольку автопроизводители болезненно реагируют на любые угрозы безопасности и быстро закрывают найденные исследователями уязвимости, рассказывает замдиректора компании InfoWatch (разрабатывает корпоративные средства защиты от утечек информации) Рустем Хайретдинов.

Целью злоумышленников могут быть не только автомобили, но и так называемые умные дома, считает Дружинин. Они мало чем отличаются от обычных офисных систем и для внешнего мониторинга и управления подключаются к сетям связи по стандартным протоколам. Помимо физического проникновения (отключив сигнализацию) из такого дома можно украсть конфиденциальную информацию – ноутбук с важными данными может быть подключен во внутреннюю сеть дома, рассуждает эксперт.

Осторожно: все включено

Среди новых типов устройств сейчас популярны умные часы, фитнес-браслеты и прочие носимые устройства, напоминает руководитель группы консультантов Check Point Software Technologies (производит оборудование сетевой безопасности) Антон Разумов. С точки зрения информационной безопасности у умных часов уязвимы зашифрованные каналы связи. Он знает, что существуют специальные атаки, позволяющие расшифровать информацию и получить доступ к личным данным пользователя часов. При этом платформа устройства – iOS или Android – не важна, отмечает Разумов.

Другое перспективное для хакеров направление – интернет вещей, позволяющий объединить в одну сеть почти любую технику, от чайника или утюга до автомобиля, включая жизненно необходимые устройства вроде кардиостимуляторов, продолжает эксперт. Если злоумышленник получит к ним доступ, он сможет создавать большие ботнеты и пользоваться ими для целенаправленных атаках или для сбора информации. Такие ботнеты используются и при создании больших DDoS-атак, напоминает Хайретдинов.

Однако хуже всего, по мнению Разумова, если хакер сможет управлять самим устройством. Например, уже известны случаи нелегального подключения к веб-камерам, встроенным в телевизоры, напоминает он. В результате злоумышленники могут в прямом смысле подглядывать за владельцами таких телевизоров.

Самым простым и одновременно эффективным средством защиты от атак на носимые устройства Разумов называет осторожность – по его словам, не стоит хранить на них чувствительную информацию, если нет уверенности, что эти устройства защищены. Он также напоминает, что нужно следить за надежностью паролей и аккуратнее подключаться к публичным сетям WiFi.

Сейчас уже есть основные защитные средства для промышленных систем – умных домов, энергетики, нефтехимии, отмечает Хайретдинов. О безопасности бытового интернета вещей должен заботиться производитель, а никак не пользователь, который вряд ли будет что-то делать ради своей защиты, рассуждает он. По мнению Хайретдинова, должен появиться специальный регулятор, который устанавливал бы требования к безопасности, а вендор привлекал бы специальных производителей защитных решений и даже страховые компании. Для бытовых приборов такого регулятора сейчас нет ни в России, ни за границей, говорит Хайретдинов.

Всемирный экономический форум (ВЭФ) в Давосе включил безопасность IoT в свою повестку. В одном из материалов к форуму, опубликованном в декабре 2015 г., задается вопрос о безопасности подключенных к интернету детских игрушек. Производители вкладывают много денег в технологии, позволяющие анализировать поведение ребенка и собирать статистику по использованию игрушек. Так, впервые появившаяся в 1959 г. кукла Барби к сегодняшнему дню обзавелась модулями распознавания голоса, подключением к интернету и облачным хранением данных.

Эти технологии не только наделяют игрушку новыми игровыми возможностями, но и позволяют бизнесу точнее подстраиваться под интересы потребителя – в данном случае ребенка, сказано в сообщении ВЭФа. В итоге один из исследователей кибербезопасности нашел уязвимость в продуктах производителя игрушек VTech. Эта уязвимость позволяла украсть имена, домашние адреса, фотографии и записи чатов 6,3 млн детей, говорится в сообщении ВЭФа.