Інтернет безпечних речей
«Інтернет речей» або IoT (Internet of the Things) став повноцінною частиною інформаційних технологій, і, завдяки стрімкому розвитку, зоною підвищеної уваги в частині кібербезпеки. Особливістю таких технологій є те, що їх експлуатують не тільки великі корпорації або високотехнологічні компанії. В першу чергу, їх експлуатує кожна сучасна людина. Це ліфти і ескалатори торгових центрів, електронні замки в готелях, системи єдиного квитка в комунальному транспорті і ще сотні інших пристроїв, які використовуються в кафе, ресторанах, банках, сервісних центрах і вже практично в кожному будинку.
Безпека таких пристроїв, на відміну від «класичних технологій», залишає бажати кращого. Причому стосується це як вже встановлених і експлуатованих пристроїв, так і процесів розробки і проектування нових пристроїв зі світу інтернету речей. Давайте розберемося у причинах та потенційних загрозах для обох випадків.
Лише кілька років тому мало хто сприймав свій «смарт» телевізор або годівницю в акваріумі з підключенням по Bluetooth як частину інтернету речей. Основною причиною цього було те, що самого інтернету речей як масового явища ще не існувало. Фізично пристрої, підключені до мережі, були, а ось саме поняття ще не сформувалося. Передумовами до формування його стали атаки масових ботнетів, зокрема атака ботнету Mirai в 2016 році. Саме тоді стало зрозуміло, що є багатотисячна мережа пристроїв, які не є серверами або комп’ютерами, але які належать до світу обчислювальних технологій – вони уразливі і можуть бути використані зловмисниками.
Що ж входить до кола інтересів подібних загроз з боку хакерів у сучасному будинку? Смартфони, охоронні системи, розумні телевізори та інша побутова техніка, радіо-няні, системи відеоспостереження, дитячі приставки (так-так!) і ще сотня-інша речей, які знаходяться в наших будинках та підключені до домашньої мережі, можуть потенційно бути скомпрометовані і зламані з різними намірами. Причиною цього може стати банальна відсутність останніх оновлень, які випускає виробник. Середньостатистичний користувач «розумних» речей вкрай рідко (а часто ніколи) оновлює прошивки і конфігурації своїх пристроїв. Причин є кілька: як відсутність належних знань, так і поширена думка «я ніяким хакерам не потрібен».
Корпоративні «інтернет-речі» теж недалеко пішли за рівнем своєї захищеності від домашніх. Більшість компаній не можуть або не відстежують уразливості в IoT пристроях, якими користуються. Також, багато компаній не включають цю інфраструктуру у процеси патч-менеджменту, що наразі не дозволяє системно підходити до питання оновлення і закриття вразливостей в них.
Сам по собі IoT пристрій, який використовується в домашніх або комерційних цілях, як правило, не цікавить зловмисника. Однак, з його допомогою можна створити досить ефективну спрямовану або масову атаку на людину, компанію або цілу державу. Приклад ботнетів – це масове використання всіх скомпрометованих пристроїв для проведення атак, в тому числі і на елементи критичної інфраструктури країн: електроенергетичний комплекс, водопостачання, банківську систему. Для того, щоб ваш домашній телевізор став елементом такої мережі достатньо просто його не оновлювати вчасно, а ще краще – не оновлювати домашній маршрутизатор, який ви використовуєте для підключення до Інтернету.
Цільові атаки на конкретну людину або компанію можуть застосовувати конкретні технології. Наприклад, отримання доступу до інтерфейсу адміністратора системи відеоспостереження в будинку. Або отримання доступу до електронних воріт гаража або шлагбаума. Така вразливість з кіберсвіту може призвести до втрат у реальному житті і реальних матеріальних благ.
Для запобігання подібних інцидентів є два шляхи. Перший з них – самостійно вирішувати питання безпеки інфраструктури, яку ви використовуєте вдома або в своїй компанії. Вже зараз є необхідні інструменти і програмне забезпечення, а процес установки оновлень на пристрої є інтуїтивно зрозумілим і не потребує залучення висококваліфікованих фахівців. Якщо ж ви відчуваєте, що створений вами «розумний» будинок або ваша компанія потребує допомоги фахівців, то краще замовити послугу оцінки захищеності IoT у компанії, що спеціалізується на даному питанні. Вам нададуть повний спектр послуг з оцінки вразливості інтернету речей, що ви використовуєте, оновлять і налаштують вразливі пристрої, допоможуть в побудові процесів управління безпекою таких пристроїв.
Але що ж робити якщо сам пристрій не зможе гарантувати безпеку? Що, якщо спочатку, ще на етапі проектування і розробки виробник і творці пристрою не потурбувалися про безпеку його експлуатації? На жаль, такі випадки не дивина. У світі сьогодні експлуатуються мільйони IoT пристроїв, які розроблені без урахування принципів безпеки при проектуванні (security by design). Якщо ви використовуєте такі пристрої в будинку або в компанії – краще від них відмовитися. А якщо ви є виробником пристроїв IoT, то вам потрібно обов’язково звернутися за зовнішньою оцінкою і допомогою до фахівців.
Найбільш відомими послугами, які пропонує ринок, є bug bash і bug bounty програми. Останню проводять вже давно самі компанії, запрошуючи учасників спробувати зламати певні системи або пристрої, показати уразливості і слабкі місця в системах безпеки і отримати за це винагороду. Bug Bash – більш «кулуарна» програма. Її організацію, як правило, бере на себе висококваліфікована команда, яка створює середовище для санкціонованого зламу, таку собі «пісочницю». У неї викладають продукт і запрошують низку компаній спробувати свої сили у зламі за винагороду. Обов’язковою умовою є реєстрація учасників, а також повний моніторинг їхніх дій у процесі зламу. Остання умова вкрай важлива, оскільки учасник може виявити критичну уразливість і не показати її, розраховуючи надалі використовувати її або просто продати дорожче. Повний моніторинг дозволить побачити всі кроки учасників, на відміну від програм bug bounty. Bug bash програма також може бути публічною (висвітлена в ЗМІ або Мережі). А деякі компанії навіть будують окремі комунікації зі своїми клієнтами за допомогою таких програм, показуючи серйозність своїх намірів щодо безпеки своїх продуктів.
Проведення bug bash програм для оцінки захищеності IoT продуктів і пристроїв є одним з найбільш ефективних способів для виробників. Це дозволяє залучити до виконання робіт висококваліфікованих фахівців, яких не потрібно тримати у штаті самому виробнику або компанії-організатору програми. У той же час, організатор несе відповідальність за весь процес оцінки, надійність учасників, а також забезпечення безпеки проведення оцінки. Такий формат дозволяє знизити ризики самого виробника, підвищуючи при цьому якість послуг, що надаються.
Варто зазначити, що не все так погано. Бізнес все більше і більше приділяє увагу безпеці IoT. Виробники таких рішень і пристроїв розуміють важливість безпеки в процесі розробки та експлуатації своїх продуктів користувачами. Користувачі починають серйозно ставитися до технологій, які застосовують в роботі і вдома. Все це, безумовно, поліпшує ситуацію. Однак, варто пам’ятати й про необхідність незалежної оцінки захищеності зовнішніми ресурсами. Так само як з мережевими або серверними технологіями, IoT вимагає проведення аудиту, оцінки захищеності, тестування на проникнення, управління конфігураціями і оновленнями – всього того, до чого ми давно звикли в світі «класичних» обчислювальних технологій.