Незащищенный Интернет вещей, неограниченное количество уязвимостей

Мы все слышали фразу «мы живем в гиперсвязанном мире». У нас есть доступ к обширным хранилищам информации и приложений через устройство в нашем кармане. Все больше и больше наших личных и даже биометрических данных активно обрабатывается в облаке, чтобы дать представление о том, как работает наш организм.

Однако Интернет вещей (IoT) не обходится без проблем. Подключая больше устройств к сети (предоставляя им IP-адреса и делая их адресуемыми), мы активно увеличиваем площадь взломанного мира.

Взрывной рост Интернета вещей сопровождался взрывным ростом злоупотреблений устройствами. Подключенные устройства, которые радуют нас знаниями о наших привычках и моделях поведения, способны нарушить нашу конфиденциальность, осадить нашу личность и в самых крайних случаях причинить реальный физический вред посредством кибервойны.

Канал обратной связи IoT

Gartner прогнозирует, что в 2017 году будет продано 322 миллиона носимых устройств. Огромный скачок на 48% по сравнению с 2015 годом отчасти объясняется популяризацией носимых технологий как образа жизни. По мере того, как технологии интегрируются в нашу повседневную жизнь посредством рутины или привычки, мы превращаемся в машины, генерирующие микробиоданные.

Устройства и возможности их подключения варьируются от очень маленьких до устройств с экранами и интерактивными функциями. О чем мы, вероятно, не думаем, так это о множестве устройств, необходимых для канала обратной связи.

Что хорошего в измерении, если вы не можете его увидеть или узнать, что оно означает? Эти устройства генерируют тонны транзакционной электронной почты через наши телефоны и другие «выходные» мониторы, чтобы мы осознали ценность измерения нашей повседневной активности.

Электронная почта и сообщения, генерируемые Интернетом вещей, открывают уникальные возможности для фишеров и мошенников.

Каждый почтовый поток, созданный новым носимым устройством, должен быть защищен, потому что фишинг определенно растет.

По данным APWG (Рабочая группа по борьбе с фишингом), количество фишинговых атак выросло на 65% в период с 2015 по 2016 год.

Бесконечные соединения

События в моем доме генерируют электронные письма и push-уведомления, предупреждающие меня о движении или о том, что выгульщик приводит мою собаку домой после возни в парке. Ночью миллионы людей носят Fitbit, чтобы спать, чтобы отслеживать, записывать и анализировать свой режим сна.

Детские игрушки наполняются цифровыми возможностями, аниматроникой, и к ним можно получить удаленный доступ для большей интерактивности через Bluetooth и другие стандарты связи.

Моя плита sous vide имеет подключение к Wi-Fi и Bluetooth, поэтому она может сообщить моему телефону, если температура водяной бани изменится или когда она будет готова для погружения пищи. GPS моего iPhone в сочетании с нагрудным ремнем превращается в трекер тренировок всего тела, который записывает мой маршрут на Strava и то, сколько я страдал, поднимаясь по холмистой местности в районе залива.

Предельная безопасность

Каждое устройство, добавленное в развивающийся IoT, по существу способно собирать и передавать личную информацию (PII). Производители этих устройств быстро продвигаются вперед, пытаясь представить все более интеллектуальные и все более чувствительные устройства, которые охватывают весь спектр от биометрии до домашней автоматизации и автомобильной связи. Однако все эти устройства привносят новые риски и проблемы безопасности в и без того небезопасную среду.

Возможно, самым известным компромиссом IoT-подобного устройства было вовсе не IoT-устройство, а сеть с воздушным зазором. Вирус Stuxnet вывел из строя иранский ядерный завод по обогащению — компьютерный вирус на самом деле нанес огромный ущерб физическому миру. Stuxnet был примером кибервойны, которую мы могли себе представить только в кино. В меньшем масштабе, но гораздо более осязаемом, была утечка миллионов голосовых записей детей и их родителей через подключенного плюшевого мишку.

Каждое устройство IoT по сути является конечной точкой, к которой можно получить доступ через API или другие средства для отправки и получения информации.

Что чрезвычайно привлекательно для фишеров и хакеров, так это природа устройств IoT: они всегда включены и используют самое быстрое доступное соединение.

Каждое отдельное устройство требует, чтобы конечная точка была защищена, чтобы гарантировать, что она не может быть скомпрометирована и поглощена ботнетом, способным организовать DDoS-атаку или другие формы вредоносного контента. Поскольку большинство устройств производятся за границей, контроль за тем, как эти устройства создаются, или за тем, какие услуги на них выполняются, практически отсутствует.

Повышение осведомленности

Организации, заботящиеся о безопасности, такие как Arbor Networks, добывают данные приманки для измерения активности эксплуатации IoT. Точно так же Рабочая группа по обмену сообщениями, вредоносным программам и мобильным устройствам (M3AAWG) начинает очень серьезно относиться к угрозам, присущим экспоненциально связанному обществу.

В апреле 2017 года M3AAWG объявила о создании новой специальной группы по IoT для координации усилий участников по устранению проблем, связанных со злоупотреблениями со скомпрометированных устройств IoT. Новая группа по интересам разработает рекомендации и процессы репутации для производителей устройств, а также повысит осведомленность об опасностях незащищенного IoT.

Безопасность превыше всего

Подобно подводным лодкам и их характеристике «бесшумно, глубоко», IoT, как развивающийся технологический подсектор, должен поставить безопасность во главу угла на пути к более инновационному производству устройств. Нет никаких сомнений в том, что Интернет вещей обогащает нашу жизнь. Мы все можем согласиться с тем, что от мобильных телефонов до часов и фитнес-трекеров мы все немного умнее благодаря этому, однако протоколы и политики безопасности должны идти в ногу со временем.

В результате обмен сообщениями должен быть защищен как часть общей защиты данных, которые эти устройства ежедневно отправляют и получают. Интернет вещей увеличил объем данных, которые мы можем с комфортом открывать внешнему миру, и наш уровень комфорта с экстернализацией подробностей о наших повседневных делах. Но в то же время мы должны убедиться, что злоумышленники не проникнут внутрь и не используют эти данные против нас.

Если вы хотите узнать больше о других видах мошенничества, связанных с электронной почтой, и о том, как защитить себя, ознакомьтесь со статьей Фишинг, доксинг, ботнеты и другие виды мошенничества с электронной почтой: что вам нужно знать.