Если говорить об Интернете вещей, то, по словам эксперта Криса Рулана (Chris Rouland), бояться стоит не Wi-Fi. Опасность представляет сама концепция беспроводных сетей, которые регулярно прирастают новыми и изначально плохо защищенными протоколами.

Обратный инжиниринг этих беспроводных протоколов провести очень легко; Рулан считает, что появление эквивалента червя Melissa для IoT-устройств в скором времени весьма вероятно.

Рулан, который является основателем, председателем совета директоров и президентом компании Bastille, специализирующейся на безопасности IoT, во время саммита Security Analyst Summit подробно объяснил, как легко можно взломать некоторые устройства.

Масштабы зарождающегося Интернета вещей известны всем. Например, согласно прогнозу Gartner, к 2020 году в мире будет насчитываться 50 млрд устройств, подключенных к Интернету. Это означает, что ежедневно будут подключаться примерно 15 новых устройств, многие из которых уязвимы.

По оценке Рулана, опасность уязвимостей растет прямо пропорционально увеличивающейся площади атаки: в мире IoT злоумышленники могут скомпрометировать устройства через дыры в аппаратной начинке, ПО, прошивке, беспроводной сети, облачной инфраструктуре и так далее. Таким образом, количество векторов атаки увеличивается в три-четыре раза по сравнению с тем, что мы имеем сегодня.

Времена действительно очень сильно изменились: Рулан вспомнил, как на заре своей карьеры в 1990-х он работал в Lehman Brothers, и тогда сниффер пакетов Network General стоил целых $25 тыс. Сегодня миниатюрный сниффер можно купить на Amazon за $6.

«Многие из потенциально уязвимых устройств используют алгоритмы шифрования, устойчивость которых даже не проверяли, — уточнил эксперт. — Проприетарное шифрование — это всегда плохо. Оно просто не работает».

По словам Рулана, большинство IoT-устройств, которые были скомпрометированы за последние годы, просто не были достаточно защищены. В этой связи докладчик напомнил об уязвимостях, найденных в относительно новых протоколах: например, в Zigbee, который используется в работе уличного освещения в Нью-Йорке, и Z-Wave, используемом на уровне обеспечения безопасности в системах «умных замков». В последние годы под угрозой не раз оказывались фитнес-браслеты Fitbit. Злоумышленники также пробуют на прочность критически важные цели — например, умные счетчики и системы освещения.

«Технические директора не понимают, да вообще никто не понимает, что может угрожать инфраструктуре, если нет подходящих инструментов для выявления этих угроз», — сетует Рулан.

Эксперт привел еще несколько примеров, когда безопасность IoT оставляла желать лучшего. Так, однажды он проводил аудит безопасности умного холодильника для Samsung. По непонятным причинам холодильник был привязан к Google-календарю пользователя и, что еще хуже, не валидировал SSL-сертификаты, что делало его уязвимым к MitM-атакам. Из-за этой бреши учетные данные были доступны всем, кто имел доступ к Wi-Fi-сети, и эта находка серьезно обеспокоила Рулана.

«Приватные данные могут утечь не только в сеть Wi-Fi, а практически куда угодно, — полагает глава Bastille. — Нажимая «Принимаю» в пользовательском соглашении, вы отдаете все подключаемому устройству, вы сами соглашаетесь стать продуктом».

Категории: Аналитика, Главное, Кибероборона, Уязвимости