Кеймбридж, штат Массачусетс. Взлом бортового компьютера автомобиля, продемонстрированный Крисом Валасеком (Chris Valasek) и Чарли Миллером (Charlie Miller), придал вес опасениям в отношении небезопасности «Интернета вещей». Досужие домыслы о важности данных, которые может слить умный холодильник, уже неактуальны: исследователи показали, что у хакеров есть реальная возможность удаленно управлять тормозами автотранспортного средства. Тем не менее угрозу взлома интерактивной игрушки вроде Furby тоже нельзя игнорировать.

В минувший четверг, представляя свой доклад на конференции Security of Things, Валасек заявил, что последствия подключения смарт-устройств к Интернету — область пока мало изученная и легкая брешь в их процессоре, коннекторе или CAN-шине может впоследствии обернуться серьезной угрозой для электростанции или бортовой системы Jeep Cherokee. В качестве иллюстрации докладчик привел свой излюбленный пример — взлом детского робота Furby, столь популярного у американцев в 90-х годах. Реверс-инжиниринг Furby, проведенный Майклом Копполой (Michael Coppola) из Azimuth Security, выявил уязвимости в механизме обмена этой игрушки с собратьями и мобильным приложением.

«Мы провели исследование возможности взлома автомобильной системы через сотовую связь, и положительный результат привел к отзыву большого числа уязвимых машин, — отметил при этом Валасек. — Однако сбрасывать со счетов незначительные результаты тоже нельзя. Не все баги в IoT серьезны, но следует также учитывать дальнейшие перспективы применения уязвимых технологий».

«Процессоры и каналы связи есть везде, и закупаются они оптом, — пояснил далее докладчик. — Средство коммуникаций Furby может оказаться также и в SCADA-системе. Нельзя игнорировать мелочи, потенциально чреватые тяжкими последствиями».

Валасек, который недавно вместе с Миллером перешел в Uber, чтобы заниматься разработкой передовых технологий, также подчеркнул возможность решения вопроса о безопасности устройств на стадии разработки, а также необходимость реализации процессов для обновления подключенных к Интернету устройств, сданных в эксплуатацию.

Однако, в отличие от случая с программным обеспечением, которое можно обновлять ежемесячно или динамически, латание зависимых от аппаратуры IoT-устройств может оказаться серьезным вызовом. «У этих компаний много проблем, неведомых тем, кто имеет дело с обычным софтом, — подтвердил Валасек. — Microsoft может изменить внутреннюю структуру программы, не заботясь о том, на каком устройстве она работает. Они же не могут просто перестроить код, им придется заменять аппаратную часть, что нереально для многих крупных компаний».

В случае с автотранспортом ответственность за безопасность, по мнению исследователя, должны нести многие вовлеченные стороны, в том числе производители комплектующих, OEM-компании и операторы мобильной связи. «Этим участникам процесса нужно работать в тесном контакте, чтобы сети, используемые для их продуктов, узнавали друг друга, — убежден Валасек. — Нам же следует сосредоточить усилия на обеспечении безопасности смарт-устройств на этапе разработки, ввести проверку качества проекта, реализации и средств восстановления работоспособности. Обновление OTA (с помощью радиосвязи) должно стать непременным требованием. Если где-то работает код, его обязательно нужно фиксить. А исследователи этой области не должны останавливаться на достигнутом».

Категории: Главное, Кибероборона, Уязвимости