Уважаемые пользователи Голос!
Сайт доступен в режиме «чтение» до сентября 2020 года. Операции с токенами Golos, Cyber можно проводить, используя альтернативные клиенты или через эксплорер Cyberway. Подробности здесь: https://golos.io/@goloscore/operacii-s-tokenami-golos-cyber-1594822432061
С уважением, команда “Голос”
GOLOS
RU
EN
UA
daria.spir
7 лет назад

Стоит ли бояться IoT-устройств?

Рост информационной безопасности зависит от спроса на «умные» устройства в повседневной жизни. Холодильники, мультиварки, принтеры, термостаты, детские игрушки, фитнес-трекеры — это далеко не весь список ежедневно используемых IoT-устройств.

Современные устройства действительно могут быть полезны человеку. Например, подъезжаешь к дому — с помощью приложения на смартфоне можно поставить на разогрев ужин в мультиварке или включить отопление в доме. Заходишь домой, а там горячая еда и тепло. Сказка, не правда ли?

В России, по оценкам «Директ ИНФО», общий размер рынка IoT за 2016 год увеличился на 42% по сравнению с предыдущим и составил 17,9 млн.устройств. К 2021 году общее число IoT устройств вырастет до 79,5 млн., а к 2026 году – 164,7 млн.
В мире, по прогнозам аналитиков Gartner, в 2017 году число «Интернета вещей» будет насчитываться порядка 8,4 млрд против 6,4 млрд в 2016-м. При этом население планеты в 2017 году ожидается на уровне 7,5 млрд человек. Эксперты полагают, что в 2018 году число IoT-устройств увеличиться до 11,2 млрд, а в 2020-м достигнет 20,4 млрд.

В этой статье вы найдете несколько новостей из мира интернет вещей, чтобы лучше понимать как хакеры проникают в частную жизнь и рекомендации по базовой защите от интернет-вымогателей.

Что делает моя кофеварка, когда я не варю кофе?

В начале июля диспетчер одной компании-производителей химикатов сообщил, что все компьютеры в операторской заразились вирусом-вымогателем WannaCry. Теоретически этого произойти не могло, потому что локальная сеть не связана с интернетом, а значит, вредоносный код просто не мог в неё попасть.

Диспетчер несколько раз переустанавливал на устройствах Windows XP, но те тут же заражались снова. Инженер, дистанционно устраняющий неисправность, уже был близок к отчаянию, но тут сотрудник операторской неожиданно пожаловался на неработающие кофемашины. Оказалось, что они тоже были заражены WannaCry и подключены к локальной сети. При этом устанавливавший их мастер зачем-то соединил их с местным Wi-Fi, откуда они и получили вирус. После этого мониторинг работы завода восстановили в считанные минуты.

Детские товары или только ли я вижу своего ребенка?

Кукла Hello Barbie, фирмы Mattel, позиционируется как первая кукла с искусственным интеллектом, которая может разговаривать с ребенком. Интерактивная игрушка является отличным шпионским девайсом, так как оснащается Wi-Fi и всё время поддерживает связь с серверами компании-производителя постоянно находясь в режиме always-on. Таким образом злоумышленнику не составит труда узнать имя Wi-Fi сети, к которой подключена кукла, ее MAC-адрес, ID аккаунта, к которому привязана игрушка, а также получил доступ к части MP3-файлов. При желании куклу можно превратить в переносной шпионский гаджет, который записывает всё, что слышит. Заодно она станет и точкой входа в чужую Wi-Fi сеть.

А вот еще один случай.

В мае в Нидерландах на конференции по кибербезопасности One Conference 2017 одиннадцатилетний американец Рубен Пол (Reuben Paul) произвел настоящий фурор своим выступлением. Мальчик заявил, что с помощью смартфона и Bluetooth практически любой предмет может стать средством слежения за его хозяином.

Мальчик вышел на сцену с «умным» плюшевым медведем, который способен подключаться к iCloud через WiFi или Bluetooth, и может воспроизводить сообщения и понимать голосовые команды. Просканировав смартфоны зрителей одноплатным компьютером Raspberry Pi, подключенным к ноутбуку, Пол сумел получить их номера. Затем он получил доступ к одному из смартфонов, с помощью которого можно было слушать конференцию, затем записал голосовое сообщение и отправил его своему медведю.

«Бытовая техника, вещи, которые мы используем в повседневной жизни, автомобили, холодильники — всё это можно использовать и вооружать, чтобы шпионить за нами и причинять вред», - подытожил свое выступление Рубен.

Современная защита дома или так ли нам не страшен «серый волк»?

«Умные замки» (Smart Locks) управляются со смартфона. Такие замки открываются:
голосовой командой

  • дистанционно через интернет
  • при приближении владельца с телефоном

Допустим, вы — пользователь Apple и по неосторожности оставили ваш iPad или iPhone, скажем, на полке рядом с запертой дверью. Для того, чтобы снаружи грабителю открыть дверь достаточно сказать «Привет, Siri. Открой дверь».

Если же у вас смартфон, то при информационной атаке на него может пострадать приложение, относящееся к замку, а это значит, что безопасность вашего дома будет под угрозой.

В начале агуста 500 смарт-замков фирмы LockState прошло неправильное обновление и клиенты ховстов не смогли управлять дверьми своих номеров. После обращения клиентам порекомендовали вернуться к предыдущей версии прошивки, а через 5-7 дней снова обновить приложение. Или можно было запросить замену внутреннего замка, но на это ушло бы 14-18 дней. Самый простой способ — снова вернуться к физическому ключу для разблокировки дверей.

Исследователь Энтони Роуз (Anthony Rose) испытал систему поиска Bluetooth-замков. 12 из 16 тестируемых замков имели очень низкую безопасность. А замки фирм Quicklock Doorlock, Quicklock Padloock, iBluLock Padlock и Plantraco PhantomLock оказались наиболее уязвимыми. Например, у замков QuickLock была возможность без труда сменить админ-пароль. Вернуть заводские настройки такого замка можно только при открытой двери, а это значит — физический взлом двери.

У некоторых замков была возможность перехватить пересылаемую информацию несмотря на криптозащиту. Злоумышленник, повторно отправляя ранее скопированный пакет информации, может легко открыть такой замок.

IP-камеры – лучший способ следить за людьми

Современными IP-камерами с Wi-Fi можно управлять через приложение на смартфоне. Данные с камеры проходят через зашифрованное https-соединение. Зачастую, камера и смартфон могут соединяться через облачные сервисы. Запросы, направляемые в облако, незашифрованные. В каждом запросе — идентификатор, с помощью которого и шифруется трафик. Хакер считывает идентификатор сессии и получает доступ к камере через облако.

В некоторых камерах производитель на одинаковые модели ставит настроенный по умолчанию и неизменяемый пароль root. Хакер узнает этот пароль скачивая ПО на сайте производителя. Пользователь не может от этого защититься – подобные ошибки устраняются производителем.

Не все злоумышленники ставят перед собой цель физически проникнуть в дом. Кто-то ставит перед собой получить доступ как можно к большим чужим устройствам. Это возможно при внедрении вредоносной программы —бота — в компьютер или в другое «умное» устройство. Зараженные устройства такой программой объединяются в сеть и называются ботнет. Состоять такая сеть может до нескольких сотен тысяч устройств.

Что могут получить хакеры в результате взлома:

  • Удаленное наблюдение за личной жизнью
  • Изменение положения камеры для проникновения
  • Отключение детектора движения
  • Проверка наличия хозяев дома
  • Использование уязвимостей для проникновения в сеть
  • Заражение камер и IoT-устройств для ботнета и DDoS-атак
  • Доступ к вашим банковским приложениям на смартфоне

Вот еще одна отрасль, где используются современные «умные» устройства.

Медицина

Кардиостимуляторы имеют вшитые пароли. Злоумышленники, зная эти пароли доступа, могут изменить работу устройства и вызвать смертельный шок у пациента. Подобные проблемы с защитой есть и у других устройств, включая мониторы сердечного ритма, аппараты для анестезии и т.п.
Инсулиновые помпы компании Johnson&Johnson также имеют возможность взлома: злоумышленник может отправить на помпу команду многократно вводить инсулин пациенту, что может серьезно отразиться на здоровье пациента.

И хоть производители уверяют, что безопасности медицинских устройств с Wi-Fi ничего не угрожает, конечным потребителям все же следует принимать базовые меры безопасности.

Защищаемся от информационных атак

Не стоит пугаться пользоваться «умными» устройствами. Они созданы, чтобы улучшить качество вашей жизни и освободить время для чего-то более важного. Чтобы не бояться действий со стороны злоумышленников научитесь регулярно выполнять элементарные действия для повышения своей безопасности.

Если вы только планируете покупку новой техники, то убедитесь, что приобретаемое устройство поддерживается производителем и для него выходят обновления безопасности. Так же здорово было бы поинтересоваться историей взлома у выбранного устройства, чтобы исключить нежелательные ситуации.

Если вы уже приобрели «умное» устройство, то не игнорируйте рекомендаций производителей — изучите сперва инструкции по эксплуатации перед началом работы с IoT. А после:

  • Регулярно обновляйте ПО и прошивки
  • Смените пароли от производителя на более сложные
  • Используйте специальные сканеры для наличия уязвимостей
  • Используйте VPN
  • Проверяйте логи
  • Поставьте антивирус на управляющие ПК и смартфоны и регулярно обновляйте его

На этом мой пост заканчивается. А у меня к вам вопрос: какими устройствами IoT вы пользуетесь каждый день?  Есть ли у вас свои подобные истории «общения» с такими устройствами? Если да, напишите в личку, буду рада почитать :)

1
0.457 GOLOS
0
Ответить
На Golos с August 2017
Комментарии (8)
Сортировать по:
Сначала старые
© 2016 - 2024 Golos.io