Интернет вещей и безопасность

Руслан Рахметов, Security Vision

В прошлой статье мы рассказали вам про применение умных устройств в различных сферах, а в текущей статье рассмотрим важные вопросы безопасности и расскажем про способы защиты, чтобы комфорт жизни сопровождался безопасностью и сохранностью данных. Дело в том, что Устройства IoT, как и любые другие компьютерные системы, уязвимы для различных кибератак:

   -  заражение вредоносными программами для кражи данных, управления или выведения устройств из строя;

   -  перегрузка трафиком (DDoS), чтобы сделать IoT недоступным для легитимных пользователей;

   -  взлом умных устройств для получения доступа к личным данным или управления устройствами, например, прослушка устройствами с микрофоном;

   -  атаки типа «человек посередине» (MitM) могут перехватывать данные, передаваемые между устройствами IoT и серверами, для подмены их содержимого или просмотра истории вашего общения с устройствами.

За последние годы мы наблюдаем рост числа инцидентов с участием умных устройств:

В 2014 году Агентство национальной безопасности США (АНБ) шпионило за людьми по всему миру, используя их умные телевизоры.

В 2015 году хакеры взломали базу данных фитнес-трекеров Fitbit и украли данные миллионов пользователей. Подобная атака также позволяла обнаружить на картах периметры военных баз при помощи маршрутов тех патрулирующих, кто использовал умные часы.

В 2016 году хакеры взломали миллионы умных камер по всему миру и транслировали видео в прямом эфире на сайте "Creepy Streaming", а ботнет Mirai, состоящий из заражённых IoT-устройств, атаковал сервис хостинга DNS Dyn, что привело к массовому сбою в работе таких сайтов, как Amazon, Twitter и Netflix.

В 2017 году китайская компания Xiaomi была уличена в сборе данных о пользователях своих смартфонов, включая их местоположение и историю браузера. Хакеры взломали систему умных замков VTech и украли данные миллионов детей. Умную камеру в доме семейной пары в Калифорнии использовали, чтобы поговорить с их годовалым сыном. Также взломали систему умных термостатов Nest и дистанционно подняли температуру в некоторых домах до опасного уровня. Ботнет Mēris атаковал несколько веб-сайтов и сервисов, используя ботнет из заражённых умных устройств.

В 2018 году хакеры взломали систему умных лампочек Philips Hue и заставили их мигать и мерцать, что вызвало эпилептические припадки у некоторых людей. Ботнет из заражённых IoT-устройств был использован для атаки на сервис криптовалюты CoinHive (атака привела к тому, что миллионы компьютеров по всему миру были заражены вредоносным ПО, которое майнило криптовалюту для хакеров). Фишинговая атака была применена, чтобы украсть учётные данные пользователей умных замков August. Хакеры затем использовали эти учётные данные, чтобы дистанционно разблокировать замки и украсть имущество из домов.

В 2019 году компания Google собирала данные о местонахождении пользователей без их согласия со своих умных часов. Компания Ring была взломана, и в результате были украдены данные (имена, адреса и видеозаписи с камер) миллионов пользователей. Ботнет из заражённых устройств был использован для атаки на веб-сайт авиакомпании Delta Air Lines (атака привела к тому, что сайт авиакомпании был недоступен в течение нескольких часов).

Взлом новых компаний по всему миру за последние пять лет расширился и учащёнными атаками на российские сервисы, а практика показывает, что самые «свежие» утечки нам ещё предстоит увидеть раскрытыми в будущем.

По мере развития интернета вещей можно ожидать появления новых угроз и уязвимостей, похожих на перечисленные выше, но не все утечки и взломы являются преднамеренными - некоторые из них происходят из-за ошибок в программном обеспечении или халатности пользователей. При тщательном планировании и реализации рассматриваемая нами технология может сделать наши дома и квартиры более комфортными, безопасными, энергоэффективными и интересными, а мы подскажем, как можно повысить вашу безопасность дома и в офисе.

Используйте уникальные и сложные пароли для всех ваших устройств. Надёжный пароль включает цифры, буквы и специальные символы, комбинация которых усложняет процесс подбора. Не используйте один и тот же пароль для нескольких аккаунтов, ведь, взломав один ваш аккаунт, злоумышленники могут использовать известный пароль для доступа к остальным данным. Регулярно меняйте пароли, поставьте себе напоминание в календарь хотя бы раз в год, старайтесь не использовать имена и даты рождения, как это делают для Wi-Fi сетей в различных заведениях.

    1)  Чем длиннее пароль, тем он сложнее для взлома. Используйте комбинацию прописных и строчных букв, цифр и специальных символов, например, «.», «/», «-», «_», «;» и др. и пароли не менее 12 символов.

    2)  Не используйте слова из словаря (словарные атаки – это распространённый метод взлома паролей), избегайте использования легко угадываемых слов, даже если вы заменяете некоторые буквы цифрами или символами, а также не используйте в пароле свой номер телефона, дату рождения, имя или другие легкодоступные данные.

    3)  Регулярно меняйте пароли. Эксперты рекомендуют обновлять их каждые 3-6 месяцев, но точно не реже раза в год.

    4)  Не сообщайте свой пароль даже близким людям и будьте осторожны на фишинговых сайтах, которые пытаются обманом заставить вас ввести свои учётные данные. Будьте внимательны к ссылкам, которые вы открываете, и не вводите свои пароли на незнакомых сайтах.

    5)  Используйте двухфакторную аутентификацию, которая добавляет дополнительный уровень безопасности к вашим аккаунтам, требуя ввести код из SMS или приложения помимо вашего пароля.

    6)  Используйте менеджер паролей, который поможет вам не только хранить и использовать надёжные пароли для всех ваших аккаунтов, но и позволит создавать их автоматически.

Используйте шифрование для защиты данных, передаваемых между вашими устройствами IoT и серверами – оно затрудняет хакерам перехват и чтение ваших данных. Брандмауэры для ограничения связи с вашими устройствами из Интернета – они могут блокировать несанкционированный доступ. Антивирусы, чтобы заметить заражение домашней/офисной сети умных устройств. Примените двухфакторную аутентификацию для умных замков, чтобы доступ к закрытому помещению мог получить только доверенный человек – подобные сервисы требуют ввести код из SMS или приложения помимо пароля.

Советы этого блока актуальны не только для создания безопасной сети, но применимы и к сложным устройствам вроде умных домофонов, которые позволяют вам видеть и общаться с посетителями, не выходя из дома, а также отвечать на звонки в домофон со своего смартфона. Устройства записывают видео посетителей, что может быть полезно в случае происшествия, и интегрируются с другими системами умного дома (например, с освещением и замками).

    1)  Можете сосредоточиться на маршрутизаторе: выберите устройство с поддержкой новейших протоколов безопасности (например, WPA3), измените стандартные имя сети Wi-Fi и пароль на уникальные и надёжные (см. пункт выше).

    2)  Отключите гостевую сеть Wi-Fi, если она вам не нужна (такие сети часто менее безопасны, чем основные). Это снизит риск доступа к вашей сети при близком расположении злоумышленников – закрытие дополнительной сети похоже на баррикадированние лишних дверей в помещение или установку решётки на окнах первого этажа.

    3)  Большинство маршрутизаторов имеет встроенный брандмауэр (firewall). Включите его и настройте для блокировки несанкционированного доступа к вашей сети – брандмауэр будет работать как ответственный консьерж, пропуская только тех, кого вы ждёте.

    4)  Найдите в настройках фильтрацию MAC-адресов и откройте доступ к вашей сети только устройствам с разрешёнными MAC-адресами. Это похоже на вход в ночной клуб по спискам, составленным заранее – непрошенные гости просто не будут допущены охранниками;

    5)  Если вы не используете удалённое управление своим маршрутизатором, отключите эту функцию – она позволяет получить доступ к настройкам лишним пользователям, ее аналог (удалённое управление ПК) также часто может использоваться хакерами.

    6)  Регулярно проверяйте наличие обновлений прошивки для вашего маршрутизатора и устанавливайте их – такие обновления содержат исправления уязвимостей безопасности. А для удобства можете поставить себе очередное напоминание «обновить маршрутизатор» через год.

Убедитесь, что на ваших умных устройствах установлены последние обновления программного обеспечения, которые обычно содержат исправления уязвимостей безопасности. Выбирайте IoT от надёжных производителей, которые имеют репутацию в области безопасности и учатся на инцидентах, заботясь о безопасности покупателей.

Подключайте к своей сети только те устройства, которые вам действительно нужны: чем меньше того, что может пойти не по плану, тем эффективнее любое решение, включая киберзащиту. Закрывайте объективы умных камер, когда они не используются, создайте список устройств, которые используют камеры. Для компьютеров, планшетов и смартфонов повысить безопасность можно применением VPN – такой тип подключения шифрует ваш интернет-трафик, делая его более безопасным. Это может быть неактуально для домашних сетей, но часто используется в офисах, а также может быть особенно эффективно, если вы используете общедоступные сети Wi-Fi.

Если вы заметите что-то необычное, измените свои пароли и сообщите об этом производителю устройства – ваше участие может защитить ещё миллионы людей. Важно, чтобы и члены вашей семьи знали о рисках кибербезопасности и о том, как защитить себя – поговорите с ними о важности использования надёжных паролей, о том, как не кликать по подозрительным ссылкам и не открывать вложения от неизвестных отправителей.

Помните, что кибербезопасность – это постоянный процесс. Вам необходимо следить за новыми угрозами и уязвимостями и принимать соответствующие меры для защиты своих устройств. Используя наши советы, вы можете сделать свои устройства IoT более безопасными и превратить свой дом и офис в удобную, экономную и эффективную киберкрепость.