Темная сторона интернета вещей

Этой осенью по миру прокатилась волна необычных кибератак очень высокой мощности. Их объединяло одно: все они были реализованы с использованием устройств из интернета вещей (IoT). То есть в бот-сети для атак объединялись роутеры, беспроводные IP-камеры и принтеры. Судя по сегодняшним тенденциям, в самом скором будущем в подобных атаках будут задействованы кофеварки, «умные» холодильники и фитнес-браслеты.

IoT атакует!

Новость, пришедшая на этой неделе: компании Gemalto и Sequans Communications представили совместное решение Cat M1 для интернета вещей. Решение подходит для работы устройств интернета вещей в условиях сетей с низкой пропускной способностью, включая системы сигнализации, трекеры, интеллектуальные счетчики, городские смарт-контроллеры, портативные и промышленные датчики. Новые низкоэнергетические широкополосные (LPWA) сетевые технологии, такие как LTE-M, предоставляют сетевым операторам возможность обрабатывать данные, поступающие от миллиардов подключенных вещей.

При демонстрации работы технологии LTE-M использовался модуль беспроводной связи Gemalto с технологией Cat M1, основанной на микросхеме Sequans Monarch, которая предлагает малое потребление энергии для IoT-сетей с низкой пропускной способностью. Решение поддерживает более десяти полос частот LTE от одного устройства. Динамический контроль питания позволяет стандартным устройствам интернета вещей работать автономно более чем 10 лет подряд. Это решение появится на рынке до конца 2016 года.

«Потенциал следующего поколения технологии LTE для расширения рынка IoT открывает огромные возможности для маломощных приборов в сетях с низкой пропускной способностью», – говорит Андреас Хайгеле, старший вице-президент направления M2M в Gemalto. Но радоваться тут не стоит. Даже подключенные по «старым» каналам «умные» устройства уже сегодня используются для проведения сокрушительных DDoS-атак. А что будет, когда с использованием LPWA к ним присоединятся еще сотни миллионов представителей IoT – даже страшно себе представить.

Впрочем, начну с простого описания событий этой осени. 19 сентября владелец французского хостера OVH Октав Клабá сообщил, что его компания подверглась двум атакам мощностью 1.1 Тбит/с и 901 Гбит/с. Через четыре дня он написал о дополнительных крупных атаках. Атакующими устройствами оказались взломанные IP-камеры – более 145 тыс. штук. 22 сентября сайт KrebsOnSecurity.com известного эксперта по кибербезопасности Брайана Кребса также подвергся DDoS-атаке. Компания Akamai, которая занималась его защитой, сообщила, что интенсивность запросов от бот-сети во время атаки достигла 700 Гб/с. До этого рекордной считалась атака в 363 Гбит/с, с которой Akamai пришлось столкнуться летом этого года. И опять атакующие пакеты шли от роутеров и IP-камер. Это не первый резонансный случай, когда подобные устройства становятся частью ботнета, однако впервые сеть состояла почти полностью из таких приборов.

Эта эпидемия «новых» DDoS-атак, начавшись в США, распространилась по всему миру. Сингапурский интернет-провайдер StarHub утверждает, что причиной двух продолжительных перебоев в работе его сетей во второй половине октября были именно масштабные DDoS-атаки со стороны интернета вещей. Мишенью хакеров в Сингапуре стали DNS-серверы StarHub. DDoS-атака проходила в два этапа, из-за чего 473 тыс. пользователей в Сингапуре остались без интернета 22 и 24 октября. При этом, как сообщила компания, ботнеты, которые отсылали запросы на серверы, были созданы из устройств клиентов StarHub, подключенных к интернету вещей. По словам технического директора StarHub Мок Пак Лума, в основном это были широкополосные роутеры и IP-камеры, но не только.

Первая атака на StarHub произошла на следующий день после того, как совершенно аналогичная DDoS-атака на DNS-серверы компании Dyn лишила половину США доступа к множеству ресурсов, включая Twitter, Amazon, PayPal и Netflix. В общей сложности 85 сайтов были недоступны или работали с перебоями. Ущерб от атаки оценивается в $110 млн. Ответственность за ее проведение взяли на себя хакерские группы RedCult и New World Hackers.

Атака на серверы Dyn проводилась в три этапа. Во время первого доступ к ресурсам потеряли жители Восточного побережья. Вторая волна атаки накрыла часть западных штатов, а также некоторые регионы Европы. Третья волна никак не отразилась на пользователях, поскольку технический персонал Dyn смог с ней справиться. Ботнет, атаковавший серверы Dyn, состоял преимущественно из устройств IoT: роутеров, камер, принтеров и других. Количество ботов исчислялось десятками миллионов, что позволило передавать данные на DNS-серверы со скоростью 1,2 Тб/с. Для создания ботнета использовалась программа Mirai, которая взламывает приборы путем подбора паролей. Эта же программа была применена для создания ботнета, атаковавшего ранее ресурс Krebs On Security. Вскоре после этого исходный код Mirai был опубликован в Сети, после чего количество взломанных ею устройств начало стремительно расти.

Последствия для конкретных производителей уже наступили. В частности, критике подвергся китайский производитель Xiongmai, веб-камеры и цифровые регистраторы которого были использованы для проведения массированных хакерских атак в США и Европе. Эксперты обвинили Xiongmai в недостаточной защищенности гаджетов, что сделало их легкой добычей хакеров. После этого компания решила отозвать часть продукции в США.

Главный исследователь компании Sophos Честер Вишневский утверждает, что около 500 тысяч веб-камер Xiongmai стали «ботами» и могут быть использованы в атаках. По его оценке, лишь 10% таких ботов были задействованы в упомянутых событиях, что показывает огромный потенциал такого типа атак и их опасность.

Известная проблема

По данным исследовательской компании Gartner, сейчас к интернету вещей подключено около 6 млрд устройств. Но к 2020 году их число составит от 25 (по мнению Gratner) до 50 миллиардов (по оценке Ericsson). Соответственно, это даст хакерам более широкие возможности для проведения с помощью ботнетов масштабных атак.

Специалисты по информбезопасности давно предупреждали об угрозе массового взлома IoT-устройств, хотя всерьез эту угрозу начали воспринимать только в 2015 году, когда оказалось, что разрушительные DDoS-атаки на Xbox Live и Playstation Network совершал ботнет, состоящий из зараженных домашних роутеров. А в июне уже нынешнего года исследовательская компания Sucuri обнаружила ботнет из 25000 взломанных камер видеонаблюдения.

После этого компания Symantec обнародовала отчет с говорящим названием «IoT devices being increasingly used for DDoS attacks». В нем, в частности, сказано: «Многие IoT-устройства подключаются к интернету, но из-за ограничений операционной системы и мощности процессора на них недоступны многие продвинутые функции безопасности. […] Хотя некоторые варианты вредоносного ПО эксплуатируют известные уязвимости, большая часть просто пользуется слабостью встроенных систем защиты или известными паролями по умолчанию».

Как констатировали эксперты Symantec, найти выход из сложившейся ситуации будет непросто. Во-первых, пользователи никак не могут узнать, заражено их устройство или нет. При заражении компьютера вредоносное ПО обычно выявляет антивирус, но как просканировать роутер, IP-камеру или «умный» холодильник? Здесь требуется перехват и анализ трафика, но это не под силу рядовому пользователю. При этом и производители подключенных устройств часто не уделяют безопасности должного внимания. Даже наличие пароля по умолчанию само по себе – сомнительная практика, поскольку провоцирует пользователя не менять его. Наконец, даже если производители и выпускают обновления прошивок с закрытыми «дырами», то как заставить пользователя установить это обновление? Большинство заходит в интерфейс управления лишь один раз – при первоначальной настройке.

Немного позднее корпорация Hewlett-Packard также провела очень серьезное исследование того, какие возможности для злоумышленников открывает широкое распространение интернета вещей. Согласно отчету, который представили сотрудники подразделения безопасности Hewlett-Packard Fortify, большинство устройств IoT имеют серьезные уязвимости, ставящие под угрозу безопасность. Эксперты HP выявили множество незащищенных мест, проверив десять основных устройств интернета вещей на наличие угроз безопасности. В исследовании не уточняют, о каких именно устройствах идет речь, подчеркнул глава HP Fortify Дэниел Майсслер. Цель исследования – не обвинить конкретных производителей, а, скорее, обратить внимание на определенные области риска, рассказал он журналистам. В частности, в HP выяснили, что 70% устройств, подключенных к интернету, используют незашифрованные сетевые сервисы – то есть злоумышленники могут перехватить эту информацию.

В восьми из десяти случаев проверенные устройства – термостаты, домашняя сигнализация, выключатели света и т.д. – выдавали информацию, которая могла содержать имя пользователя, его адрес, электронную почту, дату рождения и данные о банковском счете. У 60% устройств обнаружился небезопасный веб-интерфейс. Большинство проверенных устройств также не имеют жестких требований к паролям – они разрешают пользователям использовать в качестве паролей даже совершенно очевидные комбинации, которые легко подобрать, вроде «12345».

В среднем эксперты Hewlett-Packard Fortify обнаружили 25 различных уязвимостей в каждом проверенном устройстве. В основном уязвимости, выявленные в ходе исследования, не новы: например, шифрование данных и надежные пароли уже давно считаются привычными мерами интернет-безопасности. Специфика «интернета вещей» состоит в том, что компоненты соединяются новыми способами: «умные» девайсы, как правило, связываются с мобильными устройствами, у которых могут быть собственные уязвимости и недостатки безопасности. Каждая из точек соприкосновения имеет свои уязвимости, но интернет вещей отличает то, что все эти уязвимости собраны в одной экосистеме.

К 2020 году к интернету вещей будет подключено примерно 26 млрд устройств, прогнозируют в Hewlett-Packard. «К счастью, еще есть время принять меры по обеспечению безопасности устройств, до того как пользователи окажутся под угрозой», – отмечается в отчете. Низкий уровень безопасности «умных» вещей обусловлен слабой развитостью технологии в целом: понятие «интернет вещей» появилось 25 лет назад, но сама технология пришла в нашу жизнь лишь недавно и пока находится в зачаточном состоянии. Учитывая социальную значимость интернета вещей и, более того, потенциальную опасность перехвата контроля над теми или иными объектами, со временем наверняка будут установлены стандарты безопасности, включающие в себя обязательное шифрование кода и запрет на управление некоторыми функциями удаленно или без аутентификации.

Взять IoT под контроль

Понятно, что в мире, пронизанном сетями интернета вещей, избежать подобных взломов не получится: уязвимости рано или поздно обнаруживаются везде, где есть операционная система и программное обеспечение. Ведь код пишут люди, а значит, ошибки неизбежны. И тут есть только два варианта, две возможности уменьшить уровень угрозы. Первая – разработка все новых способов защиты. Вторая – контроль государства над производителями.

Так, Еврокомиссия уже планирует разработать комплекс мер, направленных на обеспечение кибербезопасности IoT. Меры, которые будут приниматься на государственном уровне странами-участницами ЕС, предполагают введение сертификации или аналогичной процедуры для всех устройств с возможностью подключения к Сети.

Как вариант, комиссия не исключает установку на такие устройства специальных стандартных чипов, которые обезопасят их от атак хакеров. Новые меры должны повысить уровень доверия к интернету вещей в обществе, а также помешать хакерам создавать ботнеты из подключаемой техники.

Инициативу Еврокомиссии прокомментировал Тибо Клейнер, заместитель европейского комиссара по цифровой экономике и обществу. По его словам, меры по защите интернета вещей от хакеров следует принимать именно на государственном уровне, поскольку в контроле нуждаются не только сами приборы, но и сети, к которым они подключены, а также облачные хранилища.

Схему сертификации интернета вещей Клейнер сравнил с европейской системой маркировки энергопотребляющих товаров, принятой в 1992 году. Маркировка обязательна для автомобилей, бытовой техники и электрических ламп. Однако, по словам Клейнера, производители техники считают систему подобной маркировки неэффективной для защиты от хакеров. Вместо этого они предпочли бы устанавливать в приборы стандартный чип, который будет отвечать за безопасность подключения к интернету.

Это важно, поскольку уже в ближайшем будущем технологии интернета вещей навсегда изменят городскую инфраструктуру во многих мегаполисах мира – и именно в Европе эти изменения начинаются уже сегодня. Директор по интернету вещей корпорации Intel в регионе EMEA (он включает и Европу) Род О'Ши рассказал в интервью: «В рамках IoT вряд ли будет существовать один-единственный протокол. Ведь уже сегодня в мире существует 15 млрд устройств интернета вещей, а к 2020 году их будет уже 50 млрд. И все эти устройства будут обладать разным функционалом и дизайном, а также требовать разных протоколов. Решением станут формирующиеся уже сегодня отраслевые протоколы, одинаковые для, скажем, всего автопрома, бытовой техники или торговых автоматов».

Стараясь оказаться «в струе», Intel ведет разработку IoT Platform – платформы интернета вещей, которая позволит практически любому устройству подключиться к единой сети через шлюз независимо от его собственного протокола. При этом данная платформа автоматически обеспечит проверку доверия к данному устройству и безопасность его подключения к Сети.

«Безопасность всего пространства интернета вещей должна задаваться еще на уровне создания архитектуры. Иными словами, необходимо обеспечить защиту от любых вредоносных действий еще при разработке протоколов и устройств, – говорит Род О'Ши. – Различные устройства и датчики можно защитить с помощью шлюзов, потому что именно через шлюзы они подключаются к системе и через них можно управлять этими устройствами и обеспечивать их присутствие в облаке. Безопасностью необходимо управлять на уровне устройства и на уровне системы в целом. У создаваемой сейчас IoT-платформы Intel есть 20 аппаратных и программных элементов, обеспечивающих безопасность на этих двух уровнях».

Конечно, и к этим заявлениям стоит относиться с определенной долей скепсиса, ведь Intel – это лишь одна из компаний, работающих на рынке. И у нее свои коммерческие интересы, а значит, она будет искать баланс между доходностью своих продуктов и реальным уровнем безопасности, который они могут обеспечить.

Возможно, выход – в использовании открытых решений. Так, компании Red Hat и Ericsson на днях объявили о формировании отраслевого альянса с целью разработки и продвижения готовых к промышленному использованию коммуникационных решений с открытым кодом на основе технологий OpenStack, NFV (виртуализация сетевых функций), SDN (программно-определяемые сети) и SDI (программно-определяемые инфраструктуры). Ericsson и Red Hat уже ведут совместную работу над новыми решениями, которые помогут заказчикам в полной мере реализовать потенциал интернета вещей, сетей 5G и других коммуникационных технологий нового поколения.

Red Hat и Ericsson уже имеют опыт совместной работы по адаптации решений Red Hat Enterprise Linux и Red Hat JBoss Middleware к нуждам и запросам заказчиков компании Ericsson. На новом этапе сотрудничества компании сосредоточат усилия на OpenStack, инфраструктурах NFV, SDN и SDI, а также Linux-контейнерах с тем, чтобы всех их можно было применять в том числе в системах IoT. Рассматривая контейнеры как ключевой элемент эволюции платформ интернета вещей, Red Hat и Ericsson будут принимать участие в работе соответствующих проектов Open Source, включая CNCF (Cloud Native Computing Foundation) и OCI (Open Container Initiative).

«Умный дом» с призраками

Отдельная тема – атаки хакеров на одно из главных мест применения IoT – системы «умного дома». Тем более что «умные дома» мало чем отличаются от обычных офисных систем и для внешнего мониторинга и управления подключаются к сетям связи по стандартным протоколам. Помимо физического проникновения (отключив сигнализацию), из такого дома можно украсть конфиденциальную информацию – например, ноутбук с важными данными может быть подключен к внутренней сети дома.

Здесь возникает вопрос: кто должен заботиться о безопасности бытового интернета вещей – производитель или пользователь. Практика показывает, что пользователь слишком безалаберен и вряд ли будет что-то делать ради своей защиты. Между тем, «умная» техника очень уязвима для взломщиков. Еще в 2015 году был представлен отчет Hewlett-Packard на тему уязвимости IoT-решений для «умного дома». Он назван «IoT Security Study: Home Security Systems Report», и в нем корпорация рассмотрела 10 современных домашних систем безопасности. Эксперты НР выяснили, что владелец дома может быть не единственным, кто управляет техникой, подключенной к Сети.

Технологии, на которых построены «умные» дома, сочетают в себе как привычные элементы IT-решений (приложения для мобильных устройств, облачные системы), так и относительно новые устройства: датчики и контроллеры. Каждый из использованных элементов, как уже неоднократно демонстрировалось на практике, может содержать (и содержит) уязвимости.

Помочь владельцам таких систем может соблюдение основных мер цифровой безопасности – надежный пароль, настройки отображения сети, разделение подключений и принцип недоверия третьим лицам, имеющим дело с техникой пользователя. С другой стороны, если подозревать всех, то тут и до паранойи недалеко. К тому же профессиональных хакеров подобные способы обеспечения безопасности не остановят. Тем более что обычно усилия компаний по просвещению пользователей о заботе над своей цифровой защитой остаются проигнорированными.

Сайт Motherboard в начале августа рассказал случай, которые напоминает один из эпизодов сериала «Мистер робот». Издание подробно описало, как исследователи безопасности использовали баг в прошивке термостата, чтобы установить на него вредоносное ПО. Через дыру в безопасности им удалось изменять температуру устройства, поднимая ее до максимальной или опуская до минимальной. Для того чтобы остановить переохлаждение или перегрев, жертве техники необходимо было перевести на счет взломщиков определенную сумму. Она выводилась на дисплей термостата.

Исследователи не назвали подробностей того, как обнаружили уязвимость, и не озвучили модель взломанного устройства. Известно лишь, что аппарат оборудован разъемом для SD-карт и работает под управлением Linux. Просто выяснилось, что термостат не проверяет документы, которые открывает. Следовательно, в него под видом изображения можно загрузить любой файл. Самой большой проблемой для исследователей стало убедить владельца термостата скачать вредоносное ПО на устройство. Один из путей решения проблемы – передать файл под видом новой прошивки.

Но термостат – это еще не так страшно. Компрометация защиты IoT-решений, прежде всего, подвергает опасности частную жизнь пользователя. Взлом «умного» устройства открывает доступ к данным о его местонахождении, состоянии здоровья, фотографиям. Можно перехватывать разговоры, в том числе деловые, и так далее. Например, взлом смарт-телевизора, оснащенного камерой и микрофоном, может позволить злоумышленникам наблюдать за владельцем без его ведома. А доступ к данным, которые генерирует фитнес-браслет, способен обеспечить частичный доступ к персональной и медицинской информации. Кроме того, некоторые модели устройств позволяют хранить учетные данные для соцсетей и даже данные банковских карт, а значит, их тоже можно украсть.

К сожалению, зачастую при создании устройств IoT инженеры просто не думают про важность информационной безопасности. Еще недавно сложно было представить атаку, начавшуюся с кондиционера, а теперь приходится думать о защите при разработке любых устройств, связывающихся с внешним миром. Следует изменить восприятие любой техники, подключенной к Сети. Как производителям, так и пользователям пора начать относиться к подобным вещам не как к обычным телевизору или фитнес-браслету, а учитывать все риски подключения к интернету.

Применительно к «умному дому» вопрос безопасности IoT обретает все новые грани. Например, в материалах ко Всемирному экономическому форуму (ВЭФ) в Давосе в декабре 2015 года поднимался вопрос о безопасности подключенных к интернету детских игрушек. Как выяснилось, производители вкладывают много денег в технологии, позволяющие анализировать поведение ребенка и собирать статистику по использованию игрушек. Так, знаменитая кукла Барби к сегодняшнему дню обзавелась модулями распознавания голоса, подключением к интернету и облачным хранением данных.

Эти технологии не только наделяют куклу новыми игровыми возможностями, но и позволяют бизнесу точнее подстраиваться под интересы потребителя – в данном случае ребенка. В итоге один из исследователей кибербезопасности нашел уязвимость в продуктах производителя игрушек VTech. Эта уязвимость позволяла украсть имена, домашние адреса, фотографии и записи чатов 6,3 млн детей, говорится в сообщении ВЭФа.