13 февраля 2014

«Интернет вещей»: уязвимость и безопасность

Бизнес

«Интернет вещей» — странноватый термин, обозначающий тотальное подключение всевозможной потребительской электроники — холодильников, стиральных машин и так далее вплоть до утюгов — к сети. Аналогично тому, как в конце прошлого столетия в сети массово объединили практически все компьютеры на свете. Естественно, для этого они должны сперва «поумнеть» — обзавестись, грубо говоря, бортовыми компьютерами. Так, чтобы, например, холодильник, обнаружив внутри себя дефицит свежей зелени или молока, отправлял по электронной почте в ближайшую продуктовую лавку соответствующий заказ. К сожалению, наличие «интеллектуального» модуля и подключения к сети подразумевает и значительно отличающуюся от нуля вероятность того, что какие-нибудь затейники попытаются использовать устройство с целью причинить вред.

Вообще говоря, уже попытались, причём вполне успешно.

Приложение «холодильник» совершило недопустимую ошибку…

Многие, вероятно, помнят язвительный анекдот, первая фраза из которого вынесена в подзаголовок; ОС Windows в конце 1990-х и начале 2000-х регулярно потчевала своих пользователей сообщениями про «недопустимую ошибку» по любому поводу. Нетрудно было представить себе, что могло произойти с «умной» кухонной утварью под управлением, скажем, Windows 95.

Но – шутки-шутками, а не далее как в январе 2014 года «умный» холодильник застали за рассылкой спама.

Говоря конкретнее, в середине января компания Proofpoint объявила об обнаружении кампании по рассылке спама, источником которой стал ботнет, примерно на четверть состоявший не из компьютеров, а из скомпрометированных роутеров, мультимедийных центров, смарт-телевизоров «и как минимум одного холодильника».

routerРассылка спама наблюдалась в период между 23 декабря 2013 года и 6 января 2014 г.; спам рассылался порциями по 100 тысяч сообщений три раза в день. При этом с каждого конкретного IP-адреса исходило не более 10 сообщений в целом, что дополнительно затрудняло блокирование ботнета.

Злоумышленникам не пришлось предпринимать никаких особых усилий: в большинстве случае скомпрометированная электроника была подключена к сети как попало, широко использовались «фабричные» пары логинов-паролей (admin/password). В общем, бери не хочу.

В сущности, это, возможно, первая доказанная кибератака с использованием пресловутого  «интернета вещей». О том, что рано или поздно злоумышленники попытаются злоупотребить «ростом интеллектуальности» потребительской электроники, эксперты предупреждали давно. Как видим, не напрасно. Сейчас подобные «ботнеты вещей» могут рассылать спам, со временем не исключены DDoS-атаки. Точнее, не просто «не исключены», а почти гарантированы, это лишь вопрос времени.

Есть и более мрачная перспектива: рост количества так называемых «физических» атак.

Вещественные силы

Под «физическими» подразумеваются те хакерские атаки, которые наносят вполне очевидный материальный ущерб. Иногда огромный. Они пока редки, однако по мере распространения «интернета вещей» волей-неволей приходится ожидать распространения атак подобного рода.

Самым громким примером последних лет был пресловутый Stuxnet, вирус-кибероружие, предназначенный для вывода из строя центрифуг для обогащения урана (и, как хорошо известно, выполнивший свою миссию).

Stuxnet, а вместе с ним и понятие «кибероружие» уже стали частью массовой культуры: например, в чрезвычайно популярном в США сериале Person of Interest («Подозреваемый») Stuxnet как минимум однажды упоминается напрямую. Тематика кибероружия также поднимается несколько раз.

Но, хорошо, допустим Stuxnet — это явление, скорее, из области непростых международных отношений. При этом, однако, ниоткуда не следует, что жертвами аналогичных атак со временем не станут коммерческие структуры, далёкие от высокой политики, оборонных заказов или критической инфраструктуры, возможностью атак на которую специалисты также давно и небезосновательно обеспокоены.

Не так сложно представить себе, как злоумышленники удалённо выводят из строя, например, систему климат-контроля на объекте, где действует строгий температурный режим, или отключают (опять-таки удалённо) сигнализацию в офисном здании перед тем, как туда заходят вооружённые люди в лыжных масках.

Проблему могут представлять и бортовые системы автомобилей: в прошлом году двое экспертов показали, как можно выводить из строя тормоза и другие системы «умной» машины. И хотя для этого требовалось физическое подключение к автомобильной системе, ещё раньше, в 2010 году другие исследователи продемонстрировали возможность удалённого исполнения кода в бортовой системе автомобиля через беспроводную сеть. То есть, уже накопилось достаточно свидетельств тому, что автомобильные системы могут быть уязвимы для внешнего воздействия, причём автопроизводители далеко не всегда проявляют готовность решать эти проблемы.

waterВ прошлом году на конференции BlackHat различные специалисты демонстрировали возможность удалённой атаки на SCADA-системы нефтедобывающего предприятия с потенциально катастрофическими последствиями. На той же конференции рассказывалось о том, как китайские «кибервоенные» старательно пытались взломать системы водонапорной станции в США, в частности, похитить документацию и изменить настройки насосов. Правда, в итоге выяснилось, что водонапорная станция была на самом деле имитацией, «виртуальной ловушкой» (honeypot), и что все действия хакеров были тщательным образом задокументированы. Но так или иначе, наблюдавшие за этим эксперты по безопасности констатировали, что хакеры «очень хорошо знали, что делают». В связи с этим возникает вопрос, не получили ли они уже доступ к аналогичным системам в США и других странах, и что может им помешать учинить в нужный момент крупную аварию.

Ну, и совсем недавний пример: использование беспилотного аппарата с WiFi-передатчиком и набором нужного ПО для перехвата управления над другими аналогичными аппаратами и их угона. Про эту историю мы писали совсем недавно. Она является, пожалуй, самым красноречивым примером «физических» атак – явления, которое, вполне вероятно, в самом скором времени станет обычным делом.

Что мы упустили

Тенденция, в принципе, ясна: по мере того, как будет расти количество «умных» устройств, которыми пользуются рядовые потребители и коммерческие компании, будет расти и количество «новых» угроз. Холодильник, рассылающий спам, телевизор, участвующий в DDoS-атаке, заражённый роутер, перенаправляющий любые запросы на серверы, принадлежащие киберпреступникам (как это делал, например, DNSChanger), — это неприятно (хотя и вряд ли катастрофично), и это то будущее, которое уже наступило. Использование всё тех же «умных» устройств для кибершпионажа – это уже тоже не вполне фантастика. Электронная отмычка, позволяющая отпирать любые «умные» замки бренда Onity, используемые в гостиничной сфере, — тоже реальность.

В целом, проблема заключается в следующем: в погоне за модными веяниями  производители «умных» бытовых устройств торопливо пичкают свои изделия новой функциональностью, не учитывая при этом, что новые возможности появляются не только у конечных потребителей, но и у конченых злоупотребителей.

По большому счёту, это всё повторение пройденного: два с лишним десятилетия назад производители компьютеров, коммуникационного оборудования и программного обеспечения вряд ли могли представить себе что-либо вроде приснопамятных Code Red и SQL Slammer, в 2001 и 2003 годах приведших к существенному замедлению трафика во Всемирной сети вообще. Соответственно, пока гром не начал греметь регулярно, вопросам безопасности самой архитектуры внимание уделялось малое.

В погоне за модными веяниями производители «умных» бытовых устройств торопливо пичкают свои изделия новой функциональностью, не учитывая при этом, что новые возможности появляются не только у конечных потребителей, но и у злоумышленников.

И вот снова, похоже, старая история: развитие «интернета вещей» ускоряется, вопросы безопасности не учитываются, возможность вносить исправления в программные оболочки существует далеко не всегда.

Сегодня, как следует из последнего исследования «Лаборатории Касперского» («Ландшафт угроз-2014»), злоумышленники более заинтересованы не в том, чтобы устраивать массированные эпидемии вредоносного ПО, а в том, чтобы адресно извлекать деньги и ценные данные, используя уязвимые места в IT-периметре коммерческих компаний.

«Интернет вещей», если производители «умной» электроники вдруг не опомнятся и не начнут учитывать вопросы безопасности на всех этапах разработки своей продукции, гарантированно обеспечит дополнительные проблемы с безопасностью, причём уже не только информационной.