Опасность из каждого утюга: как «умный дом» может стать проблемой для хозяина
В Москве обсудили угрозы развития «интернета вещей» и современные подходы к кибербезопасности
23—24 мая в Москве прошло ключевое событие отрасли кибербезопасности — Positive Hack Days, организованное компанией Positive Tecnologies. В нем приняли участие порядка 5 тысяч экспертов, которые обсуждали главные тренды и проблемы защиты данных. В этом году одной из главных проблем аналитики называют развитие IoT — «интернета вещей». Побывал на мероприятии и корреспондент «Реального времени».
Аналитики прогнозируют, что к 2025 году главными «пользователями» всемирной паутины станут не люди, а умные устройства. Например, смарт-телевизоры и мультиварки с вай-фай управлением, камеры наблюдения и элементы «умного дома». Эксперты Positive Technologies составили топ-5 самых опасных для пользователя устройств, имеющих доступ к интернету.
В первую очередь это сердце всей домашней сети — Wi-Fi- или 3G-4G-роутер. Ежемесячно в этих устройствах эксперты находят до 10 уязвимостей. Разработчики, в свою очередь, не спешат их устранять — в погоне за дешевизной устройств прошивка роутера может не обновляться, а на тестировании и безопасности производители экономят.
Правда, самым уязвимым элементом роутера остается пользователь. Как выяснили эксперты Positive Technologies, из 100 устройств на 15 пароли никогда не менялись с заводских. А значит, влезть в его «мозги» и запрограммировать на любые действия может кто угодно.
Не менее уязвимы и камеры видеонаблюдения. Эти девайсы в большей степени несут угрозу бизнесу: порядка 90% из тех, что используют малые и средние предприятия, имеют критические уязвимости. Подсмотреть за офисом через камеры видеонаблюдения хакер может, практически не прилагая усилий.
Навигация и беспроводное управление также оказались хорошей мишенью для хакеров. Чтобы это продемонстрировать, эксперты Positive Technologies решили поиграть в фокусников — переводили часы на сотовых телефонах прямо в карманах зрителей и устанавливали поддельные GPS-координаты, сбивая с толку телефонную навигацию. И если сейчас сбой навигатора, по большому счету, угрожает только беспилотным летательным аппаратам, то на беспилотных автомобилях хакер может натворить немало бед. Сброс времени и даты в свою очередь делает недействительными сертификаты безопасности сайтов, открывая простор для кибератак.
Продолжая фокусы, эксперты по безопасности перехватили сигнал беспроводной клавиатуры. В свое время хакеры использовали программы-кейлоггеры, которые записывали все нажатия клавиш и отправляли хозяину. С развитием беспроводных клавиатур это может делать оператор, сидящий на расстоянии до нескольких сотен метров. А дешевизна оборудования — порядка 300 рублей — грозит массовым шпионажем.
«Генералы всегда готовятся к предыдущей войне. Интернет-вещи — это лишь следствие проблемы. Главная проблема — технологическая задолженность, накопленная IT-компаниями. Первая жертва гонки за ценой — это безопасность, и в попытке создать конкурентоспособную цену компании жертвуют именно ею», — полагает главный инженер QRator Labs Артем Гавриченков.
Артем Гавриченков: «Генералы всегда готовятся к предыдущей войне. Интернет-вещи — это лишь следствие проблемы. Главная проблема — технологическая задолженность, накопленная IT-компаниями»
Латать дыру в периметре безопасности эксперты предлагают, начав с головы. Никакие меры не спасут пользователя, который сам не сменит пароль роутера и будет открывать подозрительные ссылки. Также, считают эксперты, государству следует разработать стандарты сертификации поступающих в продажу устройств, которые бы включали требования необходимого уровня защиты.
WannaCry: уж сколько раз твердили миру
Презентацию с таким заголовком озвучил руководитель отдела расследований киберпреступлений компании Positive Technologies Алексей Новиков. Вредонос-вымогатель WannaCry — лишь одна из списка сотен подобных программ, известных человечеству. Вирус, шифрующий данные или размещающий неубираемые баннеры на экране и требующий деньги за «лечение» компьютера, — едва ли не ровесник интернета.
WannaCry стал известен лишь благодаря своей широкой географии и масштабам атаки. Что интересно, бенефициары программы даже не писали ее, а просто нашли в интернете и произвели «посев». Уязвимость, которую эксплуатировал вирус, была известна еще в марте. Под раздачу попали те пользователи, кто должным образом не обновляет свои компьютеры.
«В принципе, первоначальный вектор распространения с использованием уязвимого порта на периметре — это очень простой, очень легкий путь. Злоумышленнику ничего не мешало усложнить эксплойт и… заражать даже те организации, у которых периметр защищен», — отметил Алексей Новиков.
Алексей Новиков: «Честно говоря, я сомневаюсь, что злоумышленник будет эти деньги обналичивать. Мне кажется, целью были не деньги, иначе он бы придумал более изощренный механизм доставки и получения»
По этой же причине эксперт сомневается, что целью распространения программы-вымогателя были деньги. Отвечая на вопрос, сложно ли будет обналичить полученные хакером средства, Алексей Новиков предположил, что, как ни странно, вряд ли кто-то станет этим заниматься:
«Честно говоря, я сомневаюсь, что злоумышленник будет эти деньги обналичивать. Мне кажется, целью были не деньги, иначе он бы придумал более изощренный механизм доставки и получения. Ранее мы наблюдали прецеденты, когда злоумышленники использовали эту уязвимость, но их деятельность ограничивалась использованием вычислительных мощностей серверов. На этом злоумышленники заработали куда больше, чем на WannaCry и даже выводили деньги. В принципе, монетизировать это можно, но в случае с WannaCry'ем я сомневаюсь», — заключил докладчик.
Во время форума неоднократно звучал тезис «Нет патча от человеческого недосмотра». За его опровержение взялась компания Acronis, которая предлагает пользователям облачные решения для защиты данных. Их суть в том, что продукт компании периодически делает бэкапы, с помощью которых можно восстановить данные на компьютере и смартфоне до момента заражения, вплоть до иконок на рабочем столе. Кроме того, в программу встроена функция, которая обнаруживает RansomWare в момент заражения и блокирует его распространение.
«Статистика заражения WannaCry сама по себе показала, что компании довольно халатно относятся к обновлениям ПО. Патч экстренно был выпущен еще в марте, с марта прошло довольно много времени. Пострадали те компании, которые не успели или не захотели обновляться по какой-то причине… Основная проблема именно в образе мышления, в реагировании на новости, утечки, тренды, в организации работы внутренних IT-служб и служб информационной безопасности», — уверена менеджер подразделения стандартизации и управления рисками компании Acronis Юлия Омельяненко.
Юлия Омельяненко: «Статистика заражения WannaCry сама по себе показала, что компании довольно халатно относятся к обновлениям ПО»
Одним из главных инструментов распространения вредоносного софта в целом эксперты называют социальную инженерию. Это использование стандартных паттернов человеческого поведения, с помощью которых злоумышленники убеждают пользователя добровольно загрузить вредонос на свой компьютер. Сколько раз за последний месяц вы получали письма, где несуществующая бабушка оставила вам наследство в миллион долларов, получить которое можно, перейдя по ссылке? Или пытались скачать «бесплатно, без регистрации и СМС» книгу с подозрительного сайта. А СМС с предложением посмотреть свои фотографии по подозрительной ссылке?
Бороться с социальной инженерией можно, повышая техническую грамотность сотрудников, уверена Юлия Омельяненко:
— Человек, который менее технически подкован, и будет являться мишенью для атак.
Сталинград-онлайн
Пока спикеры рассказывали о кибербезопасности, в отдельном помещении шла настоящая битва за город между представителями хакерской элиты и службами IT-безопасности. На разграбление хакерам отдали картонно-пластиковый населенный пункт с сотнями виртуальных жителей, транспортом, заводами, светофорами, торговым центром, ТЭЦ, банками и железной дорогой. Управляли городом те же системы, что можно встретить в мегаполисе, макет был нужен лишь для наглядности.
Целью хакеров было заработать как можно больше игровых денег. Например, одна из команд перехватила СМС мэра города, содержавшую компромат, на чем заработала 150 тысяч «публей». Команда Hack.ERS смогла украсть деньги пользователей SIP-телефонии: взломав аккаунты, хакеры получили деньги с помощью платных звонков на короткие номера.
«Злоумышленникам» удалось остановить ТЭЦ и нефтезавод — взломав корпоративную сеть, хакеры выявили контроллеры, которые использует организация и смогли остановить работу предприятий. Виной всему «недосмотр» администраторов организаций, о котором говорили на встрече по IoT: роутер Wi-Fi был защищен дефолтным паролем, не убранным администраторами. Уязвимость, на устранение которой сисадмину понадобилась бы минута, вывела из строя весь промышленный комплекс города. Хакеры отключили подачу энергии к ТЭЦ, та перестала подавать на нефтезавод пар, из-за чего встал и он.
Под покровом ночи хакеры совершили грандиозную кражу: из банка украли почти 4 миллиона «публей». Для этого ранее они украли данные пользователей, что позволило взломать систему дистанционного банковского обслуживания. Другая команда хакеров воспользовалась скомпрометированными данными банковских карт, снимая с каждой по 10 «публей». В реальности такая атака осталась бы незамеченной, но принесла бы злоумышленникам доход. Крупная же кража привела к экономическому кризису, вынудив организаторов конкурса провести допэмиссию «публей».
Организаторы PHDays сделали оговорку, что модель города представляет собой идеальную систему для хакеров. В реальности у злоумышленников меньше ресурсов, а у специалистов по защите больше возможностей. Однако и такой модели достаточно, чтобы дать понять: современный хакер может наворотить немало бед, взломав банковскую систему, обесточив целый город или создав хаос на транспорте.
Новую угрозу создает и «интернет вещей», когда «умный дом» может обернуться против своего хозяина. Оглянитесь вокруг — возможно, ваш холодильник и кофеварка уже готовят против вас заговор?
Подписывайтесь на телеграм-канал, группу «ВКонтакте» и страницу в «Одноклассниках» «Реального времени». Ежедневные видео на Rutube, «Дзене» и Youtube.