Что общего у детского стихотворения «Мойдодыр» с фантастической антиутопией «Черное зеркало»? Оно в том, что они вот-вот станут реальностью. Или уже стали? Суровый, но справедливый «умывальников начальник», натравливающий на неряшливого мальчишку своих «солдат», и «киберпчелы-убийцы» – все эти ожившие, сошедшие с ума вещи, атакующие людей, уже не кажутся такой уж выдумкой на фоне многочисленных скандалов с безумием интернета вещей (IoT). Smart things однажды стали одним большим стартапом, и в погоне за прибылью их производители не утруждали себя заботами о кибербезопасности. Неудивительно поэтому, что они стали легкой добычей хакеров.
Количество атак на устройства IoT ежегодно исчисляется десятками миллионов, а в самом ближайшем будущем эксперты будут измерять их в триллионах. На наше счастье, преступников (даже с приставкой кибер-) в основном волнует лишь максимальная нажива при минимальных затратах, а киберубийство – преступление весьма затратное. Кроме того, специалистам по кибербезопасности пока удается работать на опережение и заранее выявлять уязвимости технологий IoT.
По этой причине пока самыми страшными для обывателя ЧП в новостях выглядят хулиганские истории о сошедшей с ума бытовой технике или о «предательстве» видеокамер, транслирующих по Сети жизнь своих хозяев. А наибольшее количество инцидентов связано с перегружающими интернет-ресурсы DDoS-атаками.
Но далеко не все случаи атак становятся достоянием гласности, когда речь идет о серьезных финансовых и репутационных потерях для бизнеса и госструктур. Если ваш умный пылесос работает исправно, это не означает, что он не следит за вами. Если на вашем предприятии все спокойно, это не означает, что за вашими проектами не шпионят конкуренты и не готовят саботаж. И если в вашем городе пока не произошел блэкаут, это не означает, что вы от него застрахованы.
Интернет, радиоэфир, облачные серверы – с помощью этих технологий работают автономно от человека умные дома, заводы, города. И задача перед ИТ-специалистами стоит нешуточная – по сути, защитить невидимое. Удивительно при этом, что мы, рядовые юзеры, могли бы значительно облегчить им этот труд и предотвратить множество серьезных инцидентов, соблюдая элементарнейшие правила цифровой гигиены, чего по-прежнему очень часто не делаем.
Открытая форточка
«IoT работает без человека. И человек не узнает, как это работает, пока это не сломается и не доставит какие-то неудобства», – говорит руководитель группы исследований безопасности телекоммуникационных систем Positive Technologies Павел Новиков. Ну какая такая угроза может исходить от утюга и пылесоса, спросите вы. Тем не менее неудобства могут быть не просто неприятными, а, прямо скажем, пугающими.
В России умный дом пока явление не очень распространенное. А вот в западных СМИ то и дело мелькают истории о том, как чей-то дом натурально сошел с ума – посреди ночи начинал мигать свет, включалась музыка, запирались и открывались замки. Нередки случаи, когда записи с умных видеокамер злоумышленники выкладывали в Сеть, превращая жизнь обитателей дома в реалити-шоу.
Такое хулиганство часто становится местью обиженных любовников. «Взломом могут баловаться молодые хакеры, например, чтобы доказать соседям, кто главный на лестничной площадке», – объясняет эксперт лаборатории практического анализа защищенности компании «Инфосистемы Джет» Екатерина Рудая.
Если это хулиганство, то обезумевшую кофеварку достаточно выключить из розетки, чтобы она перестала работать. Но бывает, что умную технику с помощью вирусов‑шифровальщиков специально программируют так, чтобы от последствий ее безумств можно было избавиться, лишь заплатив хакерам-вымогателям выкуп. Один из таких случаев произошел в США: злоумышленники заставили попотеть владельца кондиционера, запрограммировав термостат на периодическое резкое повышение температуры помещения. Прекратилось это только после того, как несчастный заплатил выкуп.
Еще один сценарий – захват девайса с целью майнинга криптовалюты. Пусть устройство крайне слабое по мощности, но ведь для хакера оно полностью бесплатно – он не тратится на электричество, «железо». Так что миллион кофемашин вполне могут быть пригодны для добычи биткоинов. Используют IoT и для хищений. Одним из выдающихся случаев стало ограбление казино с помощью термостата в аквариуме. Киберграбители, взломав умное устройство, проникли через него в облачный сервер, где хранились данные всех крупных игроков. Умное устройство для хакера – как открытая форточка, через которую он проникает в структуру и начинает хозяйничать там.
«Умный пылесос запросто поделится габаритами квартиры, а детские игрушки-няни, оснащенные камерами, отследят, есть ли кто дома», – продолжает перечислять варианты использования IoT для преступных целей Екатерина Рудая. Достаточно вспомнить историю 2017 года, когда через умные игрушки CloudPets хакеры проникли в облачные серверы и похитили 800 тыс. учетных записей.
Работающие через облако умные камеры уже давно стали «находкой для шпиона». Их, говорит эксперт, ежегодно взламывают тысячами для изучения закрытых пространств. До человеческих жертв киберкриминал пока не дошел. Но это не значит, что кровь никогда не прольется. «В 2016 году злоумышленникам удалось перехватить управление над Jeep Cherokee, что могло привести к аварии и жертвам, – предостерегает эксперт. – Чем важнее задачи, которые человек поручает IoT-устройству, тем серьезнее будут последствия».
Всерьез эти «страшилки» воспринимать не стоит, считает технический директор Check Point Software в России и СНГ Никита Дуров. «Теоретически все это доступно для злоумышленников, но на практике мы не видим подобных инцидентов», – уточняет он. Вероятно, причина в том, что киберпреступниками становятся далеко не фанатики или хулиганы. Это люди практического ума, просчитывающие финансовую выгоду: как заработать на жертве. Конечно, можно предположить, что хакеров будут использовать в качестве наемных киллеров, но есть и куда более простые способы совершить убийство.
Но самым распространенным видом покушений на IoT стало использование устройств для ботнетов (зараженных ботами сетей, позволяющих злоумышленникам совершать различные манипуляции). Обычные ПК в этих целях использовать стало невыгодно – слишком сложно и затратно, да и защита у этих машин, как правило, на приличном уровне. Другое дело умные девайсы – проникнуть в них, что скорлупу сломать. Самым громким случаем стало появление в 2016 году ботнета Mirai. Владельцы не знали, что их устройства захвачены и участвуют в ботнете. Исходные коды ботнета были опубликованы на GitHub (крупнейшем веб-сервисе для хостинга IT-проектов и их совместной разработки). «Так появилась разновидность ботнета, которая атаковала сеть Deutsche Telekom, – рассказывает Павел Новиков. – Более 900 тыс. устройств Speedport Arcadyan участвовали в ботнете, и в итоге сеть рухнула».
Специфические угрозы для умных девайсов развиваются и крепнут буквально с каждым днем. По словам экспертов Avast, если вирусам для ПК потребовалось не менее 10 лет, чтобы из забавы гиков превратиться в опасные атаки, исполняемые профессионалами, с мобильными платформами путь был пройден примерно за 5 лет, то для IoT-устройств он занял два года. Причина на поверхности: IoT «окучивают» уже не новички-студенты, а опытные кибербойцы, набившие руку на других гаджетах.
О популярности атак на умные девайсы свидетельствуют результаты эксперимента Avast, проведенного в начале 2019 года. Исследователи установили в 10 странах 500 компьютерных «болванок», маскирующихся под IoT-устройства, для приманки злоумышленников (в индустрии безопасности их называют honeypot). Результат превзошел все ожидания: за четыре дня к фиктивным устройствам пытались подключиться извне 23,2 млн раз – ежедневно более 11 тыс. посягательств на каждое. По оценкам специалистов, в 2020 году ежедневное количество кибератак на IoT-устройства в мире достигнет 446 трлн.
Коварство микроволновки
Роутеры, камеры и видеорегистраторы, навигаторы, устройства беспроводного управления и всевозможные датчики – вот топ‑5 наиболее популярных устройств небезопасного интернета вещей, по оценке Positive Technologies.
По данным исследования Avast, охватившего 11 млн роутеров по всему миру, 60% из них имеют уязвимые пароли или ПО (в России – 97%). Причина в том, что большинство пользователей не выбирают роутер самостоятельно, а получают от оператора связи: он воспринимается не как самостоятельный гаджет, а как необходимая для получения услуги «коробка». Операторы же ради экономии поставляют самые простые модели без специальных решений по безопасности.
Что же делает уязвимыми умные устройства? Первая проблема лежит на поверхности: недостаточно строгая аутентификация (проверка подлинности). Большинство IoT-устройств поставляются с простейшим паролем (вроде «логин – admin, пароль – 1234») или вообще без него. Причем пароль не отличается для каждого экземпляра техники, а фиксирован для конкретной модели или вообще для всей продукции бренда. Достаточно подобрать его однажды, и злоумышленнику открывается доступ в любую сеть, где установлен такой девайс.
Следующая проблема связана с обменом данными внутри сети. Как правило, они передаются в незашифрованном виде, с использованием устаревших протоколов (Telnet, FTP). Такую сеть можно уподобить кокосу: его защищает твердая скорлупа, но, если удалось проделать в ней брешь, внутреннее содержимое становится доступным без ограничений. Так и злоумышленник, «вторгшись» в одно IoT-устройство, может «гулять» по сети как угодно.
Предположим, умный дом состоит из 100 устройств: 99 из них надежны, и только одно уязвимо. Это ничуть не уменьшает проблему: безопасность всей сети остается на уровне самого слабого звена. Роль входного шлюза может сыграть нехитрое устройство вроде микроволновки, которое само по себе не представляет интереса для хакеров, но позволяет добраться до смартфона или компьютера.
«Стандартная человеческая ошибка – слепое доверие технологиям. Не важно, касается это IoT или другого устройства», – говорит Екатерина Рудая. Но именно безалаберность пользователей часто позволяет злоумышленникам получить контроль над умными вещами. Люди в принципе не готовы к восприятию опасностей интернета вещей, подтверждает эту мысль исследователь IoT-угроз Avast Software Владислав Илюшин.
Мы привыкли, что «мой дом – моя крепость», и сама мысль о том, что угроза может исходить буквально из каждого утюга, неприемлема. Проблема в том, что умные устройства становятся стандартом на рынке, рассуждает эксперт. Одно дело, если бы продавались обычные микроволновки для всех и небольшой процент умных для тех, кто намерен создать по-настоящему хай-тек жилище и готов разбираться в паролях и обновлениях. Но все больше производителей стремятся оснастить технику умным функционалом на всякий случай, в качестве маркетинговой «фишки». В результате доля умных устройств в продаже растет, и многие покупают их, не понимая новые функции и, по большому счету, не нуждаясь в них.
«Человек идет в магазин за очередной техникой, видит устройства с возможностью подключения и решает: почему бы не попробовать, – говорит собеседник. – Принес домой, включил в розетку – готово. Но отношение к таким вещам остается прежним: для нас это по-прежнему микроволновки, кофемашины, кондиционеры. А на самом деле это уже компьютерная сеть. И если компьютеры мы привыкли настраивать и оберегать, то здесь вся конфигурация работает по умолчанию».
По данным Avast, 69% домашних устройств в России уязвимы из-за слабых реквизитов доступа, более 30% – из-за отсутствия обновлений безопасности. Как показывают исследования Positive Technologies и «Лаборатории Касперского», достаточно знать всего пять простых паролей, чтобы взломать 10% всех IoT-устройств в онлайне. А 15% всех владельцев умных устройств никогда пароли не меняли. Поэтому советы специалистов тривиальны: меняйте фабричные пароли на собственные, уникальные для каждого устройства (идеальный вариант – двухфакторная аутентификация, то есть подтверждение входа по СМС), а также обновляйте ПО девайсов.
Но в реальности большинство пользователей не то что не меняют пароли, а даже не задумываются о существовании в умной технике меню администратора с такими опциями. «Предположим, вы купили веб-камеру. К ней прилагается толстенная инструкция на сотню страниц. И где-нибудь на 86‑й странице написано, как сменить пароль. Будете ли вы это искать? Разумеется, никто этим не занимается», – сетует Владислав Илюшин.
Цифровой Франкенштейн
«Феномен интернета вещей еще и в том, что это был один большой стартап», – говорит руководитель группы исследования уязвимостей систем промышленной автоматизации и интернета вещей Kaspersky Lab ICS CE Владимир Дащенко. Очень многие стартап-компании производят действительно уникальные, феноменальные решения. Но любую свою технологию они стараются как можно быстрее презентовать миру. Вопросы безопасности уходят на второй план, если не на третий.
Всего в мире около 14 тыс. производителей умных устройств (данные Avast). Большинство из них не имеют опыта в IT-сфере и даже структурно относятся не к ней, а к commodity-рынку массовой техники. Заметив новое направление в продажах, такие бренды просто решают добавить в свои устройства компьютерный чип и Wi-Fi антенну.
Снизить издержки производства и цену товара, сократить время выхода на рынок – таковы их насущные задачи в конкурентной борьбе. Инвестировать же в антивирусное ПО мало кому интересно: по данным Gemalto, затраты на него не превышают 11% IoT-бюджета производителей. Показательно, что обновления софта для IoT-устройств выходят раз в несколько месяцев, давая хакерам массу времени подобрать «отмычку».
В результате 40% умных домов в мире имеют хотя бы одно уязвимое устройство (исследование Avast и Стэнфордского университета). Наиболее опасны принтеры, которые, по иронии судьбы, нужны своим хозяевам все реже (33% домов), роутеры (29%) и веб-камеры (21%). В России подхватить угрозу рискуют владельцы умных телевизоров (46%), принтеров (15%), веб-камер (11%) и медиаплееров (9%).
Итог конкурентной борьбы производителей выглядит печально. «На практике такие устройства нередко сродни монстру Франкенштейна, собранному из различных готовых кусочков, которые уже массово представлены на рынке, – говорит Павел Новиков. – Каждое из них в отдельности может иметь свои проблемы с точки зрения защищенности и требует проверки». Проверка каждого элемента и всего решения в комплексе и устранение проблем – дело, требующее существенных ресурсных и финансовых затрат, рассуждает эксперт. На практике же мало кто из производителей в принципе об этом задумывается.
Статистика в данном случае весьма показательна: в среднем ежемесячно в домашних сетевых устройствах обнаруживается около 10 уязвимостей. «Многие серьезные уязвимости остаются без обновлений, – констатирует собеседник. – Например, в 87% систем, протестированных нами в 2017 году, были найдены уязвимости, связанные с отсутствием обновлений. За 2018 год ситуация практически не изменилась».
Если бы затраты на безопасность продукта закладывались в самом начале, на стадии презентации проекта инвесторам, то это означало бы увеличение вложений всего лишь на 5–10%. «Правда, прогресс в безопасности таких вещей есть, – констатирует Владимир Дащенко, но вместе с тем признает: – Мы регулярно проводим исследования, в том числе умных домов. Я в ближайшее время себе умный дом строить не буду».
Время яростных атак
Однако в мире интернета вещей доля умных домов относительно невелика – всего 14%. А 26% – это умные города, 24% – индустриальный IoT (IIoT). Это заводы, connected health (от медицинского оборудования для сложных хирургических операций до носимых умных вещей типа кардиостимуляторов), умный город и транспортная система. Тут все гораздо серьезнее. «Во всех этих местах исследователи обнаружили уязвимости, – говорит технический директор Qrator Labs Артем Гавриченков. – Они используются для исследования инфраструктуры, индустриального шпионажа, таргетированных атак и ограничения доступа (атака на сферу обслуживания)».
Именно в этом секторе наиболее распространены DDoS-атаки. Как правило, новые типы таких атак появляются раз в год. Но в прошлом году тенденция изменилась – обновление произошло дважды. «В феврале–марте произошли самые знаменитые и разрушительные в истории человечества атаки, скорость которых достигала 1,7 Тб/сек., – рассказывает эксперт. – Одна из таких атак была организована на американского интернет-провайдера. По моим представлениям, это больше, чем суммарная внешняя емкость всех интернет-провайдеров, например, стран Кавказа».
Второе обновление произошло в начале декабря прошлого года, когда была совершена DDoS-атака с использованием протокола CoAP, мощность которой составила 320 Гб/сек. Как пояснил собеседник, CoAP – это протокол, по дизайну схожий с HTTP и популярный для устройств индустриального IoT. В данном случае речь шла об атаке на большой объем уязвимых устройств китайского производства, которые организовывали Wi-Fi сеть на основе блокчейна. Особенность этой атаки, говорит он, в том, что тут «впервые встретились в одном предложении DDos, интернет и блокчейн».
В целом, по данным Qrator Labs, в прошлом году наблюдался практически линейный рост всех основных показателей, связанных с DDoS-атаками. Увеличилось число примитивных атак (оно выросло на 25%), а также количество «объемных» атак (тех, что появляются в новостных заголовках, измеряемые в Тб и Гб). Выросла и максимальная длительность одной атаки. Теперь она составляет 800 дней. «А это в основном таргетированные атаки – атаки, которые никогда не прекращаются», – резюмировал эксперт.
В переводе на юзерский сленг это будет звучать так: злоумышленники способны внести правки в технологический процесс, подменить какие-то параметры – остановить его, запустить заново. На примере гипотетического ЧП на заводе по производству алюминия Владимир Дащенко рассказывает о возможных последствиях. Сам по себе завод – это куча электроэнергии и алюминиевые ванны. Одна алюминиевая ванна стоит от $1 млн до $10 млн. На одном заводе может быть тысяча таких ванн. Они все работают на одних и тех же протоколах. И если существует уязвимость на одном из этапов технологического процесса производства алюминия, то она может быть использована злоумышленниками как на одной ванне, так и на всех остальных. Алюминий производится при температуре 950 градусов. Если она упадет до 300 градусов, то мы получим алюминиевый кирпич, а ванну придется выкинуть с завода. Покупка новой обойдется в круглую сумму.
«К сожалению, такие уязвимости существуют, и это довольно серьезно, – сетует эксперт. – Их использование может нанести колоссальный удар по бизнесу. А некоторые атаки на автоматические системы управления техническими процессами (АСУ ТП) могут привести к экологическим последствиям и человеческим жертвам».
Одним из самых ярких ЧП стал блэкаут на Украине в конце декабря 2015 года. Хакеры умудрились дистанционно отключить подачу электричества на «Прикарпатьеоблэнерго». Это пример атаки на противоаварийную защиту (ПАЗ), которая есть на всех системах промышленной автоматизации. Если происходит аварийная ситуация, объясняет Владимир Дащенко, ПАЗ быстро ее разруливают – либо аккуратно завершают технологический процесс с минимальными потерями, либо переключают его на резервные мощности.
Например, когда на нефтеперерабатывающем заводе срабатывает противоаварийная защита, технологический процесс в трубах завершается, и всё, что есть в этих трубах, сливается в специальные емкости. «Это потери, но потери меньшие, чем были бы, если ПАЗ не сработала, – говорит эксперт. – То есть всегда есть компенсирующий механизм, который должен защитить от катастрофы. Но существуют уязвимости, которые позволяют вывести из строя саму противоаварийную защиту. Потенциальная атака таким образом может быть совершена и на технологический процесс, и на ПАЗ».
Но по факту в индустриальном IoT те же проблемы беспечных юзеров и производителей. Не все вендоры (производители софта, «железа») достигли такого уровня зрелости, чтобы работать с уязвимостями и принимать информацию о них. «Часто, когда мы рассказываем производителям об уязвимостях и просим их устранить, наталкиваемся на пять стадий: гнев, отрицание, торг, депрессия и только потом принятие, – делится опытом общения с вендорами эксперт. – После этого вендор устраняет уязвимость. Некоторые вендоры реагируют так: если я это проигнорирую, может, оно само как-то устранится? Но так не бывает».
Но и пользователи хороши. «Мы видели очень много примеров, когда люди от скуки уходили в интернет, подключали к нему промышленные компьютеры посменно работающих операторов, – перечисляет их развлечения собеседник. – Мы видели пример, когда сотрудники предприятия сделали плохую, но при этом отвратительно смешную штуку: связали два локальных сервера сетью и ночами играли в Counter-Strike цех на цех. Это человеческий фактор».
Защищайтесь!
Интернет растет, и рост атак идет вслед за ним. «Развитие современных технологий не решает сложившейся проблемы, а только создает новые. Интернет вещей – яркий пример этого», – резюмирует Артем Гавриченков.
Беспроводных сетей и других технологий для IoT огромное количество. От созданного в конце 90‑х Bluetooth для девайсов, находящихся рядом с человеком, до суперскоростного 5G интернет-протокола. Но на 100% безопасным не является ни одно из них, недостатки есть в каждом, констатирует Павел Новиков. «И даже если радиоэфир 5G имеет очень хорошую степень защиты, то о мобильных операторах такого не скажешь, у них проблем с безопасностью еще немало, – говорит он. – Кроме того, для IoT часто используется протокол GSM, а его защищенным назвать нельзя».
При этом безопасность IoT – это не только безопасность самих устройств. Большинство пользователей уверены, что это безопасность «железа», конкретных устройств, рассуждает эксперт. Но для специалистов это звучит смешно. «На самом деле это и безопасность технологий подключения в облачную платформу, и безопасность самой облачной платформы, и безопасность хранилищ данных, аналитических платформ, операционных систем, сервисов», – добавляет эксперт и заключает: всё это – безопасность IoT, а она должна быть всесторонней.
Эксперты отмечают, что текущий год исключением не стал, рост числа скомпрометированных устройств интернета вещей продолжился, и эта тенденция сохранится из-за традиционно низкого уровня их защищенности. Кроме того, добавляет Павел Новиков, в мире существует множество так называемых end-of-life устройств, производство которых завершено, вендор прекратил выпуск обновлений ПО, а значит, и уязвимости в них никогда не будут закрыты. Число таких устройств растет, и злоумышленники все чаще их атакуют. «Если несколько лет назад ошибки в роутерах практически не эксплуатировали, то с появлением ботнетов‑миллионников роутеры для хакеров стали популярными и монетизируемыми устройствами», – говорит эксперт.
Но проблема уже вышла на государственный уровень. Так, в Великобритании выпустили руководство по обеспечению защиты IoT от распространенных кибератак, а в штате Калифорния вышел закон, обязывающий производителей устройств, подключаемых к интернету, обеспечивать дополнительные меры защиты, предотвращающие возможность несанкционированного доступа, модификации или утечки данных.
Прогресс не остановить – фактор безопасности не станет тормозом для новой технологии, уверен и Владислав Илюшин. Другое дело, что с каждым годом отчетливее будет звучать запрос на выработку стандартов безопасности, которые обуздали бы дикое развитие рынка. Эксперты надеются, что в первую очередь это будет естественный конкурентный механизм: производителям придется реагировать на требования общественности, беря на себя ответственность за защиту устройств. Это значит, что их во многом придется «перепридумать», закладывая решения по безопасности на архитектурном уровне. И бренды, которые сделают это раньше других, выиграют во время грядущего передела рынка.