Этим небезопасным вещам нужен закон

Директор учебного центра "СёрчИнформ" Алексей Дрозд собрал коллекцию из страшных и комичных инцидентов с участием интернета вещей и оценил ситуацию с законами, которыми уже пора урегулировать проблему. 

Вместе с облачными технологиями, Big Data, майнингом и прочими блокчейнами в словарь современного человека ворвался "интернет вещей" (IoT - Internet of Things). И хоть по отдельности каждое слово не представляет проблем, вместе они образуют нечто, что даже маститые аналитики не в силах объяснить.

Именно так. Несмотря на общее употребление единого общепринятого объяснения, что же за зверь этот "интернет вещей", нет. IDC говорит одно, Gartner - другое. А что же люди? По большей части им все равно, лишь бы "удобно и работало". Вот только удобство и безопасность, как правило, являются взаимоисключающими свойствами. Под IoT часто подразумеваются те или иные умные гаджеты. Благо "умным" сейчас может быть что угодно, даже унитаз. Но что насчет безопасности? Об этом и поговорим.

Слышу звон, но не знаю, где он

Буквально пять лет назад инциденты еще не носили массовый характер и больше напоминали случайные хулиганские выходки психически неуравновешенных людей. Да и происходили "где-то там". К примеру, в Кентукки, где к видеоняне ночью подключился неизвестный и попытался криками разбудить спящего младенца. После того как отец семейства вбежал в детскую комнату и появился перед камерой устройства, злоумышленник принялся оскорблять его и продолжал до тех пор, пока гаджет не был отключен от Сети.

Однако с ростом количества устройств рос и интерес к ним со стороны криминальных элементов. К примеру, принтеры периодически используются для "громких и массовых" заявлений. Так, 24 марта 2016 года Эндрю Ауэрнхаймер произвел атаку на несколько тысяч подключенных к интернету принтеров, находящихся на территории США и Австралии. Уязвимые устройства хакер нашел, воспользовавшись поисковиком Shodan и сканером masscan (сервисы для поиска компьютеров и других устройств, подключенных к Интернету): на всех принтерах был открыт порт 9100. Составив список уязвимых устройств, Ауэрнхаймер заставил машины печатать антисемитские листовки, рекламирующие националистический сайт.

Эксперименты Эндрю находят поклонников, пусть и не таких радикальных, и по сей день. В конце ноября 2018 года один из фанатов YouTube-блогера PewDiePie совершил аналогичную атаку на принтеры, отправив на печать листовки с призывом поддержать кумира.

Наконец, нельзя обойти стороной нашумевшие дела ботнета Mirai. Широкой публике он стал известен в 2016 году после беспрецедентных по мощности DDoS-атак. Однако примечательна была не столько интенсивность атак (достигавшая 620 Гб/с), сколько тот факт, что ботнет состоял из IoT-устройств (видеорегистраторов, камер видеонаблюдения и т.п.).

Следят за всеми, а не только за мной

Будем откровенны, описанные выше случаи не слишком "цепляют" обывателя, ведь что-то плохое произошло не с ним лично. Да, принтер напечатал бумажку, но ведь это офисный, не домашний. И видеокамеры для домашнего наблюдения не у каждого установлены.

То ли дело фитнес-трекер. ЗОЖ все еще в моде, моделей браслетов - завались. Да и стоят посильно. Надо брать. И многие взяли. А дальше по известному сценарию… Началось с фитнес-приложения Strava, выдававшего любому заинтересованному данные о пользователях, в том числе служащих секретных военных баз. Удивительно, что производителей ничему не учат истории, произошедшие с "коллегами по цеху", и в приложении Polar Flow можно было узнать еще больше данных, чем в случае со Strava.

Если вас не трогает приватность солдат и спортсменов, то как насчет детей? Желание обезопасить их - закономерно и естественно. Вот и один российский энтузиаст решил пойти по пути современных технологий, приобретя профильный гаджет - детские смарт-часы, и обнаружил, что обратная сторона безопасности ребенка… тотальная небезопасность. Потому что получить информацию о владельце гаджета мог кто угодно. А с ней в довесок - информацию о ребенке: его имя, дату рождения, рост, вес, номер телефона, email родителей, фото ребенка, историю перемещений в GPS-координатах.

Примеры можно приводить еще долго. Обидно, что, покупая гаджеты, большинство пользователей испытывают ложное чувство защищенности, иллюзию безопасности.

Кто виноват?

Хотелось бы всю вину свалить на кого-то другого. На рекламщиков, алчных производителей, хакеров и т.д. Но это лишь половина правды. Потребители тоже виноваты.

Люди виноваты в том, что относятся к вопросу халатно. В описанных случаях с видеоняней пользователи либо вовсе не меняли заводской пароль (admin), либо устанавливали откровенно слабый (0000, 1234). С принтерами аналогично - не был закрыт уязвимый порт.

Кроме того, пользователи слишком доверчивы. Даже если производитель заявляет, что он позаботился о безопасности, это не повод верить ему без оглядки. Вспомните детские смарт-часы.

Вина производителей в том, что решают проблемы безопасности по остаточному принципу. Пароли, которые стоят на устройствах по умолчанию, слабые или очевидные. Даже когда производителям буквально пальцем указывают на проблемы с безопасностью, не торопятся их исправлять, а если и берутся - выпускают обновления только для новых версий. Тем самым пользователей подталкивают к дополнительным покупкам.

А еще виноваты регуляторы. Потому что именно они реально могут сдвинуть дело с мертвой точки.

Какие перспективы

Бардак в отрасли подталкивает регуляторов к разработке законов, призванных упорядочить как процесс производства, так и сбор данных и их дальнейшую монетизацию. Задача грандиозная и амбициозная, поэтому решено двигаться маленькими шагами. Так, под конец 2018 года в Калифорнии приняли закон SB-327 о безопасности IoT-устройств, который вступит в силу 1 января 2020-го. Внутри у закона все лаконично. Каждый производитель IoT-устройств должен будет снабдить свои гаджеты "надлежащими средствами защиты". Степень защиты зависит от функции устройства и информации, которую оно использует и передает.

В законе не сказано, что имеется в виду под "надлежащей защитой", однако прописаны требования к механизмам аутентификации. Если подключенное устройство имеет выход в интернет, то его система аутентификации должна удовлетворять одному из двух критериев. Первый - производитель сам создает уникальные комбинации логина и пароля для каждого отдельного устройства. Второй - разработчик обязывает покупателя изменить стандартные заводские данные для входа при первом использовании техники.

Что ж, как говорится, это лучше, чем ничего.

Британцы пошли дальше и выпустили более продвинутое руководство. Документ предназначен для производителей устройств интернета вещей (IoT) потребительского класса, таких как умные дверные замки, системы сигнализации, камеры видеонаблюдения, игрушки и т.д. Руководство описывает 13 отдельных мер, которые позволят производителям обезопасить свои продукты.

Помимо прочего, авторы документа рекомендуют производителям обеспечить надежное хранение пользовательских данных, регулярно выпускать обновления ПО, требовать от пользователей установки надежных паролей, упростить для пользователей процесс удаления данных и сброса настроек устройств, принять политику раскрытия уязвимостей и пр.

Жаль только, что это лишь рекомендации, а не требования.

Что до обычных потребителей, то пока им придется либо смириться с утечкой всего и вся неизвестно куда. Либо попробовать отключить некоторые функции и пользоваться "урезанной" версией устройства. Либо вовсе отказаться от гаджета.