Новости / июнь 2019
Рубрики: Информационная безопасность

Миллионы IoT-устройств беззащитны

Анастасия Самсонова
© ComNews
21.06.2019

Согласно исследованию Стэнфордского университета и компании Avast, в среднем 40% домохозяйств по всему миру обладают хотя бы одним умным устройством. При этом миллионы устройств, 7% от общего количества, уязвимы из-за устаревших протоколов, таких как FTP и Telnet.

По данным исследования, всего в мире существует более 14 тыс. производителей IoT-устройств, и 100 из них производят 94% всех решений. Также исследователи выявили, что в Северной Америке количество домохозяйств, в которых есть хотя бы одно умное устройство, значительно выше, чем в остальных странах, и составляет 66%.

"Ключевым выводом этого исследования является то, что 94% домашних устройств интернета вещей изготавливают менее чем 100 компаний", - утверждает глава департамента искусственного интеллекта Avast Раджарши Гупта.

Как сообщает пресс-служба Avast, исследование стало самым масштабным за всю историю существования IoT-устройств. Avast отсканировал 83 млн устройств интернета вещей в 16 млн домов, чтобы понять, насколько устройства IoT безопасны у разных производителей. Результаты проверила и проанализировала исследовательская группа Стэнфордского университета.

"Сообщество специалистов по кибербезопасности уже давно обсуждает проблемы, связанные с IoT-устройствами, - говорит доцент кафедры информатики Стэнфордского университета Закир Дюрумерик. - К сожалению, эти устройства скрыты за домашними роутерами, и у нас мало сведений о типах умных устройств в домохозяйствах". Но, по словам специалиста, исследование раскрывает сложную картину экосистемы интернета вещей и проблемы кибербезопасности в домах по всему миру.

Так, экспертам удалось выяснить, что 15% домашних роутеров, которые выполняют роль шлюза в домашнюю сеть, используют устаревшие протоколы. Когда роутер обладает слабыми учетными данными, он может открыть для атаки другие умные домашние устройства.

Глава представительства компании Avast в России и СНГ Алексей Федоров рассказал в беседе с ComNews, что, согласно исследованию Avast Smart Home Security Report 2019, 44% домов в России, которые подключены к домашней сети, имеют как минимум одно уязвимое устройство.

"В 20% домов в России есть более пяти подключенных устройств. Самые уязвимые, безусловно, роутеры - таких в нашей стране 97%. Причина в основном в недостаточно сложных паролях и однофакторной аутентификации", - сказал Алексей Федоров.

По данным представительства компании Avast в России и СНГ, рейтинг самых уязвимых устройств в России выглядит так: телевизоры - 46%, принтеры - 15%, камеры видеонаблюдения - 11%, медиаплееры - 9% и планшеты - 8%.

Как объясняет Алексей Федоров, в сфере безопасности интернета вещей существует два ключевых игрока - это операторы связи и поставщики ИБ-решений.

Как считает Алексей Федоров, интернет-провайдеры должны заниматься вопросом безопасности, поскольку обычно именно они предоставляют роутер и подключение к Сети, передают пользовательские данные и обеспечивают подключение устройств. "Поставщики решений в сфере информационной безопасности в свою очередь могут анализировать потоки данных в Сети и обеспечивать защиту в реальном времени", - полагает он.

Алексей Федоров уверен, что государство тоже может влиять на ситуацию. "Но тут проблема в том, что технологии развиваются слишком стремительно и маловероятно, что законодательство будет успевать за изменениями", - предположил он.

Руководитель группы исследования уязвимостей систем промышленной автоматизации и интернета вещей Kaspersky Lab ICS CERT Владимир Дащенко рассказывает, что большинство разработчиков концентрируются на функционале устройств, а вопрос безопасности решают при завершении разработки либо не решают вовсе.

"В результате мы сталкиваемся с ситуацией, когда во множестве подобных устройств можно обнаружить серьезные уязвимости. Бывает и так, что производители чрезмерно увлекаются использованием технологий с открытым исходным кодом, не проверяя его безопасность. Такой подход потенциально создает еще большую проблему для пользователей умных устройств", - говорит Владимир Дащенко. 

По его наблюдениям, количество кибератак, нацеленных на устройства интернета вещей, с каждым годом растет. "За первую половину 2018 г. мы обнаружили в три раза больше образцов вредоносного ПО, атакующего умные устройства, чем за весь 2017 г. А в 2017 г. их было в 10 раз больше, чем в 2016 г. Очень часто зараженные устройства применяются для DDoS-атак и добычи криптовалют. Злоумышленники также могут использовать уязвимости IoT-девайсов для проникновения в домашние сети или сети организаций", - сказал эксперт Kaspersky Lab.

Как уточняет пресс-секретарь компании "Доктор Веб" Максим Якушев, проблемы, как правило, возникают не в протоколах, а в их реализации. В наличии уязвимостей, которые нужно закрывать обновлениями. "Если все IoT-устройства объединить в рамках условного контролирующего безопасность центра, то с обновлениями проблем не будет. Но такое никогда не произойдет, так как это идет вразрез с принципами права. Ни один правозащитник такого не допустит. И будет прав", - полагает Максим Якушев.

По его словам, проблему уязвимостей IoT-устройств должны решать вендоры и пользователи. Последним не стоит игнорировать необходимые обновления.   

Власти Великобритании уже выпустили руководство по обеспечению защиты IoT от распространенных кибератак. В штате Калифорния вышел закон, который обязывает производителей устройств, подключаемых к интернету, предусмотреть меры защиты от несанкционированного доступа, изменения или утечки данных. Тем не менее, как утверждает руководитель группы исследований безопасности телекоммуникационных систем Positive Technologies Павел Новиков, в 2019 г. прогнозируется продолжение роста скомпрометированных IoT-устройств из-за низкого уровня их защищенности. 

По данным Positive Technologies, в I квартале 2019 г. доля атак на IoT-устройства составила 2% от общего количества атак. "В мире существует множество так называемых end-of-life-устройств, производство которых завершено, вендор прекратил выпуск обновлений ПО, а значит, и уязвимости в них никогда не будут закрыты", - предупреждает Павел Новиков.

По его словам, количество устройств, которые никем не поддерживаются, год от года растет. "Злоумышленники начинают атаковать их все чаще. И если несколько лет назад ошибками в роутерах они практически не пользовались, с появлением ботнетов-миллионников роутеры для хакеров стали популярными монетизируемыми устройствами. А получив контроль над роутером, кибермошенники могут успешно атаковать подключенные к нему ПК и IoT-устройства", - обращает внимание Павел Новиков.

По словам руководителя отдела Pre-Sale Group-IB Станислава Фесенко, незащищенность IoT в России, как и во всем мире, - опасная тенденция. "В связи с бурным ростом количества IoT-устройств в частном и даже в промышленном сегментах особенно опасны массовые сбои в их работе. Причин низкой защищенности от информационных атак несколько. Это и отсутствие единого стандарта в части протоколов передачи данных. Отсутствие стандартов шифрования для передачи данных IoT-устройств от разных производителей. Зачастую его и вовсе нет. Недостаточная защищенность командных центров управления IoT", - перечислил Станислав Фесенко.

Специалист считает, что в случае с Industrial IoT (IIoT) сбои в работе устройств могут привести к нарушениям технологических процессов в нефтегазовой, электроэнергетической, транспортной, промышленной и других отраслях, в том числе и к частичному перехвату контроля над предприятиями со стороны третьих лиц.

"Последствия предсказать сложно, воздействие может быть вызвано как проправительственными кибергруппировками, так и представлять собой результаты заказной работы конкурирующих крупных организаций. Также остановка производства отдельных предприятий - эффективный способ влияния на фондовый рынок. Если говорить о ТЭК, то атаки на системы автоматизации здесь опасны техногенными катастрофами и каскадными отключениями электроснабжения. То есть пострадать могут целые регионы", - говорит Станислав Фесенко.

По его мнению, решить проблемы может стандартизация. Необходимо регулирование как со стороны органов власти, так и со стороны международного сообщества, производителей IoT-устройств. "Нужны понятные и регламентированные надежные механизмы защиты передаваемых данных, авторизации. Можно использовать позитивный опыт развития безопасности в технологиях Wi-Fi и GSM. Пожалуй, необходимо создать независимую некоммерческую международную организацию, которая займется этими вопросами и включит в состав представителей всех направлений", - подытожил Станислав Фесенко.