Действительность IoT: интеллектуальные незащищенные устройства

http://www.pcweek.ru/themes/detail.php?ID=182443

Прежде чем вы соберетесь приобрести что-то из категории Интернета вещей (IoT) — термостат, камеру, устройство, которое может удаленно получать доступ в Интернет или управляться через Интернет, подумайте, можете ли вы в действительности обеспечить ее безопасность. Не создаст ли ваше приобретение новых дыр в вашей сети, не появятся ли новые критические места в безопасности, порожденные поставщиком оборудования.

В апреле 2014 г. исследователи Cisco предупредили поставщика подключаемых к Интернету термостатов компанию HVAC Trane о трех критических уязвимостях в их изделии ComfortLink II. Тогда HVAC Trane не отреагировала на запросы Cisco.

Было обнаружено, что уязвимость позволяет атакующим получить удаленный доступ к устройствам и через них — к остальной сети пользователя. Но самая большая проблема состояла в том, что термостаты ComfortLink посталялись с учетными данными, среди которых неизменяемые пароли, записанные в оборудовании. По умолчанию эти учетные записи могут использоваться, чтобы удаленно войти в систему по протоколу SSH.

Две другие ошибки позволяли атакующим установить свое вредоносное ПО на устройствах Trane.

Прошло почти два года, прежде чем Trane 26 января исправила наиболее серьезный из дефектов (прописанные учетные данные). По данным Cisco, еще две ошибки были исправлены в мае 2015 г. Однако клиенты не получили данных о необходимости исправления прошивок.

Увы, но скрытые учетные записи и небезопасные значения параметров по умолчанию — весьма обычное явление для устройств IoT. К тому же стоит учесть, что исправление уязвимостей таких устройств может быть весьма сложным, а то и просто невозможным для среднего пользователя.

Автор статьи — Microsoft Security Trusted Advisor.

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: