Выживание в мире IoT: риски “умных” домашних устройств

http://www.pcweek.ru/security/article/detail.php?ID=179701

Исследователи Kaspersky Lab обнаружили серьезные угрозы «умному» дому. Еще в 2014 г. специалист этой компании Дэвид Джейкоби провел исследование домашних устройств на предмет устойчивости к кибератакам, в ходе которого обнаружил, что все они уязвимы. В 2015-м команда экспертов решила проверить, а что же изменилось. Был проведен повторный эксперимент с одним различием. Если Джейкоби главным образом ориентировался на присоединенные к сети серверы, маршрутизаторы и смарт-телевизоры, то теперь исследователи сфокусировались на различных «умных» устройствах, доступных на рынке. В результате выяснилось, что практически все такие устройства уязвимы.

Камера радионяни, используемая в эксперименте, позволяла взломавшему устройство атакующему смотреть и слушать происходящее в помещении. Другие камеры того же поставщика позволяли собирать пароли владельцев, получать пароль для изменения настроек камеры и даже изменять встроенное ПО.

В ходе исследований было обнаружено что «умная» кофеварка отправляла незашифрованную информацию, что позволило выявить пароль для всей домашней беспроводной сети.

При исследовании управляемой смартфоном домашней системы обеспечения безопасности оказалось, что соответствующее ПО достаточно безопасно, но уязвимость была найдена в одном из управляемых датчиков.

Датчик контакта, разработанный для подачи аварийного сигнала при открывании двери или окна, срабатывал, обнаруживая поле магнита, смонтированного на двери или окне. Во время эксперимента исследователи применили простой магнит, чтобы изменить магнитное поле на окне или двери, что позволило открыть окно или дверь без подачи аварийного сигнала. Увы, но данная уязвимость не может быть решена с помощью обновления, так как она заложена в самом проекте системы безопасности. Стоит учесть, что данный принцип является общим для многих домашних систем обеспечения безопасности.

Чтобы помочь потребителям, эксперты Kaspersky Lab советуют:

· Прежде чем покупать устройство IoT, поищите новости об уязвимостях данного устройства.

· Избегайте покупки недавно выпущенных на рынок продуктов.

· При выборе умных систем рассмотрите возможные угрозы безопасности.

Если вы покупаете радионяню, подумайте, а нужна ли вам модель с выходом в Интернет? Может хватит простейшей модели, передающей только аудиосигнал? Зачем вам кофеварка с выходом в Интернет? Хорошенько подумайте!

Ставим дома жучки сами?

http://www.pcweek.ru/security/blog/security/7947.php

Наткнулся на весьма интересную страницу http://redmond.company/ru/lp_smarthome/catalog.php в интернете о продаже умных вещей. Что имеется ввиду?
1. Кофеварка
2. Мультиварка
3. Обогреватель
4. Чайник
5. Утюг…
6. Увлажнитель воздуха
7. Очиститель воздуха
8. Вентилятор
9. Кухонные весы
10. Напольные весы.
Что общего между всеми этими бытовыми приборами?… Ими можно управлять со смартфона из любой точки мира. Утюгом. Со смартфона. По интернету.
Но что на самом деле может произойти? Кто-то задумывается? Боюсь нет. Фактически вы оставляете дома маячки, которые сообщают злоумышленникам дома ли вы или нет. Практически даже без расшифровки сигналов. Ведь нигде в описании нет свидетельства того, что канал (сигнал) шифруется. Длина ключа? Возможность смены ключа по умолчанию? Если ключ по умолчанию один на все устройства, то как?
А как решается проблема обновления прошивки. Для утюга или кофеварки? Без экрана и клавиатуры? И решается ли? Отвечает ли разработчик за безопасность?
Это те вопросы, которые приходят в голову сразу же. А вот ответа на них нет. Вы уверены, что хотите такое устройство? Я – нет!

И снова об IoT

http://www.pcweek.ru/security/blog/security/7938.php

Сейчас можно встретить массу статей о небезопасности IoT. Что это? Страшилки? Горькая правда? А главное –что дальше?
На вопрос что это такое, могу ответить – да это и страшилки и одновременно правда. А вот что делать дальше – неизвестно. Почему?
Да потому что прежде всего нужно ответить, для кого важна безопасность IoT? И кто применяет эти устройства?
IoT сегодня чаще всего это рынок все же персональных устройств. Мне могут возразить, мол, а как же медицина? А сколько вы видели медицинских центров, оборудованных подобными устройствами? Много? Нет! А раз так – значит пока это не проблема. Да и пробиться к такому устройству нужно либо взломав сетевую защиту, либо имея своего сотрудника внутри. Не так?
Персональные устройства.
Здесь намного сложнее. Почему? Да потому что безопасность персонального пользователя – это не более чем его личные неприятности. Кто сегодня всерьез озабочен персональным пользователем? Никто! Почему? Да потому что перед вами наглядный пример в лице пользователей Android. Уязвимости и зловреды, их использующие появляются часто? Безусловно. А патчи для уязвимостей?
Вот-вот. Гораздо проще выпустить новое устройство и заставить пользователя его купить (это и выгоднее), а патч… Над ним нужно работать. Деньги это принесет? Нет!
Так же будет (и уже есть) с IoT. Кому нужно писать новое ПО? Денег оно не принесет. А в погоне за прибылью, как я уже писал, безопасность всегда будет проигрывать!
Вывод, который можно сделать, весьма прост. IoT это модно, это интересно, а безопасность… Безопасность пока только на уровне разговоров. И не более того! В крайнем случае безопасность IoT вам обеспечивает ваш домашний роутер. И не более того. Все остальное – благие намерения.

Интернет Вещей: Остановите, я хочу выйти!

http://www.pcweek.ru/security/blog/security/7937.php

Владимир Безмалый

Интернет вещей (IoT) все чаще и чаще становится темой обсуждений специалистов в области информационной безопасности, ведь если вы не заметили, то наша цифровая жизнь меняется чрезвычайно быстро.

Мировая компьютерная сеть, которую мы называем Интернет, буквально заполняется новыми вещами, которые ранее не использовали ее. Это холодильники, радионяни, телевизоры, чайники автомобили, электролампочки и даже электростанции.

Весь этот получившийся зоопарк и называют Интернетом вещей (IoT) и это открывает массу новых возможностей как потребителям и корпорациям, так злоумышленникам и преступникам.

Миссия Internet of Things Security Foundation https://iotsecurityfoundation.org/ заключается в том, чтобы сделать IoT безопасным. Ведь сегодня можно заявить, что результатом внедрения IoT наряду с существенными удобствами стают страхи и беспокойство по поводу систем безопасности IoT.

Появление IoT сопровождается потоком историй об исследователях в области безопасности и злоумышленниках, доказывающих крайне низкий уровень безопасности.

Исследование НР от 2014 года показало, что семь из десяти устройств, поддерживавших соединение с Интернетом, уязвимы для некоторых атак, и протестированные устройства оставляли в среднем 25 различных способов осуществления атаки на гаджет.

Мы с вами можем убедиться, что что-то идет не так, как следует, если внимательно посмотрим на Открытый проект безопасности веб-приложений (Open Web Application Security Project — OWASP) и его список десяти наиболее часто используемых уязвимостей IoT, включающий:

• Небезопасный веб-интерфейс
• Недостаточно надёжная аутентификация/авторизация
• Небезопасные сетевые службы
• Нехватка надёжности транспортного шифрования
• Проблемы конфиденциальности
• Небезопасный облачный интерфейс
• Небезопасный мобильный интерфейс
• Недостаточная конфигурируемость безопасности
• Небезопасное программное обеспечение/Встроенное микропрограммное обеспечение
• Плохая физическая безопасность

Вывод, который можно сделать из этого – под оболочной IoT все еще находится интернет компьютеров. Несмотря на то что они встроены в холодильники и термостаты, но это все еще совокупность аппаратных и программных средств, портов и интерфейсов.

Главное – можно отметить что подобный путь от стандартных ПК к сети, Wi-Fi и смартфонам прошли приблизительно подобную историю.

Безусловно плохо, если ваш ноутбук или смартфон находится под угрозой, но потенциальные последствия потери контроля над вашими камерами, системами центрального отопления или автомобилями могут быть куда страшнее.

Фактически основной проблемой IoT является необходимость помещения безопасности в основную часть проекта. Потребители не будут соединять устройство с Интернетом если не будут уверены в его безопасности.

Таким образом, основной потребностью как для потребителей, так и для разработчиков является необходимость думать о последствиях применения таких устройств.

Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.

Интернет вещей: пересмотр понятий конфиденциальности

http://www.pcweek.ru/themes/detail.php?ID=178936

Пока трудно себе представить мир, в котором Интернет вещей (IoT) является нашим обычным средством общения, когда наше взаимодействие с вещами вокруг нас будет столь сильно встроено в нашу жизнь. И этим вещам известно как мы живем, как общаемся, с кем. Представьте себе, что эти устройства стали естественными и нормальными, как одежда, которую мы носим, или управление автомобилем, когда мы едем на работу или на отдых.

Как только IoT станет обычным способом взаимодействия, тогда свод правил для обеспечения конфиденциальности будет неминуемо переосмыслен.

Сегодня становится все сложнее разъединиться друг от друга и отделиться от Сети, ведь умные датчики все глубже проникают в инфраструктуру общества и все крепче соединяют нас друг с другом. Как мне кажется, «не быть онлайн» скоро станет своего рода социальным выбором отдельных групп людей.

Все больше устройств IoT становится частью нашей повседневной жизни, получая для нас сообщения, планируя наш день, участвуя в наших покупках, предлагая нам развлечения и обеспечивая наше соединение с другими людьми. Большинство из нас уже не может себе представить жизнь без смартфона и Интернета. Соответственно наши взаимодействия, жесты, взгляды, слова все чаще будут анализироваться устройствами вокруг нас, станут своего рода «данными» для больших аналитических программ. Наша с вами жизнь все чаще будет товаром на продажу крупным рекламно-аналитическим компаниям.

Что это означает для нас? Как мы готовимся к миру, где наша жизнь будет предсказываться, а наша душа будет товаром?

Прежде всего, вы должны решить, какую часть нашей жизни вы готовы открыть? Действительно ли вы готовы согласиться с тем, что кто-то будет анализировать и продавать ваши привычки? Например, привычки просмотра телепередач. Готовы ли вы к тому, что кто-то будет использовать вашу медицинскую информацию? Или знать, какие продукты лежат в вашем холодильнике, как часто вы в него лазите и в какое время?

Фактически фирмы — продавцы сведений будут собирать о вас всю доступную информацию. Все что смогут. А раз датчики станут вездесущими, то зачем им ваше согласие? Они просто будут работать при вашем «неинформированном согласии». Ведь пользователи все чаще и чаще принимают лицензионные соглашения, не читая их вообще. А такие соглашения позволят поставщикам собирать о вас все больше и больше информации, а затем продавать ее. Следовательно, фирма-покупатель сможет сформировать все более полный портрет клиента, портрет гораздо более полный, чем вы сможете себе представить.

Вы готовы? Как потребители мы с вами безусловно должны знать, какая информация собирается о нас программами и устройствами. Но кроме этого мы, как потребители, должны гораздо лучше понимать, какие же сведения можно извлечь из этих данных. Кроме того, нужна будет помощь государства, чтобы определить наиболее «справедливые» методы сбора соответствующих данных.

Без подобного контроля торговля личными данными должна быть запрещена, ведь потребители, а точнее, непосредственно мы, будем выставлять на продажу практически всю нашу частную жизнь.

Как защитить ваши устройства IoT

http://www.pcweek.ru/themes/detail.php?ID=178681

Рассмотрим несколько элементарных подсказок в деле защиты ваших умных устройств.

Проверьте свои пароли

После осуществления установки устройств Интернета вещей (IoT) необходимо в обязательном порядке проверить настройки пароля. Увы, на сегодня далеко не все поставщики позволяют пользователям изменять настройки по умолчанию, но, если это возможно, вы должны в первую очередь сменить пароли по умолчанию. Вы должны найти эти пароли в документации или в Интернете и сразу же сменить их. И не забудьте после этого сохранить новые пароли в надежном месте, используя, например, менеджеры паролей. Не забудьте, что ваши пароли должны быть строгими и уникальными!

Измените настройки безопасности и конфиденциальности

Когда дело доходит до настроек безопасности и конфиденциальности, чаще всего пользователи решают, что займутся этим несколько позже, потом, когда будет время. Увы, на практике такое отношение означает никогда. А значит ваше устройство останется потенциально доступным для злоумышленников.

Уделите совсем немного времени, чтобы изменить настройки вашего устройства, будь то защита паролем, настройка учетных записей пользователей или настройка дистанционного управления.

Используйте методы устойчивого шифрования Wi-Fi

Большинство устройств IoT требуют беспроводного соединения с Интернетом, а значит, вы должны настроить сеть Wi-Fi. Если же вы не защитите должным образом эту сеть, то фактически отдадите ключи от дома злоумышленнику. Одна из лучших опций шифрования и, пожалуй, наиболее оптимальная настройка — использование WPA2. Но вы также должны убедиться, что ваша беспроводная сеть Wi-Fi защищена устойчивым паролем. Если же вы оставите свою сеть без пароля, то ваши соседи не только смогут ею воспользоваться, но и получить доступ к совместно используемым ресурсам, а также обнаружить другие устройства, находящиеся в вашей сети.

Не забудьте регулярно обновлять ваши устройства

Поставщики устройств IoT должны помнить о необходимости регулярного обновления микропрограммного обеспечения. Оно должно быть всегда актуальным, это позволит избежать массы проблем.

Мы уже привыкли к тому, что исследователи постоянно находят уязвимости во встроенном микропрограммном обеспечении устройств IoT. Да, такие атаки будут всегда. Естественно, полностью предотвратить их нельзя. Но обновление прошивок — критический компонент исправления дефектов безопасности раньше, чем их будут использовать злоумышленники.

Всякий раз, когда вы получаете извещение о наличии обновлений, вы должны как можно быстрее их устанавливать.

Проводные или беспроводные соединения?

Не всегда возможно установить проводное соединение, но сеть, соединенная проводами, как правило, безопаснее беспроводной. И если вы можете соединить свои устройства IoT проводами, сделайте это.

Если же вы решили все же использовать Wi-Fi, не пожалейте времени, зафиксируйте в настройках MAC-адреса, которые позволят идентифицировать именно ваши устройства. Это позволит запретить чужим устройствам подключаться к вашей беспроводной сети.

Будьте осторожны, покупая подержанные устройства IoT

Если вы собрались купить подержанное устройство, имейте ввиду, что, возможно, прошивка устройства была изменена злоумышленником, или просто на нем установлена старая прошивка. Не забудьте его перепрошить. Вместе с тем хочу заметить, что лучше вообще не покупать подобные подержанные устройства.

И снова: ПОРА ДУМАТЬ!

http://www.pcweek.ru/security/blog/security/7871.php

Уж сколько лет мы с вами читаем и говорим об одном и том же. «Пользователи – основная угроза информационной безопасности»! А так ли это?
Безусловно – ТАК!
Задумаемся. Новые технологии, новые гаджеты… Обновления бытовой техники идут ежемесячно, если не ежедневно. Пользователи не успевают не то что задуматься о безопасности, даже прочесть инструкцию и то подвиг.
Да ладно если бы это были проблемы пользователей. В конце концов ну уворуют фотографии, ну даже уворуют данные кредитной карты и что? Пострадает пользователь. Да и ладно, это ведь его персональные проблемы, не так ли?
Но с появлением BYOD, IoT персональные проблемы пользователей, увы, становятся корпоративными. Не так ли?
А ведь эти проблемы прежде всего рождены тем, что разработчикам некогда задумываться о безопасности, им нужно побыстрее вывести изделие на рынок. Их можно понять. Потому как для правильной разработки специалисты в области информационной безопасности должны участвовать в разработке проекта с самого начала, с этапа разработки. А ведь это существенно удорожает проект, да и время разработки увеличивается, а за это время кто-то другой выведет аналогичный проект на рынок!
Как быть? Напрашивается простой ответ – пора думать. Давно пора. Но ведь если думать, то проект на рынок выведет кто-то другой?
А может хотя бы крупным компаниям пора вводить для своих пользователей элементарные курсы безопасности? Хотя бы в свете их политик применения BYOD, IoT и просто политик информационной безопасности? Но при этом нужно понимать, что политика должна распространяться на всех! От первого лица в компании до уборщика? А то ведь сегодня мы требуем устойчивые пароли, а для первого лица делаем автоматическую авторизацию со всех устройств, ведь он, бедный, не может запомнить свой пароль?
Запомните, вся ваша безопасности равна безопасности самого слабого звена. А если это VIP-персона? И снова… ПОРА ПОДУМАТЬ!

Медицинские системы с доступом в Интернет открыты для взлома

http://www.pcweek.ru/security/article/detail.php?ID=178204

Сколько критически важных медицинских систем с доступом в Интернете являются уязвимыми и доступными для взлома? Согласно исследованию Скотта Эрвена из консалтинговой фирмы Protiviti, работающей в области безопасности ИТ-систем здравоохранения, и Марка Коллэо, консультанта по безопасности в Neohapsis, — их слишком много.

Эрвен и Коллэо использовали Shodan, поисковую систему для устройств, соединенных с Интернетом, чтобы обнаружить уязвимые медицинские устройства, которые могут быть атакованы злоумышленниками. В ходе поиска было найдено доступное извне оборудование радиологии, анестезии, кардиологии и др. Поиск Shodan обнаружил в том числе неправильно сконфигурированную общедоступную систему, пропускавшую данные всей системы здравоохранения США, включая данные медицинских устройств.

Только в одной распределенной сети больниц США были найдены 68 тыс. уязвимых систем. Среди них 21 система анестезии, 488 кардиологических систем, 133 системы переливания и т. д. Найденные уязвимости в основном связаны с использованием слабых паролей учетных данных администраторов (по умолчанию) и известных уязвимостей ПО в устройствах, которые не получают обновления.

Исследователи создали десять реалистичных honeypot (специальных ловушек для привлечения злоумышленников) и ждали нарушителей, чтобы понять, кто и как будет атаковать. В рамках исследования они зафиксировали более 55 тыс. успешных SSH/Web-входов, 24 успешных использования уязвимостей, злоумышленники использовали почти 300 наборов вредоносного ПО.

Однако есть и хорошие новости. Атакующие, как правило, ничего не делают. Они просто получают доступ к системе, вероятно, даже не понимая, к чему они получили доступ. Пока еще не существует доказательств преднамеренных атак на медицинское оборудование. Но ведь это дело времени, не так ли?

Нет сомнения, что оборудование нужно защищать, если мы хотим гарантировать безопасность и конфиденциальность пользователей. А пока организациям необходимо сменить пароли по умолчанию и установить необходимые заплатки ПО от производителей оборудования.

Интернет вещей приходит на корпоративный рынок

http://www.pcweek.ru/iot/article/detail.php?ID=178179

Интернет вещей (Internet of Things, IoT) готов к взлету на корпоративном рынке, утверждается в новом исследовании IDC. Почти 73% из 2500 участников опроса IoT Decision Maker Survey заявили, что уже развернули или собираются разворачивать в течение следующего года подобные решения.

Респонденты представляли предприятия с 500 или больше сотрудниками из 15 стран, включая США, Бразилию, Китай, Индию и Германию. По крайней мере половина из них была знакома с термином «IoT».

Опорос показал, что сегодня IoT особенно сильно распространен в здравоохранении и на транспорте. 72% работающих в здравоохранении респодентов считают внедрение IoT стратегической инициативой. 67% опрошенных из транспортного сектора считают данную технологию критичной для своих предприятий.

Несмотря на то что безопасность IoT, по мнению участников опроса, важный вопрос, все же не он занимал ведущее место в обзоре. Затраты посчитали более важными.

Варианты использования IoT на предприятии

В некотором отношении результаты IDC повторяют таковые из отчета о развертывании IoT, выпущенного этим летом Strategy Analytics. Согласно IoT 2015 Deployment and Usage Trends Survey, почти 30% предприятий разного размера, от небольших и средних фирм до крупных корпораций, во всем мире начали ограниченное развертывание IoT на уровне устройств, систем и ПО.

В качестве основных приложений IoT были выделены офисная безопасность и видеонаблюдение, управление «умными» зданиями, финансовая и медицинская аналитика и медицинская диагностика.

Вызовы реализации

Основные вопросы, возникающие при внедрении IoT, — это безопасность, возможность интеграции и функциональной совместимости с унаследованными системами, а также потенциальный беспорядок, вызванный тем, что придется иметь дело с множеством различных поставщиков.

Опытные специалисты в области ИТ помнят, что те же проблемы возникали при переходе на клиент-серверные технологии. Многие предприятия в свое время покупали наилучшие решения с полки, но оказалось, что самостоятельно внедрить их нельзя, и тогда они вынуждены были обратиться к системным интеграторам для решения этой проблемы.

Это привело к проблемам с качеством обслуживания, когда производители аппаратных средств и поставщики различного ПО обвиняли друг друга в том, что решения не работают. Повторится ли этот сценарий? Надеюсь, что нет.

Действительно ли IoT безопасен?

Недостаточная безопасность или полное ее отсутствие могут оказаться кошмаром для компаний, внедряющих IoT. Ведь внедрение порождает массу неопределенных сетей и аппаратно-программный зоопарк внутри предприятий. Следует учесть, что существующие средства обеспечения безопасности не разрабатывались в расчете на внедрение IoT.

IoT: угрозы безопасности

http://www.pcweek.ru/security/article/detail.php?ID=178122

В то время как специалисты по безопасности постоянно предупреждают о риске кибератак, они редко упоминают о рисках, связанных с Интернетом вещей (IoT).

Глобальная связь между всеми устройствами создает существенные проблемы безопасности. Недавно представленные отчеты о возможности злоумышленников удаленно управлять автомобилями показывает огромные угрозы, представляемые IoT. Все это вызывает вопросы о текущих методах управления угрозами безопасности и иллюстрирует проблемы IoT.

Согласно определению Gartner, «IoT — сеть физических объектов, содержащих встроенные технологии связи и взаимодействия с внутренними состояниями или внешней средой». Сегодня многие устройства управляются встроенными операционными системами и соединены с Интернетом, что создает новые возможности для потребителей. Согласно предсказаниям Gartner, к 2020 г. ожидается появление порядка 26 млрд. устройств, соединенных с Интернетом, в то время как некоторые другие аналитики говорят о том, что их количество превысит 100 млрд.

Существует много приложений IoT: системы домашней сигнализации, передающие предупреждения на смартфон, смарт-часы, которые собирают медицинские данные, совместно используемые с врачами, гаджеты, вычисляющие оптимальный маршрут, холодильники, напоминающие хозяевам купить необходимые товары и пр. На макроуровне это «умные» городские приложения, такие как «умная» парковка и «умное» освещение. IoT обеспечивает бесконечные возможности, многие из которых мы пока не можем себе вообразить.

Рынок IoT все еще находится в начале развития, однако порождает огромные ожидания, обещая открыть новые рынки, обеспечивая огромное количество информации о покупательских привычках покупателей для дальнейшего управления продажами.

Вместе с тем необходимо понять, что существует и темная сторона IoT, связанная с безопасностью и конфиденциальностью. Типичный пример — недавний случай, когда исследователи на примере взлома бортовой коммуникационной системы Jeep показали, как можно взять под свой контроль автомобиль. То что не единичный пример, было задокументировано в исследовании PT&CLWG. Судебные специалисты указали, что изделия многих автомобилестроительных компаний могут быть взломаны.

Однако это только верхушка айсберга, если мы говорим о безопасности IoT. В отличие от традиционных кибератак, инциденты IoT не ограничиваются хищением информации, вместо этого они могут использоваться, чтобы нанести физический вред и непосредственный ущерб.

Кроме того, не стоит забывать, что расширение IoT может привести к возрастанию угроз нарушения корпоративной безопасности. Согласно Роберту Бигмену, бывшему CISO ЦРУ США, устройства IoT, управляющие персональными медицинскими системами, станут следующим золотым дном для шантажа и получения выкупа. В связи с IoT, как и в случае с BYOD, компании должны адаптировать свои методы управления рисками и расширять свои оценки рисков. Если смарт-часы сотрудника может быть использован для перехвата паролей корпоративного Wi-Fi, то такие часы попадают под оценку риска корпоративной ИБ.

Время покажет, смогут ли разработчики IoT объединиться и создать единый стандарт безопасности. Пока такового не существует.

Автор статьи — Microsoft MVP, Microsoft Security Trusted Advisor.