Интернет вещей: мир под угрозой

Одна из первых глобальных «ласточек», призывающих к внимательности, - история о том, что телевизоры Samsung с функцией Smart TV могут собирать информацию на своих владельцев, записывая их разговоры или запоминая введенные тексты. Конечно, раньше были истории о том, что некоторые хакеры могут делать то же самое благодаря веб-камерам ноутбуков и удаленному доступу, однако от телевизоров такого «гадкого поступка» никто не ожидал. 

Хотя на самом деле не совсем так. Производители прекрасно знают о том, что может делать их продукция, и в чем состоят опасности мира Интернета вещей. А вот пользователи не только не знают, но даже пренебрегают безопасностью, не видя угроз. Об этом свидетельствует, к примеру, исследование, проведенное компанией HP, которая использовала приложение HP Fortify on Demand для доступа к 10 домашним IoT-устройствам обеспечения безопасности, а также к их облачным и мобильным компонентам.

Согласно данным этого исследования, за нашими домами, в которых появляется все больше представителей мира Интернета вещей, могут следить злоумышленники. Самое страшное, что весьма уязвимы оказались устройства, используемые для обеспечения безопасности домов. Проблемы связаны с защитой паролем, шифрованием и проверкой подлинности.

Как и в случае с защитой данных на ПК и других гаджетах, весьма уязвимы в мире Интернета вещей системы паролей, используемые хозяевами домов. Злоумышленники могут использовать не только сам слабый пароль, но и уязвимости системы восстановления паролей. 100 % систем, обследованных HP, позволило использовать слабые пароли, так же 100 % не хватало механизм блокировки учетной записи, который позволил бы предотвратить автоматизированные атаки, 100% оказались уязвимы к подбору паролей, позволяли злоумышленникам угадать учетные данные для входа и получить доступ.

Кроме того, четыре из семи протестированных систем, включавших в себя камеры, дали владельцу возможность предоставлять доступ к видео дополнительным пользователям, что еще больше усугубляет проблемы. Две из систем позволили получить потоковое видео без аутентификации. И лишь одна из протестированных систем предполагала двухфакторную аутентификацию.

Неожиданные «подарок» злоумышленникам могут принести и используемые облачные системы. Семь из десяти систем использовали облачные веб-интерфейсы, и, как обнаружилось, с их помощь можно взломать учетные записи пользователей. Еще один важный нюанс: несмотря на то, что во всех системах были реализованы механизмы шифрования на транспортном уровне (SSL/TLS), многие облачные подключения остаются уязвимыми для атак.    

К тому же в пяти из десяти протестированных систем были выявлены проблемы в интерфейсе мобильного приложения, подвергающие пользователей аналогичным рискам.

Значимо и то, что такие системы не отслеживают новые уязвимости: 60% из протестированных систем не предложили очевидных возможностей обновления и ни одна – функции автоматического обновления. Напомним, что именно отсутствие обновлений создают угрозы и операционным системам ПК – производители ОС активно борются с этим явлением, как, впрочем, и антивирусные компании.

Критично для владельцев и то, что все системы собирали некоторые виды персональной информации, среди которых были имя, адрес, дата рождения, номер телефона и даже номера кредитных карт. Кроме того, серьезной уязвимостью является и отсутствие механизма блокировки счета, привязанного к тому или иному «умному» устройству. Такая безопасность может встать владельцу «в копеечку». 

«Оставляя в стороне удобство и доступность подключенных к Интернету устройств, нужно отметить, что они могут сделать наши дома и семьи уязвимыми, - резюмирует Джейсон Шмитт (Jason Schmitt), вице-президент и  руководитель подразделения по продуктам Fortify подразделения Enterprise Security Products компании HP. - Учитывая, что десять ведущих систем не имеют фундаментальных функций безопасности, потребители не должны забывать о самых простых мерах защиты, а производители – о том, что они в конечном итоге несут ответственность за безопасность своих пользователей».