Исследование десяти популярных систем безопасности домов и квартир, проведенное компанией HP, дало катастрофические результаты. Все без исключения системы, участвующие в исследовании, имели серьезные уязвимости, связанные с защитой паролем, шифрованием и проверкой подлинности.
Средства мониторинга, такие как видеокамеры и датчики движения, системы сигнализации, подключенные к интернету, завоевали популярность в связи с взрывным развитие IoT (интернет вещей), в первую очередь благодаря их исключительному удобству и очень широким возможностям. На главных мировых технологических выставках, таких как CES (Consumer Electronics Show), MWC (Mobile World Congress), IFA (Internationale Funkausstellung Berlin), в 2014–2015 годах наблюдался невероятный интерес к устройствам и решениям IoT, причем как со стороны производителей, так и со стороны пользователей. По данным аналитической компании Gartner, в 2015 году количество устройств, подключенных к «интернету вещей», составит 4,9 млрд, а к 2020 году оно достигнет 25 млрд.
Тем удивительнее оказался тот факт, что системы и устройства, призванные обеспечивать безопасность жилища, являются источником еще больших угроз.
«Оставляя в стороне удобство и доступность подключенных к интернету устройств, нужно отметить, что они могут сделать наши дома и семьи уязвимыми, — говорит Джейсон Шмитт, вице-президент и руководитель подразделения по продуктам Fortify подразделения Enterprise Security Products компании HP. — Учитывая, что десять ведущих систем не имеют фундаментальных функций безопасности, потребители не должны забывать о самых простых мерах защиты, а производители — о том, что они в конечном итоге несут ответственность за безопасность своих пользователей».
Злоумышленники, получившие доступ к таким системам, могут не только детально изучить образ жизни потенциальных жертв и их расписание, но и получить доступ к видео- и аудиозаписям внутренних камер наблюдения.
Исследование выявило четыре фундаментальные проблемы с безопасностью во всех без исключения системах.
Первая проблема — недостаточно надежная проверка подлинности: все системы с их облачными и мобильными интерфейсами не требовали установки паролей достаточной сложности и длины; для большинства было достаточно буквенно-цифрового пароля из шести символов. Ни одна из систем не предлагала возможности заблокировать учетную запись после определенного числа неудачных попыток ввода пароля.
Вторую проблему составили незащищенные интерфейсы: все протестированные облачные веб-интерфейсы имеют проблемы безопасности, позволяющие потенциальному злоумышленнику получить доступ к учетной записи.
Еще одна проблема связана с конфиденциальностью: все системы собирали некоторые виды персональной информации, такие как имя, адрес, дата рождения, номер телефона и даже номера кредитных карт.
Незащищенность этой персональной информации вызывает озабоченность, поскольку создает угрозу кражи учетных данных во всех системах. Стоит также отметить, что ключевой особенностью многих домашних систем безопасности является использование видео, просмотр которого доступен через мобильные приложения и облачные веб-интерфейсы. Конфиденциальность видеоизображений внутренних помещений дома находится под большим вопросом.
Наконец, четвертой проблемой эксперты назвали отсутствие шифрования при передаче данных: хотя во всех системах реализованы механизмы шифрования на транспортном уровне, такие как SSL/TLS, многие облачные подключения остаются уязвимыми для атак (например, для атаки POODLE).
Впрочем, не только системы «умного» дома могут передавать информацию, которая должна остаться в четырех стенах. Так, в начале недели выяснилось, что телевизоры Samsung с функцией голосового управления прослушивают все, что происходит в комнате. Причем указано это в пользовательском соглашении телевизора. Постоянное прослушивание происходящего вокруг включено для того, чтобы телевизор смог отреагировать на команду. Samsung опубликовали официальное сообщение, в котором уточняется, что включение прослушивания осуществляется только пользователем с пульта дистанционного управления.
В пользовательском соглашении телевизора указано, что все записанные данные могут отправляться «третьей стороне». Под этой третьей стороной имеется в виду компания, оказывающая Samsung услуги распознавания речи.
По мнению заместителя генерального директора Zecurion Александра Ковалева, проблема с безопасностью интернета вещей заключается в слишком быстром его развитии. «Пользователи просто не понимают всех возможностей этих устройств, а вендоры пока заняты развитием самой технологии и не придают достаточного значения безопасности. В этом нет ничего удивительного, понимание, что компьютер можно заразить вирусом, тоже пришло не сразу. Пока эти уязвимости не стали использовать злоумышленники, ни пользователи, ни производители не будут тратить время и деньги на защиту IoT», — считает Ковалев.
С ним согласен и антивирусный эксперт «Лаборатории Касперского» Денис Легезо. По его словам, происходит этого из-за того, что отношение к «умным» вещам остается как к обычным машине или телевизору.
«Но это уже другое устройство, которое может далеко не только двигаться или показывать эфирные каналы. Соответственно, и думать о них надо уже по-другому, и защищать по-новому», — указал эксперт.
В качестве примера он привел уязвимость в системе BMW Connected Drive, которая позволяла открыть двери автомобиля и была ликвидирована в этом году. Для выявления уязвимости исследователи подменили оборудование, на которое передавались данные с помощью установленной в машине SIM-карты. «Как оказалось, до этого момента в протоколе передачи данных не была предусмотрено шифрование и только после обновления был реализован https.
В случае компьютерных систем передача данных для аутентификации в открытом виде уже давно нонсенс. Но не для других индустрий, как оказалось», — сказал Легезо.
По мнению эксперта, достаточно отвлечься от основной функции техники и начать воспринимать ее как компьютерную сеть, чтобы заметить слабые места в информационной безопасности. «Становятся применимы все стандартные методы исследования сетевого трафика (пока часто передающегося в открытом виде), веб-интерфейсов для настройки этого оборудования (в том числе с классическими уязвимостями), встроенной операционной системы (как правило, на ядре Linux). Есть ощущение, что сейчас производителям как раз вот такого взгляда и не хватает», — заявил Легезо.
Дмитрий Бевза, Эрик Хачатрян