Февраль 2024-го оказался щедрым на новости о проблемах с безопасностью IoT-устройств. Пока мы следили за санта-барбарой с DDoS-атакой 3 млн зубных щеток, фоном прошло немало других интересных событий.
В этой статье обсудим последние новости об уязвимостях, обнаруженных в массовых IoT- устройствах. А еще попытаемся выяснить:
в чем причины проблем с безопасностью в ПО умной бытовой техники,
почему от таких рисков редко защищаются на корпоративном уровне,
какие элементарные правила помогут усилить защиту компании от IoT-угроз.
Но сначала поговорим о термине. Есть множество мнений о том, что именно относится к IoT-технике. Для нас это любой гаджет с минимальной операционной системой, который умеет отправлять, получать и обрабатывать данные. Причем без участия человека. Такое устройство может использоваться как в промышленных процессах, так и в личных целях. В этой статье мы больше говорим о втором случае.
А теперь к новостям
Вот лишь пять громких событий за февраль, которые привлекли наше внимание.
3 февраля: очки и побочки
Не успели стартовать продажи Apple Vision Pro, как в устройстве обнаружился первый эксплойт. Новостью на запрещенном в РФ ресурсе поделился студент MIT. Он нашел проблему в операционной системе, на которой работает долгожданный гаджет от Apple. Технически это означает, что злоумышленники могут устанавливать неавторизованные приложения и модифицировать ПО в обход ограничений разработчика.
Параллельно компания заявила, что перед стартом продаж была устранена другая уязвимость операционной системы. По информации Apple, она позволяла хакерам запускать на гаджете собственный вредоносный код.
7 февраля: не сдержали язык за зубами
Одно из немецких СМИ заявило, что хакеры использовали 3 млн зубных щеток в своей DDoS‑атаке. Информация прозвучала в интервью с представителем компании Fortinet, которая хорошо известна на мировом ИБ-рынке. Однако позже выяснилось, что это ложь, а точнее — трудности перевода (с английского на немецкий).
Сотрудник говорил не о случившемся факте, а о гипотетически возможном событии. В общем, это был всего лишь пример, который редакция случайно выдала за реальный инцидент.
11 февраля: печать с последствиями
Критические уязвимости нашли в некоторых моделях принтеров Canon i-Sensys. Многие из них получили оценку 9,8 из 10 по шкале CVSS. Опасность уязвимостей заключается в том, что их могут использовать для DDoS-атак и выполнения произвольного программного кода. О найденных и закрытых дырах сообщил сам производитель техники.
12 февраля: видеть сквозь стены
Ученые обнаружили способ, который позволяет перехватывать видео с большинства видеокамер. Речь о технологии EM Eye, в основе которой лежит анализ электромагнитного излучения чипов внутри устройств. Используя эти данные, исследователи смогли получить закодированное видео в реальном времени.
Правда, есть нюансы: картинка получается пока так себе и есть физические ограничения. Чтобы перехватить видео, нужно находиться рядом с камерой. Расстояние варьируется в зависимости от модели камеры и может составлять от 30 м до 5 см.
21 февраля: лучше предохраняться
Пользовательница Reddit сообщила, что ее компьютер чуть не заразился вредоносом от секс-игрушки. Она подключила новое устройство к ПК через USB-порт, чтобы зарядить его. После чего антивирус обнаружил попытку загрузки Lumma — инфостилера по подписке, который часто используют для кражи персональных данных. Позже этот факт подтвердили Malwarebytes (разработчик антивируса).
Почему злоумышленники любят IoT
Чем больше мы видим умных устройств на рынке, тем больше появляется сообщений об их уязвимостях и угрозах. О причинах на Хабре писали не раз. Напомним лишь основные:
Производители мало интересуются безопасностью ПО. Для многих важнее в принципе выпустить устройство, которое соответствует функциональным запросам потребителя. Задачи ИБ явно не входят в число приоритетных и требуют дополнительных вложений, что приводит к удорожанию товара и снижению спроса.
Есть ограничения вычислительной мощности. Как правило, под капотом IoT-устройств стоит слабое железо. Недостаточно ресурсов, чтобы уместить какой-то дополнительный функционал типа антивируса или каких-то других средств защиты.
Много уязвимостей, которые закрываются редко и со скрипом. Производители часто идут по пути кастомизации Android, Raspberry Pi и opensource-решений. Однако о том, как именно обновлять ПО в процессе эксплуатации устройств, задумываются лишь немногие.
На устройствах обычно используются заводские пароли. А если пользователя все же обязывают заменить учетные данные, то он чаще вводит комбинацию символов попроще (passward, 1234 и т.д). Чтобы представить масштабы бедствия, достаточно вспомнить громкую DDoS-атаку на провайдера Dyn, которая произошла по этой причине и затронула десятки клиентов-гигантов типа Netflix, Amazon, Starbucks.
Нет шифрования. Мы привыкли, что любые данные при передаче по Сети могут украсть, но не просмотреть. В случае с умными микроволновками и телевизорами все не так. Не знаем, какая статистика сейчас, но в 2020 году шифрования данных не было у 98% товаров с IoT.
Хакеры проявляют огромный интерес к устройствам. Во многом это обусловлено большим количеством уязвимостей и тем, что пользователи не могут гарантировать физическую безопасность умной техники. Десять лет назад в даркнете почти не было DDoS-услуги с использованием ботнетов. Сейчас таких объявлений сотни, также злоумышленники теперь активно ищут эксплойты к уязвимостям нулевого дня в IoT-устройствах — сообщает Kaspersky.
Аналитики также отмечают, что обычно умная техника заражается вредоносами с помощью перебора слабых паролей. Также часто злоумышленники используют уязвимости устройств. Наиболее распространенный сценарий — внедрение вредоносных команд при выполнении запросов к веб-интерфейсу.
Как бизнес игнорирует риски
По большому счету, любая умная техника — вероятная точка входа злоумышленника в инфраструктуру компании. Другая причина для беспокойства: чем больше IoT-устройств в целом выпускается на рынке, тем выше вероятность, что их могут использовать в DDoS и других атаках на бизнес.
При этом половина ИТ-руководителей в мире считают IoT слабым местом в системе безопасности. Только за 2023 год 50% компаний столкнулись с инцидентами, которые связаны с такими устройствами. Причем 44% случаев были серьезными, а 22% угрожали бизнес-процессам компании —- делятся результатами международного исследования аналитики Viakoo.
На практике мы видим, что IoT-устройства редко учитываются компаниями в моделировании угроз. Особенно если речь идет о бытовой технике типа холодильника на кухне в офисе, телевизора на ресепшне или умного датчика температуры и влажности воздуха в кабинете главбуха.
Во многих случаях IoT-устройство — это «черный ящик». В том числе на сетевом уровне. Обычно производители используют проприетарные или менее известные протоколы передачи данных, которые не соответствуют каким-либо общепринятым стандартам. Часто из-за этого сложно проверить целостность ПО и отследить факт вмешательства третьих сторон. Да и в целом бытовую технику сложно интегрировать с привычными ИБ-системами компании.
Что с этим можно сделать
Так как встроить умный холодильник в модель угроз компании нелегко, то зачастую достаточно соблюдать самые элементарные правила безопасности. Напомним лишь некоторые:
По возможности заранее находить информацию о том, как устройство работает с данными, поддерживает ли стандартные протоколы, обновляется ли ПО, а также есть ли в нем открытые уязвимости. На основе этих данных можно составить топ-список вариантов к покупке. Найти проблемы с защитой данных помогут бесплатные IoT-поисковики. Примеры: Shodan, Censys, ZoomEye, Criminal IP.
Контролировать подключения личных устройств к ПК сотрудников через USB.
Менять пароли, которые заданы производителем по умолчанию, всегда, сразу после покупки устройства и на надежную комбинацию.
Держать под контролем информацию о том, какие IoT-устройства используются в компании, по возможности изолировать их от критичной инфраструктуры.
Ограничить подключение таких устройств к облаку либо добавить их для мониторинга NGFW и других средств защиты (если это позволяют сделать протоколы, конечно).
И наконец, можно дождаться, когда производителей вынудят следить за безопасностью умных устройств. Такие инициативы есть, некоторые уже работают. Пример — программа Cyber Trust Mark, которую запустили в 2023 году в США. Логика такая: умную технику оценивают по критериям ИБ, а затем маркируют. Ожидается, что значок-щит на упаковке товара будет служить для покупателей гарантией его безопасности.