Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
Рассылка
Получайте главные новости дня от Hi-Tech Mail.Ru

IoT-девайсы: помощники или инструмент тайной слежки?

IoT-устройства — составные части «умного» дома, о котором все уже хорошо наслышаны. Мы покупаем IoT-устройства и даже не подозреваем, что эти «помощники» могут стать инструментом тайной слежки или даже атаки. Рассказываем, как настроить «умные» гаджеты, чтобы они приносили исключительно пользу.

Предметы «умного» дома призваны помогать своим занятым владельцам в быту: камеры следят за безопасностью в доме, датчики дыма или воды оповещают владельца о состоянии дома и т.д. Использование потенциала Интернета вещей для экономического и социального блага в ближайшие десятилетия будет одной из основных задач общества, включая проблемы и возможности, вытекающие из этого явления.

Повсеместное и небезопасное использование IoT-устройств уже отмечено такой глобальной атакой, как показательный случай с ботнетом Mirai. Он был использован для DDoS-атак, в результате которых был выведен из строя сегмент сети Интернет в США, а также оказался недоступен Twitter. Эта атака достигла рекордных показателей по объему генерируемого трафика.

Помимо организации DDoS-атак для злоумышленников могут представлять интерес устройства, которые можно заблокировать. Были инциденты с «локерами» умных кондиционеров и телевизоров. Для таких сценариев важна массовость – это необходимое условие рентабельности атаки.

Некоторые китайские производители намеренно встраивают дефекты кода (бэкдоры) в свои устройства при разработке, что дает им в дальнейшем возможность полного доступа к своим устройствам в обход желаний его владельца.

Почему IoT-устройства не защищены?

Важная проблема, стоящая на пути к улучшению защищенности Интернета вещей, — это позиция производителей «умных» гаджетов. Уровень ответственности за безопасность среди производителей IoT-устройств крайне низкий: почти никто из них добровольно не тратит время и средства на дополнительное тестирование своей продукции на наличие уязвимостей, так как в ряде случаев это может поставить под угрозу темпы вывода продукта на рынок.

Также нельзя сбрасывать со счетов и общее увеличение числа таких устройств, а также скорость появления их новых типов. В результате на рынке представлена масса уязвимых устройств, с помощью которых злоумышленники могут осуществлять как локальные, так и глобальные атаки.

На данный момент базовой защитой «умных» устройств озадачены только крупные производители. Они используют защищенные протоколы передачи информации между устройством и сетью.
Павел Новиков
руководитель группы исследований безопасности телекоммуникационных систем Positive Technologies

Важным аспектом низкого уровня защищенности гаджетов также является отсутствие обновлений ПО. Как правило, владельцы устройств не задумываются об обновлениях: к примеру, домашняя камера будет работать в штатном режиме без обновлений на протяжении долгих лет, в течение которых могут быть обнаружены уязвимости в используемом ею софте. В связи с отсутствием обновлений камера может оставаться мишенью для злоумышленников до тех пор, пока не сломается, или владелец не решит ее поменять.

Прежде чем выпустить устройство на рынок, производителю следует провести аудит безопасности нового гаджета, а также тщательно исследовать сетевую защищенность, и защищенность используемых беспроводных интерфейсов.

Камеры видеонаблюдения и беспроводные датчики, на наш взгляд, наиболее уязвимы к атакам. Производители не шифруют трафик, передаваемый с устройства на сервер.

Поэтому злоумышленник может перехватить незащищённый трафик (личные фото, аудио- и видеозаписи) и использовать против пользователя.

В некоторых случаях можно заставить камеру взламывать окружающие Wi-Fi-точки доступа (например, соседей) с дальнейшим проникновением в их сети.
Павел Новиков
руководитель группы исследований безопасности телекоммуникационных систем Positive Technologies

Не менее популярный девайс – роутер, также относятся к группе «умных» устройств. Опасность заключается в том, что пользователь забывает о его существовании сразу после первого включения. Атаковав незащищенный роутер, злоумышленник может проникнуть в домашнюю сеть, где на сетевом хранилище могут оказаться личные фото, видео и другие документы.

К группе устройств, за которыми нужен «глаз да глаз» следует отнести телевизоры с функцией Smart TV. Например, телевизоры Samsung вели постоянную аудиозапись своих пользователей, и отправляли полученные файлы в облачное хранилище. Производитель охарактеризовал это как некую особенность, а не как ошибку в программе устройств, но позже все-таки исправил баг.

Популярные у родителей видеоняни и «умные» игрушки не менее уязвимы. В качестве примера можно привести случай с производителем «умных» плюшевых игрушек, позволяющих детям и родителям на расстоянии обмениваться сообщениями. Компания не обеспечила надлежащую защиту учетных данных свыше 800 тыс. пользователей, сделав их доступными через интернет любому желающему.

Как превратить «умные» устройства в надежных помощников?

Рынок IoT-девайсов только формируется, поэтому на нем представлено очень много «сырых» решений. Пользователю следует внимательно относиться к выбору и покупке устройства. Мы советуем приобретать решения известного производителя, который может обеспечить хотя бы базовую защиту девайса.

Надежная защита домашних «умных» устройств начинается с правильной настройки домашнего роутера:

  1. Изменить предустановленный производителем пароль к управлению роутером
  2. Установить WPA2 шифрование
  3. Установить сложный пароль с использованием не менее 12 символов
  4. Отключить WPS (Wi-Fi Protected Setup)
  5. Включить в настройках точки доступа NAT
  6. Включить в настройках Stateful Packet Inspection firewall. Эта технология позволяет дополнительно защититься от атак, выполняя проверку проходящего трафика на корректность.
  7. Отключить возможность управления роутером из сети Интернет

Все остальные «умные» девайсы должны подключаться к роутеру, а не напрямую в интернет. Если умное устройство использует облако, пользователю необходимо регистрироваться там со сложными паролями, не совпадающими с другими вашими аккаунтами (например, от интернет-банка или личной почты).

Чтобы обезопасить себя, пользователю следует регулярно отслеживать обновления ПО, и по возможности применять настройки безопасности в соответствии с рекомендациями производителя. Эти правила касаются настройки всех «умных» девайсов.

Благодарим компанию Positive Technologies за помощь в подготовке материала. 

Читайте также:

Расскажите своим друзьям о тонкостях работы «умного» дома!
Хиты продаж и новинки
Самые лучшие цены на смартфоны
Вы подписались на рассылку.Отменить
Подписаться на рассылку
Комментарии
32
C C
"Мы советуем приобретать решения известного производителя"
"Например, телевизоры Samsung вели постоянную аудиозапись своих пользователей, и отправляли полученные файлы в облачное хранилище. "
СсылкаПожаловаться
Admin
В ответ на комментарий от Алексей Соколов История переписки2
Алексей Соколов
Взломать можно, но будет обнаружено в тот же момент
СсылкаПожаловаться
как вы обнаружите человека который вам в спину посмотрел ????? да даже в лицо ))) никак )))) так что про обнаружение полный бред. фиксировать фотоны-электроны которые проходят и все ))) да даже если и заметно то можно сымитировать обманки))) блин ну не тут это объяснять ))) учится попробуйте особенно физику и поймете сколько бреда вам пихают тут и в сми ))) гравитационным полем можно любую фигню перехватить , даже ваши мысли, надо только уметь читать изменения таких полей и содержании энергии в нутри атома ))) тут как с книгой, атом это грубо говоря книга и чтоб прочитать надо знать язык ))) так что по факту квантовое шифрование это не то что вы дуаете это как раз наоборот возможность начать читать даже то что невозможно было прочитать ))) собрав и проанализировав подобные данные можно спрогнозировать даже то что вы будете делать через год два. нет хаотичного движения. все зависит друг от друга в той или иной степени. иногда эта зависимость на столько мала что не принимается в серьез. как явный пример из реальной жизни: число пи используют как правило до 4-5 знака при вычисления, далее на погрешность всем пофиг, не актуально. а в квантовом мире всё актуально. закон сохранения энергии работает в любом мире в любом пространстве работает одинаково. как при взрыве. энергия взрыва не пропала она просто изменила свой вид вот и все.
СсылкаПожаловаться
Admin
В ответ на комментарий от Иван К.
Иван К.
Говорят, что квантовое шифрование поможет решить вопросы о взломах, учёные говорят, что эту кодировку никто не сможет взломать, но есть и еще один момент, если это кем то придумано (человеком), значит найдутся и умельцы это взломать)))
СсылкаПожаловаться
бред с квантами это уже давно устаревшая информация )) это тоже самое если сказать что вы на человека посмотрели и он изменился )))) снять копию всегда можно вопрос только как сделать. но это уже другая тема.
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru