“Интернет вещей” нуждается в дополнительной безопасности

Популярная современная тенденция “Интернет вещей”, которая потенциально позволяет подключать к одной сети практически любые электронные  устройства, машины и датчики. Однако инновации и новые возможности имеют и другую сторону медали, и “интернет вещей” несет в себе ряд проблем с безопасностью.

С одной стороны, эта тенденция призвана обезопасить наши автомобили,  упростить управление имуществом/активами, удаленно получать сведения для диагностики автомобилей и приборов, улучшать сферу здравоохранения и домашней автоматизации. Однако по мнению экспертов, именно недостаточный уровень безопасности тормозит развитие “Интернета вещей”, приводя к нарушениям частной жизни пользователей и подвергая риску данные организаций.

Уязвимости в вычислительных системах приводят к кибер-атакам, в результате которых хакеры могут получить контроль даже над газопроводами и электросетями.

в тему: КАК ВАШ ТЕЛЕВИЗОР И ЧАЙНИК СТАНОВЯТСЯ ШПИОНАМИ

Эксперты в сфере безопасности продемонстрировали массу серьезных уязвимостей автомобилей, подключенных к Интернету, что побудило правительственные органы ввести законодательные требования к производителям авто в части безопасности и неприкосновенности данных. Им также удалось взломать медицинскую аппаратуру, дозаторы инсулина с поддержкой bluetooth и даже электрокардиостимуляторы. Все это свидетельствует о наличии серьезных проблем.

“Умный”, но не безопасный — три способа взлома систем домашней автоматизации злоумышленниками:

1. В результате недавно проведенного исследования было обнаружено, что смарт-розетки с поддержкой Wi-Fi передавали данные на сервер производителя в Китае.  Плохо налаженное шифрование данных позволило хакерам управлять устройством удаленно через подуровень управления доступом к среде (MAC).
2. Уязвимость в облачном сервисе для наблюдения за детьми через Интернет позволила хакерам с легкостью узнавать заводские номера устройств, с помощью которых они получали доступ к другим камерам видеонаблюдения.
3. В Wi-Fi камере видеонаблюдения известного производителя, которая работает через сервис telnet/ web, была обнаружена масса межсайтовых скриптингов, которые позволяли получить несанкционированный доступ к функциям камеры и файлам на накопителе. Более того, эти камеры подключены к облачному провайдеру, где присвоенные номера портов легко вычисляются и подвергают устройства атакам методом перебора.

Почему так сложно защитить системы с доступом в интернет?

Несмотря на то, что производители постоянно выпускают обновления для  своей продукции, хакеры тоже не сидят на месте и придумывают новые способы взлома.

Даже если устройство оснащено встроенными технологиями безопасности, межсетевая архитектура все равно подвергает его риску. В частности, это порты JTAG и адреса MAC, которыми оснащены устройства. Кроме этого, в линейках продукции неизбежно используются одинаковые комплектующие и программно-аппаратное обеспечение. Поэтому уязвимость обнаруженная в одной системе, может иметь место и в другой. Большинство систем с доступом к Интернет включают широкоугольные датчики, которые могут давать сбои при высоких температуре или напряжениях. Мошенники могут повредить или заменить их на приспособления, подключенные к бот-сети.

Как сделать “Интернет вещей” более безопасным

Система с доступом к Интернет должна быть сконструирована таким образом, чтобы   противостоять атакам, а также обнаруживать и восстанавливаться после них.

Если несколько способов уменьшить ущерб в случае хакерской атаки:

• Сократить размеры проверенной вычислительной базы, чтобы минимизировать площадь атаки.
• При использовании большого количества компьютеров для вычислений стоит использовать шифрование при обмене данными.
• Обеспечение надежности хранения данных и вычислительных операций (с целью предотвращения атак на переполнение буфера) может помочь системе быстро восстановиться после атаки.
• Обычно представители той или иной отрасли утаивают информацию об уязвимостях во избежание анти-рекламы, что усложняет надлежащее решение проблем с безопасностью. Однако некоторые организации обращают на это внимание.

Так, индустрия здравоохранения тесно сотрудничает с ассоциацией производителей медицинского оборудования в плане обмена информацией, выявления уязвимостей и создания стандартов.

Автомобильная индустрия также создала стандарт безопасности, подготавливая почву для создания более безопасных, защищенных от кибер-атак автомобилей.

Представители индустрии “Интернет вещей” должны совместно определять объем рисков, обмениваться данными об уязвимостях, информировать потребителей подключенных технологий  о потенциальных угрозах.