Пятница, Ноябрь 17, 2017
Главная > Экономика > Инциденты в Интернете вещей: учимся на ошибках

Инциденты в Интернете вещей: учимся на ошибках

Для информационной безопасности 2016 год выдался тяжелым. Интернет вещей стал косвенным посредником» в произошедшей DDoS-атаке, которая затронула большую часть Интернета. Самая крупная единовременная атака с помощью IoT-устройств и с использованием Ransomware обрушилась на британские больницы. Даже владельцы детских игрушек стали жертвой из-за появившейся бреши в базе данных. Как пользователи смогут защитить свои данные благодаря этим инцидентам? 

Mirai

Говоря о главных опасностях для информационной безопасности в 2017 году, стоит вспомнить октябрь 2016 года.

Атака распределенного отказа в обслуживании, произошедшая по вине ботнета  Mirai, вызвала перебои с доступом в интернет у провайдеров в США и Европы. Под ударом оказалось пять миллионов устройств Интернета вещей в десяти странах мира. Эта атака стала крупнейшей в истории IoT.

Больше всего пострадали владельцы веб-камер и камер видеонаблюдения, в основе которых использовался чипсет китайской Hangzhou Xiongmai Technology Co (XM). XM не обновляла прошивку или программное обеспечение на своем старом чипсете, сделав тем самым его уязвимым.  

Компания отозвала миллионы устройств, однако специалисты были уверены, что уязвимы только 10 тыс. камер. Так, камеры, выпущенные до 2014 года, стали “жертвами” атаки Mirai: вредоносное ПО автоматически диагностировало IoT-устройства, включало их в свою сеть и пыталось взломать с помощью подбора пароля. Атакам подверглись и Wi-Fi роутеры нескольких производителей.

Аналитик в области информационной безопасности Брайан Кребс (Brian Krebs) отметил одну большую проблему: пароль «xc3511», который по умолчанию используют все устройства XM, жестко «зашит» в заводское ПО. Пароль по-прежнему остается актуальным, даже если пользователь изменит его.

Mirai смог объединить в единую сеть около 460 тыс. IoT-устройств, которые затем начали DDoS-атаку на DNS-сервера Dyn, «телефонные книги» транслирующих информацию URL на IP-адреса. В результате доступ к крупным веб-сайтам, включая Paypal, Twitter, Spotify, Reddit и Netflix был заблокирован полностью или ограничен.

CloudPets

CloudPets, IoT-игрушки в виде животных от компании Spiral Toys подверглись взлому в феврале. Хакеры организовали утечку 800 тыс. учетных записей пользователей и 1,2 млн аудиозаписей, фотографии профилей, учетные записи электронной почты и т.д. Пароли пользователи выбирали очень простые, поэтому злоумышленникам не потребовалось прилагать усилий по внедрению вредоносного ПО. Кроме того, база данных, подключенная к облаку, используемая для хранения учетных записей CloudPets, не находилась под защитой брандмауэра (Firewall) и пароля. Учетные записи производитель зашифровал, но некоторые из них — достаточно слабо. В итоге для компетентных хакеров получить данные не составило труда. Персональные данные были похищены в январе, а злоумышленникам удалось дважды переписать базу данных.

Произошедшая утечка информации — не самый опасный элемент атаки. Укаждой игрушки есть аудиовыход для того, чтобы родители с помощью смартфона и специального приложения могли дистанционно оставлять послания детям. Ребенок нажимал на специальную кнопку на CloudPets и мог слышать голос родителей. С помощью аудиовыхода хакеры могли превратить игрушки в шпионские устройства и перехватывать разговоры домочадцев.

Отсюда производители девайсов могут извлечь несколько простых уроков. Во-первых, стоит направить усилия на шифрование баз данных, особенно баз данных пользователей.

Во-вторых, если компания выпускает IoT-устройство с поддержкой аудио или видео, следует выпустить патчи для устранения уязвимостей. Результаты исследований ученых Университета Мэривилла свидетельствуют о росте количества инцидентов, связанных с атаками на такие IoT-устройства.

Например, используя вредоносное ПО Meterpeter взломанная веб-камера может привести к краже с проникновением в жилище. С помощью камеры хакеры могут проанализировать время, когда жильцов обычно нет дома и обворовать квартиру.

АНБ и EternalBlue

Вредоносное ПО WannaCry требовало от $300 до $600 для дешифрования заблокированной информации. Зловред поразил более 300 тыс. компьютеров в 150 странах и через IoT-устройства подверг риску множество медучреждений.

Даже если злоумышленники получали средства, данные компьютера все равно удалялись. Ransomware Locky в прошлом году зашифровал истории болезни пациентов, тогда как WannaCry просто закрывал доступ, вымогал деньги, удалял данные. Ransomware Locky вынудил руководство больниц отменить тысячи назначений лекарственных средств, приемов и т.д.

Сначала под ударом оказалась Европа, вслед за которой атаки распространились на Японию и Китай. Были затронуты крупные корпорации, в том числе Nissan и Renault. В настоящее время это единственная столь крупномасштабная атака, связанная с вымогательством.

История WannaCry началась с создания секретного эксплойта Eternal Blue, который разрабатывали сотрудники АНБ (Агентства Национальной Безопасности США).

Бэкдор для операционной системы Windows XP, которая более не поддерживается Microsoft, был похищен из АНБ и попал в руки группы хакеров The Shadow Brokers за месяц до атаки. Используя бэкдор хакеры создали WannaCry. Однако за месяц до этого, в марте 2017 года, Microsoft выпустила патч для исправления уязвимости.

Специалисты компании предприняли беспрецедентный шаг для ликвидации заражения — путем исправления эксплойта в Windows XP, посредством которого вредоносная программа распространялась через сети подключенных компьютеров.

Возможности для будущего

В первую очередь следует обратить внимание на медицинские устройства, в частности — фитнес-трекеры. 96% пользователей считают, что приложения для здоровья способствуют улучшению их образа жизни, а 55% специалистов видят пользу в использовании фитнес-трекеров даже здоровыми людьми. Рост использования трекеров в области здравоохранения делает их идеальной целью для атак. Кроме медицинских данных хакеры могут похитить персональную и платежную информацию.

Ransomware может блокировать информацию пользователя, из чего следует несколько потенциальных угроз. Рассмотрим первый сценарий: вредоносная программа маскирует информацию. Пользователь считает себя абсолютно здоровым, однако в реальности это не так. Второй сценарий: требование выкупа с жертвы и угрозы распространения информации в случае отказа платить. Кроме пациентов пострадают и медицинские клиники, которые допустили утечку информации. Урон репутации и судебные иски — вот лишь основные последствия, которые могут ожидать учреждения здравоохранения, не обеспечивших должную безопасность своих устройств.

Физический вред здоровью могут нанести злоумышленники, которые отслеживали передвижения домочадцев с помощью зараженных подключенных аудио- и видеоустройств.

Например, используя вредоносное программное обеспечение, злоумышленник сканирует незащищенные домашние сети. Обнаружив подключенный термостат и взломав его, хакер выставляет температуру в жару на максимум. Если владелец помещения находится в отпуске, то он вряд ли оперативно предотвратит возможный ущерб.

Через мобильное приложение термостата пользователь сможет обнаружить астрономические счета за электроэнергию, также потребуется навести уборку (снять растрескавшиеся от жары обои, поврежденные натяжные потолки и т.д.).

Противоположный сценарий — выключение тепла зимой. Теоретически хакеры могут шантажировать пользователя низкой температурой как инструментом для вымогательства. Если в помещении проживают пожилые люди или младенцы и они остались наедине со «взбесившимся» умным домом, то есть шанс подвергнуть их серьезной опасности.

Пользователь выплачивает заявленную сумму, ворчит и направляется к своему подключенному автомобилю, чтобы как можно скорее последовать домой. К несчастью для него, хакеры взламывают и машины. Вскоре большинство автомобилей будут не просто подключены, а иметь автопилот на борту. Самоуправляемый автомобиль взломан, а топлива достаточно, чтобы хакер смог довести жертву до раскаленной пустыни. Чтобы вновь получить доступ к управлению, вновь придется заплатить. Как ожидается, на дорогах к 2020 году 90% транспортных средств в той или иной мере будут “подключенными”. В 2013 году таких автомобилей было всего 10%.

Коммерческий аспект и извлеченные уроки

Из 1,8 тыс. компаний, опрошенных Cisco, 73% использовали IoT-данные для улучшения своей деятельности, причем 46% применяли информацию для принятия решений. Ransomware может помешать процессу принятия решений, а атаки выводят из строя или затрудняют работу оборудования.  Потери от такой атаки, например, компрометация финансовых данных, будут разрушительными.

Или, если сама информация — это то, что продает компания. Стоит лишь похитить данные, собранные устройствами Nest Labs и продать ее конкурирующим поставщикам, как большая часть прибыли атакованной компании, пойдет на покрытие судебных издержек и выплаты пострадавшим клиентам.

Отсюда следует два вывода.

Во-первых, компаниям необходимо хранить резервные копии данных отдельно от основных серверов, там, где несанкционированное вторжение не сможет их достигнуть и зашифровать. Использование стороннего удаленного сервера позволит облегчить восстановление данных, если компания подверглась атаке и были выдвинуты требования о выкупе. Стоит просто перезаписать старые данные как проблема решиться.

Эта схема является неприемлемой для компаний, планирующих продавать собственную информацию или эти данные является конфиденциальными (медицинские или финансовые сведения).

Однако для тех фирм, которые просто хотят принимать решения на основе данных, это может предотвратить потенциальные проблемы.

Во-вторых, компании всегда должны следить за эксплойтами, которые могут быть исправлены в их программном обеспечении или при последующей прошивке. АНБ использовало Eternal Blue в течение пяти лет, не сообщая Microsoft об уязвимости. Серверы и игрушки CloudPets вряд ли стоит считать безопасными. Использование эксплойтов в них стало детской забавой для злоумышленника.

Сейчас, когда атаки WannaCry и его преемника NotPetya идут на спад, специалисты находят вредоносы,которые скрывают майнеры криптовалют.

Все внимание экспертов сосредоточено на безопасности в Интернете. Это говорит о том, что получать некоторые уроки пришлось путем больших трудов, ошибок и потерь.


Примечания:

 Вредоносное ПО, целью которого является создание помех в работе операционной системы, или блокировка посредством шифрования файловой системы с последующим требованием перевести денежные средства для разблокировки.

Производитель программируемых и самообучающихся устройств домашней автоматизации — сенсорных, Wi-Fi термостатов, детекторов дыма и т.д. Алгоритмы устройств компании долгое время изучают поведение жильцов, чтобы автоматически подстроить такие важные параметры, как температура, влажность воздуха и т.д. под нужды владельцев. Дочерняя компания AlphaBet.

Источник