2015 года в период новогодних праздников было продано 50 млн подключенных устройств, которые относятся к категории Интернета вещей. Можно с уверенностью утверждать, что в этом году количество IoT-подарков возрастет в несколько раз, ведь их доля на рынке электроники увеличивается огромными темпами.
Согласно данным TNW, ежедневно покупают и подключают к интернету 5,5 млн устройств , и это число будет расти. Вполне возможно, что в 2016-м вы, ваши старшие и младшие родственники, даже самые маленькие представители семьи и котик с собачкой получат от Санты гаджет, который умеет выходить в интернет. И чем больше точек выхода, тем больше и точек «входа» для нежелательных третьих лиц в ваш личный онлайн-пространство.
Как среди подарков не обнаружить гаджет, который откроет доступ хакерам?
«Троянский конь» интернета вещей
Каждый новый часы, телевизор или микроволновая печь, которая умеет самостоятельно ловить WiFi, расширяет границы домашнего комфорта. Однако следует помнить о безопасности информации, а также о том, что интернет вещей пока что не научился надежно защищаться от постороннего вмешательства. В октябре 2016-го хакеры продемонстрировали миру, как можно использовать подключение устройства для прекращения нормальной работы ведущих онлайн-платформ (подробнее DDoS-атаку на Netflix, Twitter, GitHub мы рассматривали в отдельном материале). Это была только первая и небольшая атака, что хорошо продемонстрировала потенциал вмешательства в работу IoT-систем.
Будем откровенны: в период марафона праздничных застолий — последнее, чем вы опікуватиметеся, это безопасность подключения новых устройств. И даже если часть пользователей будет сознательно программировать сложные пароли, выбирать безопасное подсоединение и тому подобное, то подростки — наоборот, родители, которым вы наконец-то приобрели устройство для Skype, — могут допустить фатальной ошибки. Не стоит отказываться от подарков из мира интернета вещей, но нужно обратить особое внимание на правильную эксплуатацию гаджетов.
Редакция TNW обратилась к Зака Ланье (Zach Lanier) — его компания Cylance использует алгоритмы искусственного интеллекта и машинного обучения для того, чтобы отыскать слабые места в сетях. Ланье еще в школьные годы начал практиковаться в поисках уязвимых мест в устройствах, взламывая их. Накануне праздников Ланье дает советы, как правильно работать с новыми гаджетами, поскольку немного осмотрительности не помешает нам всем.
Защитите свою бабушку
Вы решили дать старшему поколению в семье доступ к интернету? Замечательная идея. Однако, чтобы не подарить случайно бомбу с часовым механизмом, проанализируйте качество оборудования, которое вы выбрали в подарок. Понятно, что вашим старшим родственникам не нужны все доступные на сегодняшний день функции условного роутера, однако защита данных пригодится даже им. Помните: хакеры могут подстрелить устройство вашей двоюродной бабушки так же, как и ваш.
Первое и самое простое, что можно сделать — элементарный поиск в Google относительно основных настроек безопасности выбранного вами устройства. Кроме запроса по названию и перечитывания обзоров, можете пойти дальше и попробовать найти тестирование надежности вашего устройства. Спросите у поисковой системы «безопасность устройства %название%» — результаты могут оказаться поразительно содержательными.
Далее поищите данные о репутации производителя в сегменте кибербезопасности. Полезно почитать о том, как давно компания занимается производством и случались ранее истории, связанные с изломами или выявленными слабостями гаджетов. Если компания давно присутствует на рынке, а историй со сломанными или насквозь «дырявыми» изделиями в интернете не обнаружено — можно ли считать такой выбор вполне безопасным. Новое же устройство, несмотря на привлекательную цену или «современные функции», может оказаться уязвимым к хакерским атакам, а вы станете первым, кто об этом напишет — не самый желанный сценарий развития событий, согласитесь.
Также следует посетить сайт компании-производителя и проверить наличие страниц, посвященных защите пользовательской информации, а также ознакомиться с гарантийными условиями, возможностью связаться со службой технической поддержки и тому подобное.
Что делать с подаренной IoT-бомбой
Если даже вы уделяете максимум внимания безопасности домашней сети, слабым звеном может оказаться подаренный вам или вашим родственникам IoT-гаджет. В таком случае, прежде чем подсоединять обновку к общей системе, следует повторить все вышеперечисленные шаги — они являются основными и обязательными.
Далее Ланье советует предпринять дополнительных шагов, которые он условно разделяет на простые и технические. При этом не следует переходить сразу к техническим; ведь иногда именно из-за отсутствия самого элементарного и дешевого предохранителя перегорает электрическая система целого небоскреба.
Сначала проверьте настройки беспроводного подключения. Wi-Fi должен поддерживать протокол безопасности версии WPA2. Если ваше устройство поддерживает стандарты безопасности WEP или WPA, лучшим шагом будет вернуть устройство в магазин. Дело в том, что WEP и WPA — это старые версии; соответственно, они не могут защитить от новых методов взлома системы. Поскольку обновления для этих версий уже не выпускают, подключение таких устройств можно приравнять к откровенному приглашению хакеров к себе домой.
Если IoT-устройство подсоединяется к смартфону или планшету через мобильное приложение, следует обратить внимание на метод подтверждения соединения. Плохо, если ни гаджет, ни смартфон не требуют введения кода — или же комбинация слишком проста и установлена по умолчанию. Если устройство после первого подключения через ввод кода в дальнейшем находит пару без повторной авторизации — это также опасно.
Еще один момент, на который следует обратить внимание — формат ссылки. Если IoT-электроника заходит в интернет через http, а не https, — избавьтесь от этого потенциально опасного подарка.
Обновление программного обеспечения является обязательным для поддержания стабильной и безопасной работы систем. Если вендор не гарантирует регулярного обновления программ в устройствах, он просто игнорирует элементарные требования к защите данных своих пользователей. В идеале обновления должны поступать и устанавливаться на устройства автоматически; полагаться в этом вопросе на добросовестность пользователей, по мнению Ланье, — почти то же самое, что оставлять их без обновлений вообще. Если предусмотрена лишь возможность для ручной установки обновлений, вам следует честно признаться самому себе: готовы ли вы все время следить за наличием обновлений для системы и способны самостоятельно их устанавливать? Если ответ хотя бы на один из вопросов отрицательный — не подключайте этот IoT-устройство. Если у электронного подарка вообще нет возможности обновлять установленную систему — это уже практически электронный мусор.
Что же до технических способов убедиться в безопасности нового IoT-устройства, Зак Ланье имеет собственный сценарий поведения. Он покупает два устройства: один для работы, другой — для тестирования. Один из устройств, скорее всего, так и не заработает предусмотренным образом, поскольку Зак раскрутит его до частиц, чтобы проверить надежность аппаратной части. Для тех, кто не столь искусен, есть более простые технические шаги. Большинство производителей публикуют в открытом доступе на своих официальных сайтах прошивку до устройств, доступную для загрузки. Также ее можно найти прямо на страницах Google, а затем запустить процесс обратной разработки, используя инструменты Binary Ninja, IDA pro или radare2. Это предоставит возможность увидеть, как работает программное обеспечение вашего нового гаджета.
Следует также обратить внимание на следующие характеристики:
- установлена в устройстве самая последняя версия Linux. Любая прошивка, кроме самой последней, имеет уязвимые места в системе безопасности, которые уже исправлены разработчиками в других версиях;
- насколько жестко запрограммированные ключи шифрования в устройстве;
- можно удаленно обновлять прошивку гаджета.
Зак Ланье констатирует, что на 100% гарантировать безопасность онлайн-сети на сегодняшний день невозможно; но все перечисленные меры помогут максимально обезопасить ваши данные от кражи хакерами.
По материалам TNW
