Эксперты Positive Technologies прогнозируют рост угроз Интернета вещей

Эксперты Positive Technologies прогнозируют рост угроз Интернета вещей

В среднем по миру ежемесячно в домашних сетевых устройствах — Wi-Fi- и 3G-роутерах обнаруживаются около 10 уязвимостей. По мнению экспертов Positive Technologies, большинство разработчиков и поставщиков сетевых устройств не придают должного значения таким понятиям, как «тестирование» и «безопасность».

Многие серьезные уязвимости остаются без обновлений, а если они и выходят, то пользователи не торопятся их применять. Так, в 87% систем, протестированных экспертами Positive Technologies, были найдены уязвимости, связанные с отсутствием обновлений.

«Новости последнего года свидетельствуют, что злоумышленники все больше интересуются уязвимостями Интернета вещей. Причем атаки в этом направлении будут только расти с учетом того, что, по оценкам Gartner, к 2020 году количество IoT-устройств превысит 20 млрд, — отмечает Антон Тюрин, руководитель группы разработки методов обнаружения атак, Positive Technologies. — Сегодня чуть ли ни каждый может просканировать весь интернет (порядка 4 млрд адресов) на предмет выявления уязвимых устройств – это потребует чуть более суток при определенной скорости передачи данных. Можно и вовсе не предпринимать самостоятельных действий по сканированию – цена вопроса доступа к данным десятков миллионов IoT-устройств составляет всего 49$».

В пятерку наиболее популярных устройств небезопасного Интернета вещей, которые уже сейчас используются многими людьми, по мнению экспертов Positive Technologies, входят роутеры, камеры и видеорегистраторы, навигаторы, устройства беспроводного управления и всевозможные датчики.

Роутеры

Средний возраст прошивки на среднестатистическом домашнем роутере составляет 3–4 года. Этот возраст коррелирует со средним возрастом самого роутера, или, другими словами, пользователи скорее меняют само устройство, чем обновляют его прошивку. На данный момент опытным путем установлено, что пароли примерно 15 из 100 девайсов никогда не менялись с дефолтных значений. И зная всего пять самых популярных пар, можно получить доступ к «админке» каждого десятого устройства:

Камеры и видеорегистраторы (DVR)

В настоящее время злоумышленник может потенциально получить доступ более чем к 3,5 миллионам камер по всему миру. При этом для доступа к видео произвольно взятого пользователя требуется всего пара запросов в Shodan, один в Google, VLC-медиаплеер и не более 60 секунд времени.

По нашим оценкам, порядка 90% всех DVR-камер, которые используются для видеонаблюдения предприятиями малого и среднего бизнеса, содержат те или иные уязвимости и могут быть взломаны.

Навигаторы

Системы глобального позиционирования настолько глубоко проникли во все сферы нашей жизни, что большинство людей пользуются ими, не задумываясь о том, насколько им можно доверять. Между тем уже есть множество примеров, подтверждающих, что подобные системы уязвимы к разнообразным атакам, включая spoofing, то есть подмену сигнала. Более 5 лет назад иранские военные смогли посадить американский беспилотник, используя данную технику. А в конце 2016 года темой многих СМИ стали искажения GPS и ГЛОНАСС в центре Москвы, около Кремля: навигаторы вдруг показывали своим пользователям, что они находятся в аэропорту Внуково.

Беспроводное управление

Компьютерные мыши и клавиатуры с радиоинтерфейсом и USB-трансивером не защищены от взлома: собрать набор для проведения атаки можно всего за 300 рублей, а вестись она может с расстояния до 1 км. Исследователи Positive Technologies протестировали безопасность устройств Logitech, A4Tech и Microsoft и смогли перехватить данные, передаваемые клавиатурами и мышами, дешифровать трафик и осуществить ряд других атак. Обнаруженные уязвимости могут приводить к утечке паролей, платежных реквизитов, персональных данных и другой важной информации.

Датчики (электричество, вода, сигнализация)

В ходе одного из исследований умных сетей электроснабжения (smart grid) наши эксперты обнаружили тысячи пользовательских веб-панелей управления системами мониторинга солнечных электростанций. Примерно 5% систем вообще не требовали пароля для входа на страницу конфигурации, у остальных 95% систем пароль был, но его оказалось достаточно легко подобрать. Обойдя авторизацию, злоумышленник может удаленно установить модифицированную прошивку или просто поменять параметры системы, что приведет к аварии.

Другие устройства на подходе!

Чтобы сделать Интернет вещей хотя бы немного безопаснее, эксперты Positive Technologies предлагают ряд мер для разработчиков и пользователей устройств: 

  • отказ от небезопасных протоколов, фильтрация пользовательского ввода адресов и данных, введение парольных политик, регулярные обновления;
  • отключение отладочных механизмов (JTAG), физическая защита устройств;
  • использование HTTPS, двухфакторной аутентификации, 
  • аудит защищенности;
  • практика безопасной разработки с использованием анализаторов кода;
  • внедрение отраслевых и государственных стандартов безопасности — по аналогии с промышленными системами управления (АСУ ТП).

Вопросы безопасности Интернета вещей в условиях бурного развития IТ-отрасли и проникновения «умных» устройств в бизнес и повседневную жизнь стали центральной темой проходящего сегодня в Москве форума по практической информационной безопасности Positive Hack Days VII.

«Проблему под разными углами обсуждают представители регуляторов, ведущие ИБ-исследователи и визионеры компаний, развивающих новые технологии, — рассказал Алексей Качалин, заместитель директора компании Positive Technologies по развитию бизнеса в России. — Мы ожидаем, к сожалению, что злоумышленники расширят спектр используемых IoT-устройств: в зоне риска "умные" бытовые приборы. Это может потребовать регулирования минимального уровня защищенности устройств — либо производители проявят сознательность в этом вопросе, либо подключится государство. Формирование требований по безопасности и сертификации устройств Интернета вещей — это вопрос времени».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

BI.ZONE приглашает спикеров выступить с докладами на OFFZONE 2019

17–18 июня 2019 года в Москве дочерняя компания Сбербанка BI.ZONE проведет вторую международную конференцию по практической кибербезопасности OFFZONE 2019. Основная цель конференции — создать по-настоящему качественный технический контент, а также поделиться практическими исследованиями в области кибербезопасности.

Всех, кто хотел бы выступить с докладами, а также представить свои исследования на OFFZONE 2019, приглашают подать заявку на CFP до 23:59 28 апреля 2019 года. Выступления могут касаться широкого круга практических вопросов – от безопасности в финансовых сервисах и веб-приложениях до защиты оборудования от аппаратных атак.

Форматы докладов

  • Talk: 45 минут, презентация строго на английском, доклад — на русском или английском.
  • Fasttrack: 15 минут, презентация строго на английском, доклад — на русском или английском.
  • Toolzone: демонстрационный стенд на 4 часа, презентация не обязательна, выступление на русском или английском.

Все заявки рассмотрит CFP-комитет, в составе которого — эксперты по безопасности веб-приложений и корпоративных систем, исследователи вредоносного ПО, низкоуровневого программного и аппаратного обеспечения.

Подробнее о CFP

BI.ZONE рад приветствовать не только докладчиков, но и всех, кто хотел бы присоединиться к OFFZONE 2019. Продажа билетов уже запущена.

Тематика постапокалиптического мира, как и в прошлом году, будет задавать атмосферу конференции. Участники конференции окажутся в исследовательских лабораториях, где выжившие ученые на глазах будут возрождать технологии, а в культуру снова вернется ASCII-арт.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru