Интернет дырявых вещей

Словосочетание “Интернет вещей” нынче доносится буквально отовсюду. Все IT-компании будто помешались на подключенных к Сети устройствах, и вместе с “инновации, эффективность, развитие, будущее” и другими стандартными словами теперь регулярно можно услышать что-то именно про то, какой это гигантский шаг в будущее и как подключенные устройства изменят мир. Пожалуй, по популярности Интернет вещей обогнал даже облака.

Вот только на практике все не так гладко, как в рекламных проспектах и презентациях на выставках. О сложностях подключения миллионов устройств к Сети может рассказать, например, компания Ericsson, занимающаяся стандартизацией сотовых сетей 5G. А о безопасности Интернета вещей может поведать практически любая компания, имеющая к этой самой безопасности хоть какое-то отношение. И общая идея в таком рассказе будет очень простой: нет там никакой безопасности. Этому, в том числе, был посвящен один из докладов на хакерской конференции PHDays, проходившей в Москве 17-18 мая.

⇡#Безопасность? А зачем?

Знакомы с умными светодиодными лампами LifX, которые умеют менять цвет свечения по команде со смартфона? Они удобны, но небезопасны. Обычно ламп LifX в доме сразу несколько, и в этом случае одна из них всегда работает как мастер, принимая команды от смартфона, а остальные получают указания уже от нее. При этом все они подключены к вашей домашней Wi-Fi-сети. Исследователям из компании Context удалось обмануть LifX: они, так сказать, прикинулись новой лампочкой в системе — и мастер-лампа отправила им данные о Wi-Fi-подключении. То есть логин и пароль от домашней Wi-Fi-сети!

Да, эти данные LifX передает в зашифрованном виде. Однако ключ от шифра один для всех ламп LifX на свете (был до недавнего времени). Он хранится в прошивке самой лампочки, которую, как оказалось, не так уж трудно извлечь из ее микроконтроллера. К чести LifX, скажем, что компания быстро отреагировала на проблему и выпустила обновление прошивки, устраняющее эту уязвимость. Но осадочек остался, а также остались тысячи ламп со старой прошивкой, пользователи которых просто не потрудились загрузить новую.

Изображение с сайта lifxrus.ru

Еще пример. В США очень популярна домашняя беспроводная сигнализация SimpliSafe, которой пользуется более 200 000 человек. Устроена она просто: войдя домой, пользователь набирает на цифровой панели код — и, если он правильный, сигнализация выключается. Если же код не был набран либо не совпал, ну или если беспроводные датчики движения засекли в доме какую-то активность либо дым, сигнализация с помощью сотовой связи звонит вам, а также в полицию и пожарным. Для пущего удобства SimpliSafe предлагает брелок — он позволяет не набирать код, а нажать всего одну клавишу еще на подходе к дому.

Независимый исследователь Эндрю Зонненберг попытался сигнализацию взломать — и это удалось ему чрезвычайно легко. Ему даже не потребовалось находить код — он смог считать сигнал, который генерирует основной блок или брелок, когда ключ введен верно.

Зонненберг первым делом проинформировал компанию SimpliSafe — и больше никому ничего не говорил. Прошло 5 месяцев, но ответа не последовало. Затем Зонненберг решился опубликовать в своем блоге пост о том, что он обнаружил. Прошло еще пять месяцев — SimpliSafe так ничего и не исправила. После публикации материала по теме на достаточно крупном сайте techinsider.io SimpliSafe наконец среагировала: дескать, это настолько нестандартный взлом, что он вряд ли будет осуществлен ворами на практике. Если же господа пользователи все равно изволят беспокоиться, то пусть почаще меняют код.

Ну и еще более масштабный пример. Есть такой достаточно популярный стандарт для Интернета вещей ZigBee, разработанный ZigBee Alliance, куда входят ARM, Samsung, Sony и другие вполне заметные на мировом уровне компании. Стандарт примечателен тем, что он открыт, очень прост в использовании и не требует дорогого железа — этим он и полюбился многим производителям всевозможных умных вещей. При этом стандарт гибкий – он позволяет производителям делать либо более сложные и безопасные устройства, либо менее сложные (и менее безопасные). Менее сложные, понятное дело, дешевле, так что большинство выбирает именно этот вариант.

www.power-eetimes.com

Как обычно, кто-то (в данном случае — австрийская компания Cognosec) решила проверить: а как там дела с безопасностью? Выяснилось, что с безопасностью дела плохи. При перезагрузке или в режиме подключения новых устройств хаб ZigBee передает в локальную сеть ключи. В простой и дешевой модификации — прямым текстом, без какого-либо шифрования. Перехватили ключи? Добро пожаловать, хозяин: теперь вы можете управлять всем умным домом. Кстати, стандарт ZigBee подразумевает подключение к хабу замков, термостатов, камер слежения, систем управления энергопотреблением и так далее. То есть злоумышленник может делать с домом вообще что угодно — на что фантазии хватит. Проблема в том, что как-то залатать эту дыру в стандарте невозможно — он уязвим, что называется, by design, просто из-за самой идеи, заложенной в него при проектировании.

⇡#Кто виноват? Что делать?

Для подобных взломов необходимо некоторое количество знаний и аппаратура вроде SDR (“программно-определяемого радио”), стоимость которой не превышает тысячи долларов. То есть в целом — ничего сверхъестественного и недоступного тому, кому очень захочется что-нибудь взломать. При этом подобные дыры встречаются в Интернете вещей на каждом шагу. В автомобилях, в поездах — во всем.

Почему так получается? На этот вопрос мы уже, по сути, ответили. Дело в том, что компании-разработчики куда больше обеспокоены вопросом стоимости устройств, функциональности и времени выхода на рынок, нежели безопасностью. Безопасность — это всегда дорого (требуются дополнительные люди и дополнительное железо), долго (требуется дополнительное время на внедрение и проверку), и вообще безопасные устройства чаще всего куда сложнее небезопасных. При этом полностью безопасным цифровое устройство, подключенное к Сети, невозможно сделать в принципе.

Джефф Кац (Jeff Katz), читавший доклад о безопасности Интернета вещей на конференции PHDays, произнес по этому поводу очень запоминающуюся фразу: “Нельзя сказать, что устройство на 100 процентов безопасное. Мы можем говорить что это устройство, кажется, безопасно или что оно точно не безопасно”. То есть либо в нем уже нашли уязвимости, либо еще не нашли, но не факт, что так и не найдут. Более того, наверное, найдут — это вопрос больше сил и времени, чем того, есть ли уязвимости в устройстве. Наверняка есть.

Интернет вещей — очень сложная, очень масштабная и очень молодая штука. Плоскостей атак в нем полно — можно пытаться эксплуатировать уязвимости на уровне микроконтроллеров или прошивок к ним, можно пытаться перехватывать сигналы, можно искать дыры в отдельных сервисах, запущенных на устройстве, и так далее.

При этом часто устройствами для Интернета вещей занимаются маленькие компании, а то и вовсе одиночки, запустившие кампанию по сбору средств на очередной умный замок на Kickstarter. Кстати, задачка для не ленивых читателей — посмотрите на замок по ссылке и придумайте максимальное количество способов его взломать. Подсказка для ленивых читателей: программная обвязка замка подразумевает возможность открыть замок по определенной комбинации постукиваний по двери. Проходите вы, значит, мимо такой двери, когда владелец квартиры открывает замок, и…

Проблема, причем, не только в том, что устройства из Интернета вещей так легко взломать, а еще и в том, что они хранят ваши личные данные. Или даже такие данные о вас, которые вы, в общем-то, и не думали им доверять.

Начнем с того: а вы читате лицензионные соглашения при подключении к очередному облачному сервису? А знаете, где хранит ваши данные разработчик умного замка, который открывается из приложения для айфона? Может, в облаке? А какие данные он там хранит?

Чаще всего создатели устройств собирают слишком много данных. И у разработчика замка в облаке может оказаться, например, информация о IP-адресе, на который он отправляет вашему замку сигнал открыться или закрыться. А также история — в какой день и в какое время вы открывали или закрывали дверь. Если такую историю немного поизучать, можно составить примерное представление о том, когда вы бываете дома, а когда — на работе. Если же это была кампания на Kickstarter, то в облаке мог оказаться и ваш физический адрес проживания, на который вам отправляли посылочку с замком.

Очень живо представляется группа воров-домушников, высчитывающих по этим данным, когда вас нет дома. А затем они просто приходят к вам, открывают нехитрые цифровые замки с помощью перехваченного кода и отключают уязвимые сигнализации вроде SimpiSafe.

Причем отношение к личным данным у некоторых компаний бывает откровенно циничным. Умные телевизоры одного из крупнейших производителей по умолчанию непрерывно записывают звук — таким образом организовано голосовое управление. То есть сотрудники компании в непрерывном режиме могут слушать то, о чем вы говорите в своей гостиной. При этом компания заявляет, что она со всей ответственностью относится к пользовательским данным и стремится обеспечить их максимальную конфиденциальность.

А есть, например, такое устройство, как Amazon Echo, которое также в непрерывном режиме слушает вас, но в дополнение к этому хранит и обрабатывает полученные данные в облаке. А если в одном предложении есть слова “Amazon” и “обрабатывает данные”, то можно не сомневаться, что в результате вы вдруг начнете видеть рекламу того, о чем вы говорили в той комнате, где установлено Echo.

Но, допустим, мы — как пользователи — еще готовы простить то, что данные о нас попадают в руки Amazon, Google или Facebook✴. Мы надеемся, что у этих компаний все хорошо с информационной безопасностью, данные никуда не утекут и будут использоваться только для нашего блага и в точном соответствии с лицензионным соглашением (которое мы не читали). А вот у очередной маленькой компании, придумавшей какой-нибудь умный термостат, облако может быть далеко не таким защищенным — скорее всего, к его безопасности создатели термостата отнеслись так же, как к безопасности самого термостата. То есть данные могут утечь — и оказаться совсем не у тех, кому вы их доверяли.

Как от этого всего можно защититься? К сожалению, практически никак. Нет антивирусов и файерволлов для Интернета вещей. Нужно просто знать, что вы покупаете. Не поленитесь найти информацию в Интернете и лишний раз подумать: а нужна ли вам симпатичная лампа LifX, которая транслирует пароль от вашей Wi-Fi-сети, или все же не так уж и нужна? Устраивает ли вас ситуация с безопасностью SimpliSafe — или вы лучше по старинке будете пользоваться проводными сигнализациями?

Не всем устройствам действительно нужно быть подключенными к Интернету, к смартфону или к чему-нибудь еще. Подключенных молотков или умных вилок вроде пока не встречается — просто потому, что им незачем выходить в Интернет и передавать на телефон данные о количестве подцепленных макарон. И каждое новое устройство стоит оценивать с этой точки зрения — а действительно ли ему нужно интернет-подключение?

С другой стороны, тема безопасности Интернета вещей потихоньку набирает обороты — о ней хотя бы начинают говорить. Производителям указывают на их ошибки, и в новых устройствах они достаточно часто оказываются учтены.

Напоследок — немного цифр. По расчетам Cisco, в 2019 году рынок Интернета вещей будет оцениваться в 19 миллиардов долларов. При этом в мире будет насчитываться 24 миллиарда подключенных к Сети устройств и 10,5 миллиарда соединений между ними (M2M, machine to machine). На долю домашних устройств вроде сигнализаций, принтеров, умных замков и подключенных к Сети холодильников будет приходиться более 50% из них. То есть Интернет вещей будет окружать нас со всех сторон уже очень, очень скоро. Хочется верить, что к тому моменту это будет хоть чуточку более безопасный Интернет вещей, чем сейчас.