Атака пристроїв розумного будинку

Не можна заперечувати, що Інтернет речей (IoT) став популярною категорією продуктів, про що свідчить широкий асортимент пропозицій IoT на нещодавній виставці CES – від телевізорів, колонок і продуктів домашньої автоматизації, таких як камери та термостати, до холодильників і, вірю, це чи ні, дзеркала. Якщо ви вже володієте розумним пристроєм або навіть плануєте придбати один (чи багато), майте на увазі, що кожен із них несе із собою загрози для конфіденційності та безпеки, на думку експертів галузі безпеки.

Це занепокоєння було підкреслено нещодавно, коли WikiLeaks оприлюднив онлайн документи, які стверджують, що ЦРУ зламало смарт-пристрої, включаючи смарт-телевізори Samsung . Злом цих телевізорів підтвердив найгірші побоювання тих, хто вже нервував через вбудовані мікрофони, які використовуються для розуміння голосових команд людей. Кожен, хто отримує контроль над цими телевізорами, очевидно, може почути все, що ми говоримо, перебуваючи поблизу.

Зі свого боку Samsung оприлюднила таку заяву: «Захист конфіденційності споживачів і безпека наших пристроїв є головним пріоритетом Samsung. Ми знаємо про звіт, про який йде мова, і терміново розглядаємо це питання». Компанія заявила, що «шкідливе» програмне забезпечення, описане WikiLeaks, було встановлено через фізично підключений USB-накопичувач, який застосовувався до прошивки телевізорів, які вона продавала в 2012 і 2013 роках, «більшість з яких вже були виправлені через оновлення прошивки». Він додав, що в Samsung, «ми постійно відстежуємо будь-які ризики безпеці» на його платформі смарт-телевізорів і, «якщо ми їх виявимо, ми негайно їх вирішуємо». Будь-хто, кого хвилює використання смарт-телевізорів Samsung, може вжити заходів для підвищення безпеки, йдеться в повідомленні та пояснюється: «Найкраща дія, яку можуть зробити споживачі для забезпечення безпеки будь-якого пристрою, — це постійно оновлювати програмне забезпечення та програми».

Все більше споживачів експериментують із концепцією керування аудіо/відеопристроями та пристроями домашньої автоматизації через якийсь інтелектуальний концентратор — будь то SmartThings від Samsung або Amazon Echo, один із найпопулярніших продуктів минулого святкового сезону. Зрештою, під час перегляду фільму чи футбольного матчу зручно і досить акуратно керувати всім з дивана. Зрештою, чому ми повинні вставати і ходити через кімнату, щоб повернути або зменшити термостат, коли нам не потрібно ще пива або потрібно зробити перерву в туалеті?

Незалежно від того, чи використовуєте ви такі пристрої у системі домашнього кінотеатру чи деінде вдома, є кілька способів, якими ви можете захистити себе від загроз конфіденційності та безпеки.

Небезпека, Вілл Робінсон (або як вас звуть)! Небезпека!
За словами Брайса Боланда, головного технічного директора Азіатсько-Тихоокеанського регіону компанії з кібербезпеки FireEye, «споживачам потрібно приділяти набагато більше уваги своїй кібербезпеці, ніж сьогодні», тому що «пристрої, які ви підключаєте до домашньої мережі, потенційно можуть викрити всі пристрої та дані в мережі злочинцям».

«Ці злочинці можуть скористатися цим доступом, щоб отримати доступ до вашого банківського рахунку, спробувати вимагати вас, використовувати ваші пристрої для здійснення атак на інші цілі або завдати шкоди іншим способом», — сказав він, додавши: «Споживачі повинні знати про це». ризики, що розвиваються, тому що якщо їх немає, ними скористаються".

Особиста кібербезпека є «головною проблемою» сьогодні, і вона «стане ще більш важливою в наступні роки», передбачив він. Більшість із нас схильні думати набагато більше про безпеку своїх домівок, ніж про безпеку наших пристроїв та інформації. Але «проникнення в будинки не дуже поширене явище в більшості місць, тому що це відносно високоризикована діяльність – злодіїв, яких спіймають, часто притягують до відповідальності», – сказав Боланд.

З іншого боку, кібератаки мають «досить низький ризик і часто не переслідуються через характер злочину та його міжнародний характер». «Сьогодні на ринку просто немає чудових рішень», — пояснив він. На корпоративній арені компанії, як правило, віддають перевагу підписці на пропозиції безпеки, які «допомагають усунути прогалини в безпеці та подолати ризики», але «ми ще дуже далекі від широкого впровадження ефективних продуктів персональної безпеки сьогодні на ринку».

Розумні пристрої, які постачають виробники, «повинні бути захищені за замовчуванням, із коробки», оскільки «якщо споживачеві не потрібно нічого робити, щоб пристрій працював, йому не потрібно нічого робити, щоб пристрій працював безпечно». ", – сказав він, додавши: "Це означає, що виробники пристроїв не повинні використовувати жорстко закодовані або стандартні паролі".

Далі Боланд сказав, що виробники пристроїв також повинні «забезпечити легке обслуговування та оновлення пристроїв, які вони постачають». Виробники повинні використовувати цю можливість для «усунення нещодавно виявлених вразливостей і нових загроз». На жаль, сьогодні більшість із них використовують сторонні бібліотеки коду. Це означає, що «навіть якщо їхній власний код абсолютно безпечний, їхні клієнти можуть бути піддані вразливостям, які виявляються в цих зовнішніх бібліотеках», — пояснив він.

Незважаючи на те, що виробники пристроїв «не можуть забезпечити ідеальну безпеку», вони можуть «інвестувати в команду, яка гарантує, що їхні пристрої максимально безпечні за замовчуванням, і вони можуть контролювати постійну безпеку» свого продукту та реагувати на нього. Кожен виробник повинен мати команду людей, які керують безпекою своїх минулих, поточних і майбутніх продуктів протягом життєвого циклу своїх продуктів. «Якщо виробники цього не роблять, вони повинні припустити, що їхні продукти будуть скомпрометовані зловмисниками раніше, ніж пізно», — сказав Боланд.

Більшість виробників сьогодні навіть не мають «ефективних, спеціалізованих груп безпеки», тому що «економічні умови не сприятливі для безпеки», тому це часто є лише «зовнішніми ринковими факторами, доки не втручаються регулятори», – сказав він. Він передбачив, що «урядам потрібно буде посилити регулювання виробників пристроїв, перш ніж ми побачимо загальне покращення».

Тим часом, за його словами, споживачі можуть зробити кілька речей, щоб захиститися від злому:
1 Переконайтеся, що на ваших пристроях встановлено найновіше мікропрограмне забезпечення.
2 Використовуйте надійні унікальні паролі на всіх своїх пристроях і облікових записах, включаючи Wi-Fi.
3 Вимкніть доступ до мережі на тих пристроях, де він не потрібен. Наприклад, якщо вашій стереосистемі не потрібно бути в мережі, не підключайте її.
4 Переконайтеся, що ваш домашній маршрутизатор від перевіреного постачальника та використовує поточну версію програмного забезпечення без відомих уразливостей.
5 Використовуйте окрему мережу для мобільних пристроїв і комп’ютерів, ніж для пристроїв IoT. Деякі маршрутизатори мають функцію гостьової мережі, яку можна використовувати для пристроїв, яким потрібен доступ до Інтернету, але не потрібен доступ до вашої домашньої мережі.
6 Використовуйте лише пристрої перевірених виробників, які випускають оновлення.
7 Вимкніть хмарну підтримку/облікові записи на пристроях, де вони не потрібні.
8 Сучасна домашня мережа майже така ж складна, як мережа малого бізнесу 10 років тому. Якщо ви хочете докласти додаткових зусиль, ви можете встановити маршрутизатор малого бізнесу у своїй домашній мережі та використовувати віртуальні локальні мережі (VLAN), щоб сегментувати кожен пристрій у власну мережу, а потім контролювати, що може робити кожен пристрій. Це може підвищити як продуктивність, так і безпеку… але воно супроводжується значно складнішим початковим налаштуванням.

Будьте обережні з цим пристроєм, Юджин (або хто б то не було)
Шагоріка Діксіт, старший менеджер Norton Consumer IoT Security у Symantec, погодився, що споживачі справді повинні бути стурбовані питаннями безпеки та конфіденційності, коли мова йде про розумні домашні пристрої. Насправді під час тестів Symantec «виявила вразливості в 50 різних типах підключених домашніх пристроїв, починаючи від розумних термостатів і закінчуючи розумними концентраторами», – сказала вона.

Вона додала: «Споживачі повинні однаково турбуватися про всі підключені пристрої». Це тому, що хакери можуть отримати доступ до інтелектуальної камери, інтелектуального замка чи багатьох інших пристроїв. «Хоча деякі ризики можуть здаватися більш страшними, ніж інші, більшість підключених пристроїв становлять певну форму ризику, чи то кіберзлочинці отримують фізичний доступ до пристрою чи видобуток особистої інформації», — сказала вона. Тому споживачі повинні вживати «запобіжних заходів, щоб забезпечити належний захист УСІХ підключених пристроїв, тому Norton пропонує захищати пристрої на рівні мережі», — сказала нам вона.

Оскільки все більше підключених пристроїв заповнює наші домівки, кількість точок входу для кіберзлочинців, щоб проникнути в наші гаджети та викрасти конфіденційну особисту інформацію, також зростає. Хакери навчилися використовувати той факт, що багато споживачів не змінюють параметри за замовчуванням і паролі на своїх розумних домашніх пристроях, а багато підключених пристроїв ще не виготовляються з урахуванням безпеки, сказав Діксіт.

«Не хвилюйтеся. Ситуація під контролем».
Представники виробників, з якими ми зв’язалися для цієї історії, визнали, що існують потенційні проблеми з конфіденційністю та безпекою з розумними домашніми пристроями, але вони сказали, що споживачі не повинні надто хвилюватися, використовуючи продукти їхніх компаній (звичайно).

За словами Джона Тейлора, віце-президента LG Electronics USA, такі технології, як Smart ThinQ і Deep ThinQ від LG у поєднанні з Hub Robot від виробника, «забезпечать новий рівень задоволення, зручності та економії енергії». «У той же час ми уважно ставимося до питань конфіденційності/безпеки», і LG «пишається своїм досвідом у захисті особистої інформації споживачів на арені смарт-телевізорів, і це ж зобов’язання переноситься на наші підключені пристрої, як добре, – сказав він.

Тейлор сказав нам, що «сучасні засоби захисту даних і конфіденційності розроблені з самого початку» в продуктах LG. «Тим не менш, це гаряча тема, яка, по праву, привертатиме все більше уваги в усій галузі, оскільки простір IoT продовжує розвиватися», — сказав він.

Він додав: «Одним із початкових кроків є навчання споживачів щодо кроків, які вони можуть зробити, щоб захистити свої пристрої та домашні мережі». З цією метою, за його словами, LG працює з Асоціацією споживчих технологій над національною громадською кампанією, щоб заохотити споживачів використовувати надійні паролі та надати поради щодо інших заходів, які вони можуть вжити для підвищення безпеки своїх мереж і пристроїв. Тейлор сказав нам, що йому не відомо про будь-які порушення безпеки з пристроями розумного будинку LG.

«Споживачі повинні знати, але не надто турбуватися про реальні небезпеки, які існують, і це наша відповідальність як індустрія, щоб заслужити їхню довіру», — сказав Сол Хедая, менеджер категорії Mercury Innovations, виробник нової лінії Geeni smart. продуктів для дому, які включають ряд розумних лампочок, камер і рішень для живлення.

«Оскільки ми звикаємо до того, що все навколо нас підключено до Інтернету, це означає великі переваги для нашого суспільства, але також і реальні небезпеки», — визнав Хедая. «Найпоширенішими проблемами, які ми стикаємося в розумному домі, є напади зловмисників на пристрої (зокрема камери), які мають пароль за замовчуванням, який легко вгадати, або навіть без пароля». Він додав: «Будь-який незахищений пристрій в Інтернеті може бути швидко виявлений і використаний, і часто стає мимовільним засобом для подальших атак на інших. Таким чином, ми дуже серйозно ставимося до безпеки, включаючи шифрування даних військового класу AES, алгоритми шифрування під час автентифікації, зашифровані канали HTTPS тощо».

Наразі компанія лише обмежено розповсюджувала нову лінійку Geeni, але «не було зареєстровано жодних порушень у пристроях, які ми маємо», — сказав він.

Іншим виробникам так не пощастило. Діксіт із Symantec вказав на широко розповсюджену атаку розподіленої відмови в обслуговуванні (DDoS), яка сталася в жовтні, під час якої хакери змогли заразити мережу пристроїв IoT, щоб знищити кілька веб-сайтів. Спочатку повідомлялося про збої в основному на східному узбережжі США, але також постраждали європейські сайти. Серед сайтів, які були заражені, були Netflix і Twitter.

Тому, як у фільмах, якщо виробник пристрою каже вам не хвилюватися, оскільки він тримає ситуацію під контролем, сприймайте це принаймні з недовірою. І переконайтеся, що ви вжили якомога більше запобіжних заходів під час налаштування будь-якого пристрою розумного будинку.