 Все большее количество потребительской электроники связывается с Интернетом. Мы живем на заре эпохи Интернета вещей. Различные устройства, начиная от выключателей и дверных замков до автомобилей и медицинских устройств, хвастаются взаимосвязанностью, в дополнение к базовой функциональности.
Но каковы последствия для безопасности и конфиденциальности? Ожидаются ли тяжкие преступления через взломанные интернет-устройства? Могут ли хакеры с их помощью осуществлять крупные теракты? Исследования показывают, что эти сценарии являются в пределах разумного.
Современные автомобили являются одним из самых взаимосвязанных продуктов, с которыми потребители взаимодействуют на сегодняшний день. Многие из фундаментальных блоков транспортного средства - в том числе двигатель и модуль тормозного управления - теперь имеют электронное управление. Новые автомобили также поддерживают беспроводное соединение дальнего действия через сеть сотовой связи и Wi-Fi. Но это, безусловно, не означает высокий уровнем безопасность.
Группе исследователей по безопасности из Университета Вашингтона удалось удаленно нарушить и контролировать высоко компьютеризированный автомобиль. Они вторглись в частную жизнь пассажиров транспортных средств посредством прослушивания их разговоров. Что еще более тревожные, они отдаленно выключили системы торможения и освещения и привел машину к полной остановке на моделируемом шоссе. Эксплуатируя уязвимость в критических модулях, в том числе контроле тормозных систем и двигателя, наряду с радио и телематическими компонентами, группа полностью преодолела контроль водителя транспортного средства. Последствия безопасности очевидны.
Это поднимает важные вопросы о том, как много производителей и потребителей готовы пожертвовать безопасностью и конфиденциальностью для увеличения функциональности и удобства. Автомобильные компании начинают принимать эти угрозы всерьез, назначив руководителей по кибербезопасности. Но по большей части, автопроизводители, похоже, будет иметь проблемы с безопасностью после проведения процесса проектирования.
Все большее число устройств по всему дому становятся автоматизированными и подключенными к Интернету. Многие полагаются на собственный протокол беспроводной связи под названием Z-Wave.
Двое исследователей из Великобритании нашли лазейку в безопасности в криптографической библиотеке Z-Wave - программном обеспечении, которое проверяет на подлинность любое устройство, подключающееся к домашней сети, среди других функций, в то же время обеспечивая безопасную связь через Интернет. Исследователи смогли сделать уязвимыми контроллеры автоматизации дома и дистанционно контролировали различные приборы, включая дверные замки и системы сигнализации. Безопасность Z-Wave полагается исключительно на сохранении алгоритма в тайне от общественности, но исследователи смогли перепроектировать протокол для поиска слабых мест.
Другая группа обнаружила другую уязвимость в контроллерах Z-Wave: их веб-интерфейсы. Через Интернет, они могут контролировать все домашние приборы, подключенные к контроллеру Z-Wave, показывая, что хакер может, например, отключить тепло в зимнее время или наблюдать за жителями через веб-камеру. Исследователи также продемонстрировали угрозу в подключении компактных люминесцентных ламп к диммеру Z-Wave. Эти лампы не были разработаны с учетом удаленных манипуляций через Интернет. Злоумышленник может отправить уникальные сигналы на люминесцентные лампы, чтобы сжечь их, испуская искры, которые потенциально могут привести к пожару в доме.
Исследователи также обдумывали возможность крупномасштабного теракта. Модель угрозы предполагает, что домашняя автоматизация становится настолько вездесущей, что эта функция устанавливается в домах разработчиками как стандартная. Злоумышленник может использовать уязвимость в контроллерах автоматизации, чтобы включить энергоемкие устройства - системы вентиляции и кондиционирования - по всей окрестности в одно и то же время. В результате силовые трансформаторы будут перегружены, и энергосистема целого квартала может выйти из строя.
Одним из лучших методов проектирования элегантных решений безопасности является поддержка сообщества безопасности, чтобы найти слабые места, в противном случае незамеченными производителем. Если внутренние криптографических библиотеки, которые эти устройства используют, чтобы скрыть и восстановить данные, среди других задач, являются открытым исходным кодом, то они могут быть проверены сообществом безопасности. После того, как проблемы будут найдены, обновления могут быть переданы для их решения. Криптографические библиотеки, реализованные с нуля, могут быть пронизаны ошибками, которые сообщество безопасности, скорее всего сможет вовремя найти и исправить - прежде, чем их станут использовать злоумышленники. К сожалению, этот принцип не был строго соблюден в мире Интернета вещей.
Сторонние производители разработали веб-интерфейсы и бытовую технику с поддержкой Z-Wave. Было обнаружило, что, даже если производитель сделал очень хорошую работу, и выпустил безопасный продукт, то продавцы розничной торговли, которые упаковывают его с дополнительной функциональностью (программным обеспечением третьей стороны) - могут привести к уязвимости. Конечный пользователь может также поставить безопасность под угрозу при неправильной эксплуатации продукта. Вот почему надежные многослойные решения безопасности имеют жизненно важное значение - чтобы уязвимость была ограничена только одним компонентом, а не целой системы.
Существует еще одна лазейка в Интернете вещей, на которую правоохранительные органы стали обращать внимание: использование коробки сканера, который имитирует сигналы, посылаемые из удаленными брелков, чтобы взломать автомобили. Риски сегодня остаются низкими по целому ряду причин. Атаки на систему домашней автоматизации, по всей видимости, пока несут очень целенаправленный характер. Совершение подобных атак по шкале всей окрестности может быть очень дорогостоящей задачей для хакера, тем самым уменьшая вероятность их возникновения.
Должны проводиться согласованные усилия для повышения безопасности будущих устройств. Исследователи, производители и конечные пользователи должны быть осведомлены, что неприкосновенность частной жизни, здоровье и безопасность может быть нарушена за счет повышенной взаимосвязанности. Преимущества в удобстве должны быть сбалансированы с расходами безопасности и конфиденциальности по мере того, как Интернет вещей продолжает проникать в наше личное пространство.
|
