Статьи в блоге Праймсофт

Главная / Блог / Статьи / Информационные / В окружении умных вещей.Проблемы безопасности

В окружении умных вещей.Проблемы безопасности

На текущий момент времени Интернет вещей (IoT) и индустриальный Интернет вещей (M2M – machine-to-machine) расширяются на огромной скорости. Так в Intel посчитали, что 10 лет назад было только 2 миллиарда смарт-объектов, связанных с беспроводным миром, а IDC оценили количество подключенных устройств к 2020 году уже в 200 миллиардов.
С ростом Интернет вещей растет и передаваемая ими информация, образуя глобальные экосистемы "Умные-города". Естественно информация в такого рода системах передается беспроводным путем, что сказывается на их безопасности.Рассмотрим несколько примеров такого рода взломов:
  • Более 8000 человек стали жертвами хакерской атаки, когда хакеры из группы Anonymous вторглись в инфраструктуру европейского космического агентства и похитили имена, адреса электронной почты и пароли людей, которые затем были опубликованы в виде трёх дампов данных на сервисе justpaste.it.
  • Компания Symantec использует особым образом настроенные компьютеры Rasberry Pi, чтобы привлечь внимание к лежащим на поверхности уязвимостям в фитнес-трекерах. Эксперты по безопасности обнаружили, что некоторые из этих устройств позволяют злоумышленникам с лёгкостью следить за местоположением трекеров.
  • Эксперты по безопасности из компании Proofpoint обнаружили, что в праздничный период 2014 года подключенный к Интернету холодильник использовался для отправки более 75000 спам-сообщений и фишинговх писем.
  • Хакер и эксперт в вопросах кибербезопасности Крис Робертс (Chris Roberts) из фирмы One World Labs в Денвере, США, сумел взломать бортовую развлекательную систему в самолёте и, согласно ордеру ФБР от апреля 2015 года, перехватить управление самолётом.
  • Передовая система сигнализации на железнодорожном транспорте, предназначенная для управления движением всех поездов в Великобритании, также может быть подвергнута взлому, что потенциально может привести к серьезным последствиям – об этом профессор Дэвид Стаплс (David Stupples) сообщил службе BBC. Компания Network Rail, которая проводит испытания европейской системы управления железнодорожным транспортом, подтвердила наличие потенциальной угрозы.
  • Stuxnet – первый компьютерный червь, который способен перехватывать и модифицировать поток данных между программируемыми логическими контроллерами марки SIMATIC S7 и рабочими станциями SCADA-системы SIMATIC WinCC фирмы Siemens. В июне 2010 года вирусу Stuxnet удалось проникнуть в компьютеры иранской атомной станции в Бушере, Иран в результате чего общее количество поражённых червем компьютеров составило 60% от всех инфицированных систем в стране. Позже стало известно, что вирус был разработан совместно разведывательными службами США и Израиля. Им была успешно заражена компьютерная система ядерной программы Ирана (подтвердила Хилари Клинтон).
Всё больше автомобилей сегодня получают доступ в сеть, но что, если автомобиль станет объектом хакерской атаки Журналист Wired Энди Гринберг (Andy Greenberg) выяснил это на собственном опыте, когда управление его автомобилем – Jeep Cherokee – было перехвачено на скорости 110 км/ч на шоссе в Сент-Луисе.
Исследователи в сфере безопасности утверждают, что сегодня около 471 тысячи автомобилей можно взломать практически из любой точки мира – для этого злоумышленнику нужно только знать IP адрес атакуемого автомобиля.
IOT
iot2

Мобильная угроза

Учитывая огромные объёмы информации, генерируемые подключенными устройствами, приоритеты должны смещаться в сторону защиты тех данных, которые действительно важны. Первый шаг в создании инфраструктуры безопасности заключается в исследовании видов встречающихся угроз. Помимо фишинга, DoS и DDoS атак и физического вторжения в эру гаджетов получил широкое распространение взлом приложений. Сегодня на рынке представлены специальные автоматизированные инструменты для взлома, многие из которых распространяются бесплатно. Дело в том, что в отличие от централизованных веб-окружений, мобильные приложения существуют в рамках никак не регулируемой экосистемы мобильного устройства. Незащищенный программный код мобильных приложений (тот самый, который вы загружаете, когда устанавливаете приложение, например, из магазина AppStore или Google Play.) позволяет злоумышленникам легко и непринуждённо модифицировать эти приложения и использовать их в своих интересах.
В результате подобных атак девять из десяти организаций (90%) испытывали негативные последствия для своей коммерческой деятельности, в том числе задержки с развитием продуктов или сервисов (31%), снижение продуктивности своих сотрудников (30%), снижение потребительской уверенности (28%) и определенное давление (24%). Всё это указывает на весьма значительные негативные последствия утечек данных, которые негативным образом сказываются как на корпоративной репутации, так и на общих результатах деятельности компаний, а также на уверенности их заказчиков в данной отрасли.

Необходимость двойного действия: конфиденциальность/аутентификация

Первый важный шаг в обеспечении безопасности устройства заключается в том, чтобы гарантировать, что пользователь действительно является тем, за кого себя выдаёт, и действительно имеет право для доступа к этому устройству. Процедура аутентификация является важным аспектом при работе с подключенными устройствами. Например, когда мы открываем свой умный автомобиль с помощью мобильного телефона, мы хотим быть уверены, что никто кроме нас не сможет этого сделать.
Но на самом деле автомобили далеко не всегда обладают хорошей защитой, как можно подумать! Австралийский исследователь в области безопасности Сильвио Сезаре (Silvio Cesare) продемонстрировал уязвимость в устройстве электронного замка автомобиля, в результате которой он сумел отключить сигнализацию и проникнуть в автомобиль, не оставив после себя никаких улик для полиции. При этом для получения доступа к автомобилю он использовал простейшую программно-определяемую радиосистему (software defined radio) и антенну, с помощью которых он мог перехватывать и отправлять беспроводные сигналы.
Поставщики оборудования также должны быть авторизованы для доступа к удалённому устройству. Производитель электромобиля Tesla оповещает водителей о доступности обновления прошивки и о том, когда это обновление будет загружено. Таким образом, водитель понимает, что обновление было получено непосредственно от Tesla, и что это не попытка злоумышленника проникнуть в систему. Для более надежной аутентификации всё чаще используются биометрические данные, например, отпечатки пальцев или сканирование сетчатки, которые позволяют достоверно подтвердить, что мы являемся именно теми, за кого себя выдаём.

Принципы защиты Интернета вещей


sec

Анализ ситуации показывает необходимость использования комплексного и научно-обоснованного подхода к обеспечению безопасности Интернета вещей:
  • Оценка рисков – для разработчика важно понимать все потенциальные уязвимости. Методология оценки должна охватывать вопросы обеспечения конфиденциальности, безопасности, предотвращения мошеннических действий, кибератак и кражи интеллектуальной собственности. Оценка рисков отнюдь не является простой задачей, поскольку киберпреступники находятся в постоянном поиске и постепенно осваивают всё новые и новые виды угроз. И поскольку универсального решения для нейтрализации этих угроз не существует, на этом этапе рекомендуется пригласить для консультаций эксперта в области безопасности.
  • Обеспечение безопасности на этапе проектирования – ключевой момент заключается в том, что безопасность устройства должна учитываться на этапе проектирования. Сюда относится безопасность в конечных точках и профилактические меры, в том числе создание защищенного ко взлому аппаратного и программного обеспечения.
  • Обеспечение безопасности данных – строгая аутентификация, шифрование и безопасное управление ключами шифрования должны использоваться для защиты информации, как хранящейся на устройстве, так и в момент её передачи.
  • Управление жизненным циклом – обеспечение безопасности не следует рассматривать как обособленный процесс, который достаточно выполнить один раз и забыть о нём. Крайне важно, чтобы устройства, использующиеся в экосистеме Интернета вещей, были защищены на протяжении всего их жизненного цикла, не важно, идёт ли речь о самостоятельном продукте, или о некой системе, например, интегрированной в автомобиль.