Интернет вещей: сломай его и начни сначала

Интернет вещей уже давно является горячей темой, и не всегда по правильным причинам. Люди говорят, что плохой рекламы не бывает, но это не тот случай. С самого появления термина «Интернет вещей» в 1999 г. люди всегда скептически относились к вопросам безопасности, и отключение Dyn в 2016 г. показало им, что их опасения не напрасны. Атака произошла рано утром 21 октября, и хотя DDoS-атаки довольно распространены и руководители Dyn привыкли с ними справляться, за короткий промежуток времени стало ясно, что эта атака была другой. Атаки происходили тремя волнами и вызвали большой хаос, когда ведущие веб-сайты, включая Tumblr, Twitter, Verizon, Amazon и Reddit, потеряли сервис. Отличительной чертой этой атаки было то, что она воспользовалась огромными пробелами в безопасности IoT и, по сути, настроила машины против нас.

DDoS-атаки и как они работают

Как и в случае с большинством кибератак, на самом деле нет никаких веских доказательств, которые можно было бы отследить до злоумышленников, но вот разбивка того, что нам известно. Атака в основном использовала использование недорогих и серийно выпускаемых микрочипов в устройствах IoT, в которых отсутствовали базовые меры безопасности. Эти устройства использовали заводские имена пользователей и пароли по умолчанию. Это обратило внимание не только на всех DNS-провайдеров, но и на их клиентов.

При распределенной атаке типа «отказ в обслуживании» (DDoS) несколько скомпрометированных систем IoT заражаются вредоносным кодом и используются для атаки на одну систему, в данном случае на службу DNS Dyn. Вредоносным кодом в этой атаке был ботнет Mirai, который отвечал за большую часть трафика, нарушавшего работу служб Dyn. Этот фрагмент вредоносного кода, названный в честь японского слова «будущее», заставляет все зараженные устройства постоянно сканировать Интернет в поисках уязвимых устройств IoT и оснащен 60 стандартными заводскими именами пользователей и паролями. Все зараженные устройства становятся частью ботнета, который затем используется для крупномасштабных атак, подобных атаке на Dyn. Помимо атаки Dyn, Mirai также использовался для атак на журналиста по безопасности Брайана Креба, французского веб-хостинга OVH, Deutsche Telekom и интернет-инфраструктуру Либерии.

Явная и реальная опасность

Поскольку все еще существуют сотни тысяч IoT-устройств, использующих настройки по умолчанию, угроза вполне реальна, и в ближайшем будущем мы определенно можем увидеть новые атаки такого рода. В дополнение к тому факту, что тот, кто написал Mirai, был так любезен, что разместил его на хакерских форумах как «с открытым исходным кодом», большая часть его кода адаптируется для других вредоносных проектов, пока мы говорим.

Угроза настолько реальна и неизбежна, что многие производители не только отзывают свое оборудование, но теперь обращаются к чипам с большей вычислительной мощностью, чтобы можно было реализовать более эффективные меры безопасности. Основная проблема заключается в том, что целевые устройства, такие как цифровые видеомагнитофоны и домашние маршрутизаторы, имеют небольшие размеры и требуют ограниченной вычислительной мощности. Хотя эти устройства способны выполнять задачи, для которых они изначально были разработаны, когда дело доходит до безопасного шифрования в Интернете, они уже не работают.

Учитывая, что к 2020 году в IoT будет установлено более 26 миллиардов устройств, это больше, чем просто большая проблема. Нарушение безопасности может означать, что кто-то может включить приборы в вашем доме, следовать за вами домой через фитнес-монитор, привязанный к вашей руке, или просто причинить неудобство обществу.

Рекомендация президента

Когда Джон Ромки создал первое «Интернет-устройство» в 1990 году, подключив свой тостер к Интернету, он, вероятно, не думал, что однажды президент Соединенных Штатов будет говорить о безопасности IoT как об одном из своих главных приоритетов. В 90-страничном отчете, подготовленном по заказу бывшего президента Барака Обамы в качестве первой и главной рекомендации новому президенту Дональду Трампу, четко говорится о необходимости улучшения сетей безопасности и, в частности, обеспечения устойчивости к DDoS-атакам. Отчет включает 16 рекомендаций и 63 связанных с ними пункта действий.

Обеспечение безопасности с нуля

В основе проблемы, однако, лежит тот факт, что большинство систем необходимо будет полностью заменить. Как и в автомобилях, вы не можете взять старый драндулет и установить подушки безопасности и ABS, и то же самое касается IoT. Безопасность — это то, что нужно планировать с самого начала, и весь дизайн должен измениться с функционального на безопасный. Стоимость отзыва устройств и исправления ошибок на самом деле намного превышает стоимость создания безопасных устройств, не говоря уже о потерях, вызванных успешными атаками, такими как атака на Dyn. Почему замена является единственным вариантом в некоторых случаях, так это потому, что использование шифрования возможно на больших чипах X86, но многие процессоры IoT, такие как процессоры на целевых устройствах, имеют лишь часть вычислительной мощности, необходимой для обеспечения безопасности.

Умные дома сейчас в моде, и люди могут контролировать все, от водонагревателя до духовки, через свои смартфоны. Чего люди не осознают, так это того, что большинство продуктов для умного дома на данный момент представляют собой устройства с фиксированными функциями, а это означает, что их нельзя модернизировать для дополнительной безопасности после поставки. Поэтому, если хакеры найдут брешь в своем программном обеспечении безопасности, у домовладельцев, по сути, есть два варианта: выбросить устройство или быть взломанным!

Образование и осведомленность

По мере того, как растет осведомленность о реальности проблемы, производители, которые думают о безопасности с самого начала, будут предпочтительнее тех, которые в конечном итоге исправляют уязвимости на лету. Лучший способ обеспечить безопасность на программном уровне — установить автоматические обновления. Даже самое лучшее антишпионское или антивредоносное программное обеспечение будет бесполезным без автоматических обновлений, и IoT ничем не отличается. Производители должны планировать это и осознавать, что инвестиции того стоят по сравнению с бедствиями, которые могут последовать, если они упустят эту функцию.

Помимо автоматических обновлений, дизайн систем IoT должен быть ориентирован на безопасность по своей природе, и в систему необходимо с нуля встроить ряд отказоустойчивых устройств. Точно так же, как предохранители используются в электрических цепях, чтобы одно неисправное устройство не вывело из строя всю сеть, должны быть спроектированы отказоустойчивые системы, которые подавляют внезапные всплески запросов, чтобы даже когда системы были скомпрометированы, они не влияли на всю сеть. систему DNS и вывести ее из строя миллиардом вредоносных запросов. В некоторых случаях устройства на самом деле создаются с включенным шифрованием, но многие неопытные клиенты не знают, что их устройства используют учетные данные по умолчанию. Например, нет недостатка в людях, которые выходят в Интернет с помощью маршрутизатора с именем пользователя «admin» и паролем «password». В таких случаях информирование клиентов об использовании уникальных учетных данных и защите их Wi-Fi важно не только для них, но и для всей сети.

Это одна из тех проблем, которые почти незаметны до тех пор, пока не станет слишком поздно, совсем как глобальное потепление. Никто на самом деле не заботится о таянии полярных льдов, пока погода не станет причудливой на их собственном заднем дворе. Ожидается, что в ближайшие несколько лет количество IoT-устройств превысит количество людей почти в 4 : 1, и производителям придется потрудиться, чтобы действовать сообща. И им лучше сделать это как можно скорее.