Умные холодильники и прочие глупости

Если старая поговорка о том, что «дом человека — его крепость», верна, то место, где большинство мужчин хранят свои ценности в безопасности, — это холодильник. Там пиво хранится охлажденным, а также те жирные реберные стейки, которые вы размягчаете для барбекю, когда возвращаетесь домой с работы в пятницу. А стены замка, как правило, толстые, высокие и сделанные из камня, их обычно достаточно, чтобы не дать этим чертовым бандитам, вроде соседей, добраться до вкусностей, хранящихся в вашем холодильнике.

До сих пор так. Ситуация может измениться с появлением Интернета вещей (IoT) и появлением так называемого умного холодильника, который, на мой взгляд, может быть самой глупой вещью, когда-либо созданной. Например, прошлым летом охранная компания Pen Test Partners обнаружила уязвимость в одном из подключенных к Интернету холодильников Samsung, которая позволила злоумышленнику украсть учетные данные Gmail владельца холодильника. Что может пойти не так? Может быть, владелец холодильника — айтишник, который работает в крупной компании, и он использует свою учетную запись Gmail для сброса пароля на своем домашнем компьютере, и, к сожалению, на его домашнем компьютере хранится некоторая конфиденциальная информация о компании, так что… вы, вероятно, поняли картину. — вдруг вы оказались виновны в нарушении безопасности на вашем рабочем месте.

Это плохо, и это становится еще хуже

В этом году сайты технических новостей были буквально завалены сообщениями о плохих вещах, происходящих с устройствами IoT. В настоящее время больше всего беспокоит то, что ужасная безопасность (или полное отсутствие безопасности) большинства IoT-устройств привело к массовому сбору IoT-устройств для создания ботнетов, чтобы вывести из строя крупные коммерческие веб-сайты и другие интернет-сервисы. Например, быстрый поиск новостей о вредоносном ПО Mirai на популярном веб-сайте Krebs on Security выявляет такие головокружительные истории, как:

• Действительно ли ботнет Mirai отключил Либерию от сети?
• Новый червь Mirai отключил 900 тысяч немцев
• Взломанные камеры и видеорегистраторы привели к сегодняшнему массовому отключению Интернета
• Опубликован исходный код ботнета IoT Mirai
• Исследователи находят свежую пищу для атак IoT

Есть также несколько статей, которые предвещают предстоящую битву за регулирование и юридические издевательства над вопросами ответственности, связанными с устройствами IoT, например:

• Производитель IoT-устройств обещает отозвать продукт и подать в суд на западных обвинителей
• Сенатор подталкивает федеральные агентства к беспорядку IoT

Брюс Шнайер также привел веские доводы в пользу того, что правительства, регулирующие производителей IoT, должны обеспечить минимальную необходимую безопасность, встроенную в эти «удобства», если мы хотим предотвратить остановку Интернета в целом. В конце концов, если злонамеренная атака на провайдера DNS, такого как Dyn, может сделать основные сайты, такие как PayPal, Twitter, Pinterest и Reddit, недоступными почти на целый день, чего может достичь более скоординированная атака со стороны государственного агента или синдиката организованной преступности, если они хотел поставить какой-то бизнес или даже страну на колени?

Ясно, что эта проблема сохранится в этом году и, вероятно, значительно усугубится, прежде чем произойдет что-то, что улучшит ее. Например, когда я заканчивал писать эту статью, я наткнулся на игрушечную куклу по имени Моя подруга Кайла, которая может читать рассказы, играть в игры и — с помощью «умного устройства», подключенного к Интернету, — вступать в разговоры с ребенок, играющий с ним, похож на Siri от Apple или Cortana от Microsoft. Теперь, что может пойти не так с этим? Ну, скажем, злонамеренный незнакомец взломал смарт-устройство, сопровождающее куклу вашего ребенка. Затем незнакомец может заставить куклу говорить непослушные слова вашему ребенку, или попросить ее выйти за пределы вашего дома, или… см. эту статью в «Зеркале», в которой описывается, как Pen Test Partners — та же охранная фирма, о которой я упоминал ранее, — смог продемонстрировать, что взломать куклу довольно легко. Не то чтобы взламываемые куклы были большой проблемой для большинства предприятий, но все же — ура!

Что могут сделать предприятия?

Пока регулирование не будет соответствовать текущим инновациям, что может сделать компания, чтобы защитить принадлежащие ей IoT-устройства от попадания в сети, заброшенные для создания ботнетов? Правила брандмауэра, очевидно, являются вашей первой линией защиты — вам необходимо настроить маршрутизатор или брандмауэр, чтобы разрешать передачу или получение такими устройствами только законного трафика. Вам также следует создать правила, запрещающие вашим IoT-устройствам устанавливать какие-либо исходящие подключения к Интернету. И если устройства имеют какие-либо функции автоматического обновления (что на данный момент встречается редко), вам следует ограничить подключение устройства к определенному серверу обновлений.

Однако более серьезная проблема для устройств IoT заключается в том, что многие из них загружают данные «клиентского опыта» в облачный провайдер. Явной причиной для этого является «улучшение» устройства, но даже если не принимать во внимание проблему конфиденциальности, проблема заключается в том, что они могут не использовать HTTPS для загрузки такой информации, что может затруднить идентификацию такого трафика и брандмауэр. Кроме того, есть такие устройства, как интеллектуальные термостаты, которым может потребоваться подключение к своим облачным серверам управления для выполнения своих обычных функций. Так что я должен сказать, что согласен с Брюсом в этом отношении, что регулирование является окончательным ответом здесь, поскольку я не хочу тратить много часов на прослушивание пакетов только для того, чтобы попытаться выяснить, какие правила брандмауэра могут помочь предотвратить мою систему климат-контроля. или камеры слежения или холодильник, наполненный пивом, от кражи с целью обрушить Amazon — и рисковать привлечением к ответственности за то, что позволили взломать мои устройства IoT таким образом.

На облачном фронте

На другой стороне медали — то, что компании могут сделать, чтобы защитить себя от атак DDoS на основе IoT или, по крайней мере, снизить опасность того, что их бизнес пострадает от такой атаки, если какой-то злонамеренный объект решит нацелиться на них. Хорошей новостью здесь является то, что все больше и больше предприятий почти полностью переходят в облако, и крупные облачные хостинговые компании начали понимать, что в ближайшие дни их клиентам потребуется повышенная защита от DDoS-атак. Одной из таких облачных компаний, крупнейшей по большинству показателей, конечно же, является Amazon Web Services, и недавно они выпустили новый сервис под названием AWS Shield, предназначенный для обеспечения управляемой защиты от DDoS-атак, которая может защищать веб-приложения, работающие на AWS.

Что хорошо в этом подходе, так это то, что обременительная задача по смягчению DDoS-атак может быть переложена бизнес-клиентами на такую компанию, как Amazon, которая, очевидно, заинтересована в том, чтобы нести это бремя для своих клиентов. Таким образом, вместо того, чтобы беспокоиться о том, как вам может понадобиться перенастроить маршрутизатор или брандмауэр, чтобы заблокировать последнюю DDoS-атаку из холодильников, помешанных на пиве, вы можете позволить экспертам по безопасности в Amazon (а у них одни из лучших в бизнесе) перенастройте AWS Shield, чтобы блокировать последнюю волну атак.

Хотя у Microsoft Azure, похоже, нет (пока) предложения, аналогичного AWS Shield, есть некоторые сторонние поставщики, такие как Incapsula, которые могут помочь вам лучше защитить ваши приложения Azure от DDoS-атак. А если вы используете RackSpace для размещения своих бизнес-сервисов в облаке, то CloudFlare — это вариант для лучшей защиты от DDoS. Но похвала Amazon за то, что она предлагает встроенное DDoS-решение для клиентов AWS — или, по крайней мере, за то, что рекламирует его как таковое.