Миллионы IoT-устройств беззащитны

Согласно исследованию Стэнфордского университета и компании Avast, в среднем 40% домохозяйств по всему миру обладают хотя бы одним умным устройством. При этом миллионы устройств, 7% от общего количества, уязвимы из-за устаревших протоколов, таких как FTP и Telnet. По данным исследования, всего в мире существует более 14 тыс. производителей IoT-устройств, и 100 из них производят 94% всех решений. Также исследователи выявили, что в Северной Америке количество домохозяйств, в которых есть хотя бы одно умное устройство, значительно выше, чем в остальных странах, и составляет 66%. "Ключевым выводом этого исследования является то, что 94% домашних устройств интернета вещей изготавливают менее чем 100 компаний", - утверждает глава департамента искусственного интеллекта Avast Раджарши Гупта. Как сообщает пресс-служба Avast, исследование стало самым масштабным за всю историю существования IoT-устройств. Avast отсканировал 83 млн устройств интернета вещей в 16 млн домов, чтобы понять, насколько устройства IoT безопасны у разных производителей. Результаты проверила и проанализировала исследовательская группа Стэнфордского университета. "Сообщество специалистов по кибербезопасности уже давно обсуждает проблемы, связанные с IoT-устройствами, - говорит доцент кафедры информатики Стэнфордского университета Закир Дюрумерик. - К сожалению, эти устройства скрыты за домашними роутерами, и у нас мало сведений о типах умных устройств в домохозяйствах". Но, по словам специалиста, исследование раскрывает сложную картину экосистемы интернета вещей и проблемы кибербезопасности в домах по всему миру. Так экспертам удалось выяснить, что 15% домашних роутеров, которые выполняют роль шлюза в домашнюю сеть, используют устаревшие протоколы. Когда роутер обладает слабыми учетными данными, он может открыть для атаки другие умные домашние устройства. Глава представительства компании Avast в России и СНГ Алексей Федоров рассказал в беседе с ComNews, что согласно исследованию Avast Smart Home Security Report 2019, 44% домов в России, которые подключены к домашней сети, имеют как минимум одно уязвимое устройство. "В 20% домов в России есть более пяти подключенных устройств. Самые уязвимые, безусловно - роутеры, таких в нашей стране 97%. Причина в основном в недостаточно сложных паролях и однофакторной аутентификации", - сказал Алексей Федоров. По данным представительства компании Avast в России и СНГ, рейтинг самых уязвимых устройств в России выглядит так: телевизоры - 46%, принтеры - 15%, камеры видеонаблюдения - 11%, медиаплееры - 9% и планшеты - 8%. В сфере безопасности интернета вещей существуют два ключевых игрока, объясняет Алексей Федоров, это операторы связи и поставщики ИБ-решений. Интернет-провайдеры должны заниматься вопросом безопасности, поскольку обычно именно они предоставляют роутер и подключение к сети, передают пользовательские данные и обеспечивают подключение устройств, считает Алексей Федоров. "Поставщики решений в сфере информационной безопасности, в свою очередь, могут анализировать потоки данных в сети и обеспечивать защиту в реальном времени", - полагает он. Государство тоже может влиять на ситуацию, говорит Алексей Федоров. "Но тут проблема в том, что технологии развиваются слишком стремительно, и маловероятно, что законодательство будет успевать за изменениями", - предположил он. Руководитель группы исследования уязвимостей систем промышленной автоматизации и интернета вещей Kaspersky Lab ICS CERT Владимир Дащенко рассказывает, что большинство разработчиков концентрируются на функционале устройств, а вопрос безопасности решают в завершении разработки, либо не решают вовсе. "В результате мы сталкиваемся с ситуацией, когда во множестве подобных устройств можно обнаружить серьезные уязвимости. Бывает и так, что производители чрезмерно увлекаются использованием технологий с открытым исходным кодом, не проверяя его безопасность. Такой подход потенциально создает еще большую проблему для пользователей умных устройств", - говорит Владимир Дащенко. По его наблюдениям, количество кибератак, нацеленных на устройства интернета вещей, с каждым годом растет. "За первую половину 2018 г. мы обнаружили в три раза больше образцов вредоносного ПО, атакующего "умные" устройства, чем за весь 2017 г. А в 2017 их было в 10 раз больше, чем в 2016 г. Очень часто зараженные устройства применяются для DDoS-атак и добычи криптовалют. Злоумышленники также могут использовать уязвимости IoT-девайсов для проникновения в домашние сети или сети организаций", - сказал эксперт Kaspersky Lab. Проблемы, как правило, возникают не в протоколах, а в их реализации. В наличии уязвимостей, которые нужно закрывать обновлениями, уточняет пресс-секретарь компании "Доктор Веб" Максим Якушев. "Если все IoT-устройства объединить в рамках условного контролирующего безопасность центра, то с обновлениями проблем не будет. Но такое никогда не произойдет, так как это идет вразрез с принципами права. Ни один правозащитник такого не допустит. И будет прав", - полагает Максим Якушев. По его словам, проблему уязвимостей IoT-устройств должны решать вендоры и пользователи. Последним не стоит игнорировать необходимые обновления.    Власти Великобритании уже выпустили руководство по обеспечению защиты IoT от распространенных кибератак. В штате Калифорния вышел закон, который обязывает производителей устройств, подключаемых к интернету, предусмотреть меры защиты от несанкционированного доступа, изменения или утечки данных. Тем не менее в 2019 г. прогнозируется продолжение роста скомпрометированных IoT-устройств из-за низкого уровня их защищенности, утверждает руководитель группы исследований безопасности телекоммуникационных систем Positive Technologies Павел Новиков. По данным Positive Technologies, в I квартале 2019 г. доля атак на IoT-устройства составила 2% от общего количества атак. "В мире существует множество так называемых end-of-life-устройств, производство которых завершено, вендор прекратил выпуск обновлений ПО, а значит, и уязвимости в них никогда не будут закрыты", - предупреждает Павел Новиков. По его словам количество устройств, которые никем не поддерживаются год от года растет. "Злоумышленники начинают атаковать их все чаще. И если несколько лет назад ошибками в роутерах они практически не пользовались, с появлением ботнетов-миллионников роутеры для хакеров стали популярными монетизируемыми устройствами. А получив контроль над роутером кибермошенники могут успешно атаковать подключенные к нему ПК и IoT-устройства", - обращает внимание Павел Новиков. Незащищенность IoT в Россий, как и во всем мире - опасная тенденция, говорит руководитель отдела Pre-Sale Group-IB Станислав Фесенко. "В связи с бурным ростом количества IoT-устройств в частном и даже в промышленном сегментах особенно опасны массовые сбои в их работе. Причин низкой защищенности от информационных атак несколько. Это и отсутствие единого стандарта в части протоколов передачи данных. Отсутствие стандартов шифрования для передачи данных IoT-устройств от разных производителей. Зачастую его и вовсе нет. Недостаточная защищенность командных центров управления IoT", - перечислил Станислав Фесенко. Специалист считает, что в случае с Industrial IoT (IIoT) сбои в работе устройств могут привести к нарушениям технологических процессов в нефтегазовой, электроэнергетической, транспортной, промышленной и других отраслях, в том числе и частичному перехвату контроля над предприятиями со стороны третьих лиц. "Последствия предсказать сложно, воздействие может быть вызвано как проправительственными кибергруппировками, так и представлять собой результаты заказной работы конкурирующих крупных организаций. Также остановка производства отдельных предприятий - эффективный способ влияния на фондовый рынок. Если говорить о ТЭК, то атаки на системы автоматизации здесь опасны техногенными катастрофами и каскадными отключениями электроснабжения. То есть пострадать могут целые регионы", - говорит Станислав Фесенко. По его мнению, решить проблемы может стандартизация. Необходимо регулирование как со стороны органов власти, так и со стороны международного сообщества, производителей IoT-устройств. "Нужны понятные и регламентированные надежные механизмы защиты передаваемых данных, авторизации. Можно использовать позитивный опыт развития безопасности в технологиях Wi-Fi и GSM. Пожалуй, необходимо создать независимую некоммерческую международную организацию, которая займется этими вопросами и включит в состав представителей всех направлений", - подытожил Станислав Фесенко. Ссылка на источник