Розумний будинок з сюрпризами — що потрібно знати про інтернет речей (IoT)

У 2015 році в період новорічних свят було продано 50 млн підключених пристроїв, які відносяться до категорії Інтернету речей (IoT). Можна з упевненістю стверджувати, що в цьому році кількість IoT-подарунків зросте в кілька разів, адже їх частка на ринку електроніки збільшується величезними темпами.
Згідно з даними TNW, щодня купують і підключають до інтернету 5,5 млн пристроїв, і це число буде рости. Цілком можливо, що в 2016-му ви, ваші старші і молодші родичі, навіть найменші представники родини і котик з собачкою отримають від Санти гаджет, який вміє виходити в інтернет. І чим більше точок виходу, тим більше і точок «входу» для небажаних третіх осіб у ваше особисте онлайн-простір.
«Троянський кінь» інтернету речей
Кожен новий гаджет – годинник, телевізор або мікрохвильова пекти, який вміє самостійно ловити WiFi, розширює межі домашнього комфорту. Однак слід пам’ятати про безпеку інформації, а також про те, що інтернет речей поки що не навчився надійно захищатися від стороннього втручання. У жовтні 2016-го хакери продемонстрували світові, як можна використовувати підключення пристрою для припинення нормальної роботи провідних онлайн-платформ. Це була тільки перша і невелика атака, що добре продемонструвала потенціал втручання в роботу IoT-систем.
Читайте також: Як відбувається DDoS-атака і як боротися з DDoS
Будемо відверті: в період марафону святкових застіль — останнє, про що ви будете переживати, це безпека підключення нових пристроїв. І навіть якщо частина користувачів буде свідомо програмувати складні паролі, вибирати безпечне під’єднання тощо, то підлітки — яким нарешті придбали пристрій для Skype, навпаки — можуть допустити фатальні помилки. Не варто відмовлятися від подарунків зі світу інтернету речей, але потрібно звернути особливу увагу на правильну експлуатацію гаджетів.
Редакція TNW звернулася до Заку Ланьє (Zach Lanier) — його компанія Cylance використовує алгоритми штучного інтелекту і машинного навчання для того, щоб відшукати слабкі місця в мережах. Ланьє ще в шкільні роки почав практикуватися в пошуках вразливих місць в пристроях, зламуючи їх. Напередодні свят Ланьє дає поради, як правильно працювати з новими гаджетами, оскільки трохи обачності не завадить нам усім.
Як захистити IoT гаджети?
Ви вирішили дати старшому поколінню в родині доступ до інтернету? Чудова ідея. Однак, щоб не подарувати випадково бомбу з годинниковим механізмом, проаналізуйте якість обладнання, яке ви вибрали в подарунок. Зрозуміло, що вашим старшим родичам не потрібні всі доступні на сьогоднішній день функції умовного роутера, проте захист даних нагоді навіть їм. Пам’ятайте: хакери можуть підстрелити пристрій вашої двоюрідної бабусі так само, як і ваше.
Читайте також: Продаж передплатників і фоловерів – ідеальне кіберзлочин
Перше і найпростіше, що можна зробити — елементарний пошук в Google щодо основних налаштувань безпеки вибраного вами пристрою. Крім запиту за назвою та перечитування оглядів, можете піти далі і спробувати знайти тестування надійності вашого пристрою. Запитайте у пошукової системи «безпека пристрою %назву%» — результати можуть виявитися разюче змістовними.
По-друге, пошукайте дані про репутацію виробника в сегменті кібербезпеки. Корисно почитати про те, як давно компанія займається виробництвом і траплялися раніше історії, пов’язані з зламами або виявленими слабкостями гаджетів. Якщо компанія давно присутній на ринку, а історій зі зламаними або наскрізь «дірявими» виробами в інтернеті не виявлено — можна вважати такий вибір цілком безпечним. Нове ж пристрій, незважаючи на привабливу ціну або «сучасні функції», може виявитися уразливим до хакерських атак, а ви станете першим, хто про це напише — не самий бажаний сценарій розвитку подій, погодьтеся.
По-третє, слід відвідати сайт компанії-виробника і перевірити наявність сторінок, присвячених захисту інформації, а також ознайомитися з гарантійними умовами, можливістю зв’язатися зі службою технічної підтримки тощо.
Що робити з подарованої IoT-бомбою
Якщо навіть ви приділяєте максимум уваги безпеки домашньої мережі, слабкою ланкою може виявитися подарований вам або вашим родичам IoT-гаджет. В такому разі, перш ніж під’єднувати обновку до загальної системи, слід повторити всі перераховані вище кроки — вони є основними і обов’язковими.
Далі Ланьє радить зробити додаткові кроки, які він умовно поділяє на прості і технічні. При цьому не слід переходити відразу до технічних; адже іноді саме із-за відсутності самого елементарного і дешевого запобіжника перегорає електрична система цілого хмарочоса.
1. Спочатку перевірте налаштування бездротового підключення. Wi-Fi повинен підтримувати протокол безпеки версії WPA2. Якщо ваш пристрій підтримує стандарти безпеки WEP або WPA, найкращим кроком буде повернути пристрій в магазин. Справа в тому, що WEP і WPA — це старі версії; відповідно, вони не можуть захиститися від нових методів злому системи. Оскільки оновлення для цих версій вже не випускають, підключення таких пристроїв можна прирівняти до відвертого запрошення хакерів до себе додому.
Читайте також: Інтернет речей загрожує захист персональних даних
2. Якщо IoT-пристрій підключається до смартфону або планшету через мобільний додаток, слід звернути увагу на метод підтвердження з’єднання. Погано, якщо ні гаджет, ні смартфон не вимагають введення коду — або ж комбінація дуже проста і встановлена за замовчуванням. Якщо пристрій після першого підключення через введення коду у подальшому знаходить пару без повторної авторизації — це також небезпечно.
3. Ще один момент, на який слід звернути увагу — формат посилання. Якщо IoT-електроніка заходить в інтернет через http, а не https, позбудьтеся цього потенційно небезпечного подарунка.
4. Оновлення програмного забезпечення є обов’язковим для підтримки стабільної та безпечної роботи систем. Якщо вендор не гарантує регулярного оновлення програм в пристроях, він просто ігнорує елементарні вимоги до захисту даних своїх користувачів. В ідеалі оновлення повинні надходити і встановлюватися на пристрої автоматично; покладатися в цьому питанні на сумлінність користувачів, на думку Ланьє, — майже те ж саме, що залишати їх без оновлень взагалі. Якщо передбачена лише можливість для ручної установки оновлень, вам слід чесно зізнатися самому собі: чи готові ви весь час стежити за наявністю оновлень для системи і здатні самостійно їх встановлювати? Якщо відповідь хоча б на одне з питань негативний — не підключайте цей IoT-пристрій. Якщо у електронного подарунка взагалі немає можливості оновити встановлену систему — це вже практично електронний сміття.
Що ж до технічних способів переконатися в безпеці нового IoT-пристрої, Зак Ланьє має власний сценарій поведінки. Він купує два пристрої: одне для роботи, інше — для тестування. Одне з пристроїв, швидше за все, так і не запрацює належним чином, оскільки Зак розкрутить його частинок, щоб перевірити надійність апаратної частини. Для тих, хто не настільки вправний, є більш прості технічні кроки. Більшість виробників публікують у відкритому доступі на своїх офіційних сайтах прошивку до пристроїв, доступну для завантаження. Також її можна знайти прямо на сторінках Google, а потім запустити процес зворотного розробки, використовуючи інструменти Binary Ninja, IDA pro або radare2. Це надасть можливість побачити, як працює програмне забезпечення вашого нового гаджета.
Слід також звернути увагу на наступні характеристики:
встановлена у пристрої остання версія Linux. Будь прошивка, крім останньої, має вразливі місця в системі безпеки, які вже виправлені розробниками в інших версіях;
наскільки жорстко запрограмовані ключі шифрування в пристрої;
можна віддалено оновлювати прошивку гаджета.
Зак Ланьє констатує, що на 100% гарантувати безпеку онлайн-мережі на сьогоднішній день неможливо; але всі перераховані заходи допоможуть максимально захистити ваші дані від крадіжки хакерами.
За матеріалами TNW