Сигурност

Защитата на Интернет на нещата е кошмар

CIO Media

В момента съществуват над 26 милиарда устройства в Интернет на нещата, които работят на нашите работни места, в офисите и домовете ни. От тях, като се замисля, никое не е действително защитено.

Защо сигурността в Интернет на нещата е толкова зле
Твърдя това, защото, въпреки че се говори много за сигурността в Интернет на нещата, реалността е нещо друго. Както отбеляза Алън Грау, президент и съосновател на фирма за вградена защита, "тези устройства са оптимизирани да минимализират циклите на обработка и използване на паметта и нямат допълнителни процесорни ресурси, за да поддържат традиционни механизми за защита".

Друга, нетехническа, причина е, че за да държат краткосрочно ниски цени на устройствата от Интернет на нещата, много производители не изобщо не си правят труда да вграждат защита. Както обясни наскоро Джош Кормън, главен директор по сигурност на компанията за индустриален Интернет на нещата PTC, икономиката на потребителските устройства в Интернет на нещата не позволява печалба, след като ОЕМ се включва в цената на актуализациите и пачовете за защита.

Или по-безцеремонно, както го каза Мат Туми от изследователската ИТ компания Aberdeen, "Производителите на устройства за Интернет на нещата досега не дават приоритет на сигурността, тъй като са мотивирани от печалба; те искат да доставят на пазара колкото може повече от тези устройства, и то възможно най-бързо и най-евтино." Извършването на проверки за сигурността е скъпо и отнема време, така че те правят нищо подобно като достатъчно за сигурността и "следователно уязвимостите се разпространяват".

Друга причина, както наскоро отбеляза експертът по сигурност Брюс Шнайдер относно особено големия набор от дупки в Интернет на нещата, е: "Това не са трудни за откриване уязвимости. Това са глупави дизайнерски решения, направени от инженери, които нямат идея как да създадат защитена система. И това, с една дума, е проблемът с Интернета на нещата."

Много по-добре е извън потребителското пространство. Въпреки че от години очакваме поддръжка на защитата от конвенционален технологичен хардуер, много устройства от Интернет на нещата все още идват без никаква поддръжка или само с поддръжка за няколко години.

Друга причина да не можем да имаме добри неща или сигурност в Интернет на нещата е, както каза наскоро Крис Лорд: "Когато става дума за устройства в Интернет на нещата, ние имаме хиляди различни операционни системи и варианти. Това разнообразие създава всички видове затруднения - всеки има различни конфигурации и различни начини за управление и защита."

И още по-зле за нас, тъй като продуктите за Интернет на нещата са вградени дълбоко в нашата инфраструктура, ние не ги виждаме, не мислим за тях и затова сме склонни да ги забравим. По този начин, каза Лорд, "те потъват в обкръжението и ние вече не знаем, че те са там. Те биват загубени и неглижирани, но все пак има повърхности, които могат да бъдат атакувани".

Производителите на оригинално оборудване също забравят твърде често за тези устройства. На всяка Tesla, която автоматично надстройва софтуера на своите електрически коли с актуализации по безжичен път, се падат стотици други компании от Интернет на нещата, които никога не актуализират хардуера си.

Но това не е всичко. Кормън е наблюдавал също и как нашите устройства в Интернет на нещата, където мрежи, софтуер и хардуер са преплетени, често биват събрани заедно от много различни източници. Нужна е една уязвимост в комплекта и цялото устройство в Интернет на нещата може да се отвори за атака. Това не е само страх на теория. Скорошна уязвимост на Bluetooth направи възможно проследяването на потребители на Windows 10, iOS или macOS.

Извън проблема със сигурността производителите на оригинално оборудване имат навика да превръщат джаджи от потребителски клас за Интернет на нещата в изоставен хардуер. Например, както посочва журналистът, специализиран по ИТ теми, Джейсън Пърлоу, интелигентният високоговорител Cone на Aether; интелигентният хъб Google Revolv; свързаните домашни безжични охранителни камери VueZone на NetGear и свързаният в облак робот Jibo се превърнаха в безполезен боклук, тъй като техните производители вече не ги поддържат.

По-стари устройства за Интернет на нещата, които не са интегрирани в облака, може още да функционират, но те може би не получават необходимите пачове за защита, дори ако са налични такива. Например дали маршрутизаторите на вашата компания ви известяват автоматично, когато е готов нов фърмуер? Много не го правят.

Бедствията в Интернет на нещата, за които знаем
Резултатът е един пробив в сигурността на Интернет на нещата след друг. Един, за който всички знаят, е Stuxnet. Това беше компютърен червей, който атакува системите за контрол и придобиване на данни (Supervisory control and data acquisition - SCADA). Той успешно разруши иранските центрофуги, използвани за получаване на обогатен уран за оръжия. Въпреки че самият Stuxnet, който използваше Windows 7 като платформа, вече не е жизнен, той беше първият зловреден софтуер за Интернет на нещата, който нанесе щета в реалния свят. И няма да бъде последният.

Най-големите щети от атака на индустриален Интернет на нещата дойде от троянеца BlackEnergy trojan. През 2015 г. той беше използван, за да изключи за кратко време някои електроцентрали в Украйна. Атаките в индустриален Интернет на нещата върху електрическата мрежа са един от кошмарните сценарии за Интернет на нещата. Оттогава не е имало никакви други големи атаки на електрически системи. Ще има.

Може дори да не нужно такива атаки да се предприемат към самите обществени системи. Скорошно проучване показва, че хакването на домашни и офис системи за отопление, вентилация и климатизация с устройства в Интернет на нещата може да е достатъчно за осъществяване на ефективни мащабни координирани атаки на локалната електрическа мрежа.

След това идва Mirai. Този зловреден софтуер все още е жив и тормози хора, които са достатъчно глупави да работят с устройства за интернет на нещата с процесори ARC с фабрично потребителско име и парола. Обикновено устройствата, инфектирани с Mirai, като камери за бебета и домашни маршрутизатори, идващи от такива компании за масово производство като Hikvision, Samsung and Panasonic, бяха използвани в атаки с разпределен отказ от услуга (DDoS). Досега атаки с Mirai са поразили европейската хостинг компания OVH; DNS доставчика DYN и германския телеком Deutsche Telekom. Имаше много други. Ще има още.

Тези устройства мишени поне ги мислим за компютри. Но хладилници, звънци за врати, прахосмукачки и всички наши нови "умни" джаджи също са на прицел. Фирмата за сигурност Check Point наскоро откри пропуск в защитата в прахосмукачката LG Hom-Bot, който позволява на хакер да я управлява и да използва нейната вградена камера за шпиониране в дома.

Дори след като Mirai подчерта колко глупави са фабричните имена и пароли, много производители все още ги използват. Изследователите от израелския университет Ben-Gurion University of the Negreb съобщиха през 2018 г., че най-лесният начин да се хакнат домашни устройства в Интернет на нещата е просто да се използват фабрични пароли. Съмнявам се да е последвало някакво подобрение.

И така, докато някои атаки като Stuxnet бяха много сложни, други като Mirai бяха съвсем елементарни. Простото е добре, ако сте хакер. Простото работи, подчерта наскоро Никол Йигън, СЕО на компанията за сигурност Darktrace. "Има много устройства за Интернет на нещата, всичко от термостати, охладителни системи, системи за отопление, вентилация и климатизация, до хора, които внасят своите устройства Alexa в офисите. Просто има много такива устройства, които разширяват пространството за атака и повечето от тях не са обхванати от традиционни защити."

За да бъдат нещата по-зле, има дори търсачка - Shodan, за проследяване на онлайн устройства и оборудване to track down online devices and equipment. Въпреки че самата тя не е хакерски инструмент, хакерите и други подобни киберпрестъпници използват Shodan за лесен достъп до устройства в Интернет на нещата с недостатъчна защита.

Спасете се сами от бедствие в Интернет на нещата
Не можете да спрете някои атаки в интернет на нещата. Ако токът в офиса ви спре, тъй като някой е принудил голям брой "умни" климатици да работят с пълна сила в летен ден, няма кой знае какво да направите.

Но има някои неща, които можете да направите, за да се защитите. На първо място, просто може да не позволявате наличието на устройства от Интернет на нещата в офиса си. Или поне можете да намалите до минимум присъствието им. Наистина ли ви трябва умен хладилник в кухненския бокс?

Никое устройство не е твърде банално да бъде потенциално опасно. Ийгън описа как е бил използван термостат в аквариум, свързан към интернет, за проникване в базата данни с ВИП клиентите на едно казино. Както би трябвало да знаете от firewall 101, всеки отворен достъп до интернет може да се използва за атака на вашия офис. Както Кормън е казал: "Ако не можете да си позволите да го защитите, не можете да си позволите да го свържете."

С други думи, всички устройства от интернет на нещата във вашата компания трябва да са по възможност максимално защитени. Като минимум това означава да следвате тези пет практики:

Доставчикът на интернет на нещата трябва да предоставя пачове за защита редовно в продължение на години. Тези пачове трябва да се подписани криптографски, така че кодът да може да проверява и удостоверява.
Всички комуникации от и към устройството трябва да се защитят с помощта на криптирани протоколи като SSL. Достъпът чрез други методи (например telnet) трябва да бъде блокиран.
Фабрични потребителски имена и пароли могат да се използват само при началната настройка. Те трябва да се сменят, преди устройството да може да се използва в обичайната работа.
Всеки последващ контрол върху устройството трябва да се удостоверява със силна парола, 509 или Kerberos.
Всички, дори най-простите системи, трябва да включват вградена защитна стена. Като минимум тя трябва да ограничи комуникациите само до надеждни хостове. Освен това трябва да блокира прости DDoS атаки и такива на познати протоколи.
Трудно ще е да намерите устройства с такива функции. Някои от тях като защитна стена можете да добавите в собствена си мрежа. Но все пак търсете устройства за Интернет на нещата, които поддържат следното:

Откриване на намеса и регистриране. Повечето устройства дори не се опитват да регистрират, камо ли да спират, безкраен поток от опити за влизане. Това не е приемливо. Съвместимост на приложни програмни интерфейси със системи за управление на сигурността. Интернет на нещата трябва да бъде взет под чадъра на корпоративната сигурност.

Насоката за основни функции за киберсигурност на Националния институт по стандарти и технологии (NIST) за устройства за Интернет на нещата, които могат да се защитят, която беше публикувана през август 2019 г., може да помогне за това. Все пак това са препоръки, а не разпоредби. Аз бих помолил вашите доставчици за начало да изпълнят тези насоки.

Благодарение на закона за защита на устройства за Интернет на нещата на щата Калифорния (SB-327), който влезе в сила на 1 януари 2020 г., ще стане по-лесно да се намерят устройства с някои от тези функции. Този закон изисква производителите на устройства за Интернет на нещата да ги снабдят с функция или функции с достатъчна защита. Подобен федерален закон за сигурност в Интернет на нещата се разглежда от Сената.

Няма да изброявам всички закони, които ще ви защитават през следващите пет години. От вашите доставчици и натиска, който можем да им окажем, зависи подходящата защита на техните устройства.

Междувременно нещо, което можете да направите, е да забраните на потребители да носят техни собствени устройства за Интернет на нещата. И така просто кажете не на сенчестия Интернет на нещата. Ако това е трудно постижимо, например за потребител с умен часовник, настоявайте да се свърже с интернет през друга мрежа, е не корпоративната LAN.

Дори най-добрите ви усилия няма да са достатъчни. Ако ИТ 2020 беше кораб, той може да бъде наречен "Титаник", а смъртоносният айсберг на пътя му е незащитеният Интернет на нещата.

Тази година ще има големи нарушения на сигурността на Интернет на нещата. Пробойните в нея са твърде големи, а броят на незащитени устройства е твърде голям. Можем само да опитаме да направим най-доброто, за да защитим себе се и нашите компании. Ще има бедствия, но с упорита работа и малко късмет ще избегнем най-лошото на предстоящите ИТ провали.

X