Может ли простая видеокамера вывести из строя сразу несколько самых посещаемых в мире сайтов? Звучит слегка комично, но действительность куда сильнее шутки. В октябре 2016 года произошло именно это — множество пусть простых, зато подключенных к интернету, устройств попали под контроль хакеров. Атаке подверглась инфраструктура американской интернет-компаниеи Dyn — в результате «в оффлайн» ушли Нетфликс, Твиттер, Пейпал, Реддит, Спотифай и Амазон. Пытаемся разобраться, как это вообще возможно, что нас ждет и что можно по этому поводу сделать.
Хакеры захватили доступ к сотням тысяч камер видеонаблюдения и цифровых записывающих видеоустройств, подключенных к интернету. Все они были заражены вредоносным программным обеспечением и превратились в ботнет — сеть устройств, управляемых хакерами извне. Затем ботнет атаковал инфраструктуру Dyn, посылая одномоментно сотни тысяч запросов, и обрушил ее, что и привело к «падению» сайтов. Такой способ нападения на сайты называется DDOS-атака. Хакеры применяют ее со времен появления глобальной сети, но этот случай — всего лишь второй, когда DDOS-атака была проведена при помощи устройств интернета вещей.
Как это возможно
Октябрьский инцидент показал, что дыры в безопасности устройств интернета вещей могут приводить к весьма серьезным последствиям. И если в ближайшее время не изменить подход к разработке этих устройств, то количество случаев использования в преступных целях веб-камер, телевизоров и даже чайников (сотрудник службы безопасности доказал, что через «умные» чайники можно украсть пароли от вай-фая) будет расти.
До недавнего времени большинство опасений вызывали лишь вопросы конфиденциальности интернета вещей. Хакеры уже не раз захватывали контроль над веб-камерами ноутбуков и компьютеров и подглядывали за их владельцами. Но если вы можете чем-то закрыть или заклеить линзу веб-камеры, как это делает, например, Марк Цукерберг, то в случае с интернетом вещей все не так просто. Ведь управляемые через интернет телевизоры и даже термостаты тоже могут следить за вами, но их уже не закроешь. Вы даже не догадаетесь, что они шпионят за вами.
В индустрии технологий существует расхожее, хотя и не афишируемое мнение, что, поскольку пользователи соцсетей сами игнорируют вопросы конфиденциальности, значит, их это не беспокоит. Но в связи с новой угрозой производители устройств интернета вещей могут столкнуться с судебными исками и требованиями о возмещении ущерба от корпоративных клиентов, которые пострадают от DDOS-атак с их использованием.
Одна из серьезных проблем заключается в том, что интернет вещей работает, не привлекая внимания к тому факту, что его устройства, по сути, тоже компьютеры. И если пользователь обычного компьютера, ноутбука или смартфона может заподозрить заражение вирусом, если машина станет работать заметно медленнее или зависать, и вообще регулярно проводить антивирусные проверки, то в случае с интернетом вещей этого не происходит. Владельцы гораздо реже замечают неполадки в их работе и не проводят антивирусные сканирования — это сложно или попросту не предусмотрено производителем.
Плюс эти устройства автоматически не обновляют свое программное обеспечение. Если операционные системы компьютеров и смартфонов делают это сами или напоминают пользователю, что пора обновиться, то здесь этого не происходит. Устройства интернета вещей требуется обновлять вручную, причем часто это сопряжено с достаточно большими трудностями. Поэтому, как правило, их никогда не обновляют.
Есть ли выход
Чтобы решить эти проблемы безопасности, технологическим компаниям следует изменить подход к разработке устройств, перенеся акцент с максимальной простоты пользования на более высокий уровень их безопасности. Возможно, процесс пойдет быстрее после парочки судебных исков, которые нанесут ущерб репутации компаний и приведут к падению прибыли.
Один из способов повысить безопасность устройств — это ограничить их работу домашними сетями, запретив доступ в глобальную сеть. Например, при помощи устройства по управлению данными, подобного Databox (http://www.databoxproject.uk/). Databox выполняет роль привратника, защищая коммуникацию интернета с домашней сетью, его легче мониторить и обновлять. Это обеспечит дополнительный уровень безопасности и будет особенно полезно для устройств, программное обеспечение которых не обновляется.
Другой подход заключается в создании программного обеспечения для каждого устройства: сейчас они работают на бесплатных дженерик-версиях операционных систем на базе Linux. Недавняя атака как раз продемонстрировала уязвимость программы BusyBox, которая работает на Linux.
В применении программ с открытым кодом нет ничего плохого, но производители должны использовать их лишь как стартовую точку для разработки своего программного обеспечения, которое будет заточено под их устройство и будет иметь ограниченный, необходимый для работы именно этого устройства набор функций. Любая программа имеет свои уязвимости, которые со временем обнаруживают хакеры. И чем больше у нее опций, тем длиннее код и тем выше вероятность, что уязвимость найдут до того, как будет выпущено обновление с исправленной версией.
Пока вопросы кибербезопасности затрагивали только пользователей устройств интернета вещей, большинство были готовы принять простые, но небезопасные системы ради быстрых инноваций. Но теперь, когда атака ботнетов вывела проблему на новый уровень, она касается каждого пользователя интернета. Пора разработчикам подойти к вопросу безопасности более ответственно.
[Использованы материалы The Conversation]