Пожалуй, самая избитая шутка последних лет в сфере информационной безопасности: S в аббревиатуре IoT отвечает за Security. Действительно, Интернет вещей уже давно стал всеобщим посмешищем среди экспертов по ИБ, и на любой хакерской конференции обязательно прозвучит доклад, в котором расскажут об очередном «умном» устройстве, взломанном вдоль и поперек. Эти взломы уже давно никого не удивляют — наоборот, гораздо больший интерес вызывают исследования, в результате которых выясняется, что с безопасностью в устройстве все не так уж плохо.
Обычно внимание исследователей сфокусировано на том, чем уязвимости в Internet of Things угрожают пользователям. Однако есть и вторая сторона медали: уязвимости в «умных» устройствах представляют опасность для разрабатывающей их компании, поскольку могут привести к утечке данных, их повреждению, а также выводу из строя самих устройств или инфраструктуры.
На Mobile World Congress эксперты нашего центра реагирования на инциденты в сфере информационной безопасности промышленных объектов (ICS CERT) представили исследование умных протезов, разработанных компанией Motorica.
Для начала — хорошие новости. Во-первых, нашим экспертам не удалось найти уязвимости в прошивке самих протезов. Во-вторых, передача данных в системе Motorica происходит только в одном направлении — от протеза в облако. Так что, к примеру, взломать подключенный протез для того, чтобы удаленно им управлять, не получится — с этой точки зрения все хорошо.
Однако дальнейшее изучение показало, что при разработке облачной инфраструктуры, которая собирает и хранит телеметрические данные, полученные с протезов, были допущены серьезные ошибки. Вот какие возможности они открывают атакующему:
- Получить доступ к информации всех аккаунтов в системе — как пользовательских, так и администраторских, включая незашифрованные логины и пароли.
- Читать, удалять, или изменять любые данные телеметрии, хранящиеся в базе, а также добавлять новые.
- Добавлять новые аккаунты (включая администраторские).
- Удалять или изменять имеющиеся учетные записи — к примеру, поменять пароль администратора.
- DoS-атаку против администратора, препятствующую входу в систему.
Данные уязвимости могли потенциально привести к утечке всех пользовательских данных или их повреждению. Причем последний из пунктов вышеприведенного списка позволил бы значительно увеличить время реакции на взлом.
Разумеется, наши исследователи рассказали обо всех найденных уязвимостях компании Motorica, и на данный момент все проблемы устранены. К сожалению, эта маленькая победа не отменяет того факта, что в целом Интернет вещей продолжает оставаться небезопасным. Вот как это можно изменить:
- Разработчикам следует иметь представление о наиболее распространенных угрозах и правилах создания безопасного кода. Важно, чтобы это было так на всех этапах разработки — наше исследование очень наглядно иллюстрирует тот факт, что ошибки, допущенные при создании одной из частей системы, могут свести на нет все остальные усилия.
- Производителям «умных» вещей стоит использовать программы «баг-баунти» — это очень эффективный способ поиска уязвимостей и их устранения.
- В идеале следует заказывать аудит разрабатываемых продуктов экспертам по информационной безопасности.