2015 року в період новорічних свят було продано 50 млн підключених пристроїв, які відносяться до категорії Інтернету речей. Можна з упевненістю стверджувати, що цьогоріч кількість IoT-подарунків зросте в декілька разів, адже їхня частка на ринку електроніки збільшується величезними темпами.
Згідно даним TNW, щодня купують та підключають до інтернету 5,5 млн пристроїв — і це число зростатиме. Цілком можливо, що 2016-го ви, ваші старші та молодші родичі, навіть найменші представники родини та котик із песиком отримають від Санти гаджет, що вміє виходити в інтернет. І чим більше точок виходу, тим більше і точок «входу» для небажаних третіх осіб у ваш особистий онлайн-простір.
Як серед подарунків не виявити гаджет, що відкриє доступ хакерам?
«Троянський кінь» інтернету речей
Кожен новий годинник, телевізор чи мікрохвильова піч, що вміє самостійно ловити WiFi, розширює межі домашнього комфорту. Однак слід пам’ятати про безпеку інформації, а також про те, що інтернет речей поки що не навчився надійно захищатись від стороннього втручання. В жовтні 2016-го хакери продемонстрували світу, як можна використати під’єднані пристрої для припинення нормальної роботи провідних онлайн-платформ (детальніше DDoS-атаку на Netflix, Twitter, GitHub ми розглядали в окремому матеріалі). Це була тільки перша і невелика атака, що добре продемонструвала потенціал втручання в роботу IoT-систем.
Будьмо відверті: в період марафону святкових застіль — останнє, чим ви опікуватиметеся, це безпека підключення нових пристроїв. І навіть якщо частина користувачів буде свідомо програмувати складні паролі, обирати безпечне під’єднання тощо, то підлітки — чи навпаки, батьки, яким ви нарешті придбали пристрій для Skype, — можуть припуститися фатальної помилки. Не варто відмовлятись від подарунків зі світу інтернету речей, але потрібно звернути особливу увагу на правильну експлуатацію гаджетів.
Редакція TNW звернулась до Зака Ланьє (Zach Lanier) — його компанія Cylance використовує алгоритми штучного інтелекту та машинне навчання для того, щоби відшукати слабкі місця у мережах. Ланьє ще в шкільні роки почав практикуватись у пошуках вразливих місць у пристроях, зламуючи їх. Напередодні свят Ланьє дає поради, як правильно працювати із новими гаджетами, оскільки трохи обачливості не завадить нам всім.
Захистіть свою бабусю
Ви вирішили дати старшому поколінню в родині доступ до інтернету? Чудова ідея. Однак, щоби не подарувати випадково бомбу з часовим механізмом, проаналізуйте якість обладнання, яке обрали у подарунок. Зрозуміло, що вашим старшим родичам не потрібні всі доступні на сьогоднішній день функції умовного роутера, однак захист даних знадобиться навіть їм. Пам’ятайте: хакери можуть вполювати пристрій вашої двоюрідної бабусі так само, як і ваш.
БІЛЬШЕ ПРО ОНЛАЙН-БЕЗПЕКУ:
Найперше та найпростіше, що можна зробити — елементарний пошук в Google щодо основних налаштувань безпеки обраного вами пристрою. Окрім запиту по назві та перечитування оглядів, можете піти далі та спробувати знайти тестування надійності вашого пристрою. Запитайте в пошукової системи «безпека пристрою %назва%» — результати можуть виявитись вражаюче змістовними.
Далі пошукайте дані про репутацію виробника в сегменті кібербезпеки. Корисно почитати про те, як давно компанія займається виробництвом та чи траплялися раніше історії, пов’язані із зламами чи виявленими слабкостями гаджетів. Якщо компанія давно присутня на ринку, а історій із зламаними чи наскрізь «дірявими» виробами в інтернеті не виявлено — можна вважати такий вибір цілком безпечним. Новий же пристрій, незважаючи на привабливу ціну або «найсучасніші функції», може виявитись вразливим до хакерських атак, а ви станете першим, хто про це напише — не найбажаніший сценарій розвитку подій, погодьтеся.
Також слід відвідати сайт компанії-виробника і перевірити наявність сторінок, присвячених захисту користувацької інформації, а також ознайомитись з гарантійними умовами, можливістю зв’язатися із службою технічної підтримки тощо.
Що робити із подарованою IoT-бомбою
Якщо навіть ви приділяєте максимум уваги безпеці домашньої мережі, слабкою ланкою може виявитись подарований вам або вашим родичам IoT-гаджет. В такому випадку, перш ніж під’єднувати обновку до загальної системи, слід повторити всі вищенаведені кроки — вони є основними та обов’язковими.
Далі Ланьє радить вжити додаткових кроків, які він умовно поділяє на прості та технічні. При цьому не слід переходити одразу до технічних; адже інколи саме через відсутність найелементарнішого та найдешевшого запобіжника перегорає електрична система цілого хмарочосу.
Спочатку перевірте налаштування бездротового підключення. Wi-Fi має підтримувати протокол безпеки версії WPA2. Якщо ваш пристрій підтримує стандарти безпеки WEP або WPA, найкращим кроком буде повернути пристрій в магазин. Справа в тому, що WEP та WPA — це старіші версії; відповідно, вони не можуть захистити від новіших методів зламу системи. Оскільки оновлення для цих версій вже не випускають, підключення таких пристроїв можна прирівняти до відвертого запрошення хакерів до себе додому.
Якщо IoT-пристрій під’єднується до смартфону або планшету через мобільний додаток, слід звернути увагу на метод підтвердження з’єднання. Погано, якщо ні гаджет, ні смартфон не вимагають введення коду — або ж комбінація занадто проста і встановлена за замовчанням. Якщо пристрій після першого з’єднання через введення коду в подальшому знаходить пару без повторної авторизації — це також небезпечно.
Ще один момент, на який слід звернути увагу — формат посилання. Якщо IoT-електроніка заходить в інтернет через http, а не https, — позбудьтеся цього потенційно небезпечного подарунка.
Оновлення програмного забезпечення є обов’язковим для підтримки стабільної і безпечної роботи систем. Якщо вендор не гарантує регулярного оновлення програм у пристроях, він просто ігнорує елементарні вимоги до захисту даних своїх користувачів. В ідеалі оновлення мають надходити та встановлюватись на пристрої автоматично; покладатись в цьому питанні на сумлінність користувачів, на думку Ланьє, — майже те саме, що залишати їх без оновлень взагалі. Якщо передбачена лише можливість для ручного встановлення оновлень, вам слід чесно зізнатись самому собі: чи готові ви весь час слідкувати за наявністю оновлень для системи та чи здатні самостійно їх встановлювати? Якщо відповідь хоча би на одне із запитань негативна — не підключайте цей IoT-пристрій. Якщо в електронного подарунка взагалі немає можливості оновлювати встановлену систему — це вже практично електронне сміття.
Що ж до технічних способів переконатися у безпеці нового IoT-пристрою, Зак Ланьє має власний сценарій поведінки. Він купує два пристрої: один для роботи, а інший — для тестування. Один з пристроїв, найімовірніше, так і не запрацює передбаченим чином, оскільки Зак розкрутить його до частинок, щоб перевірити надійність апаратної частини. Для тих, хто не настільки вправний, є простіші технічні кроки. Більшість виробників публікують у відкритому доступі на своїх офіційних сайтах прошивку до пристроїв, доступну для завантаження. Також її можна знайти просто на сторінках Google, а потім запустити процес зворотньої розробки, використовуючи інструменти Binary Ninja, IDA pro або radare2. Це надасть можливість побачити, як працює програмне забезпечення вашого нового гаджету.
Слід також звернути увагу на наступні характеристики:
- чи встановлена у пристрої найостанніша версія Linux. Будь-яка прошивка, окрім найсвіжішої, має вразливі місця в системі безпеки, які вже виправлені розробниками в інших версіях;
- наскільки жорстко запрограмовані ключі шифрування в пристрої;
- чи можна віддалено оновлювати прошивку гаджету.
Зак Ланьє констатує, що на 100% гарантувати безпеку онлайн-мережі на сьогоднішній день неможливо; але всі перераховані заходи допоможуть максимально убезпечити ваші дані від викрадення хакерами.
За матеріалами TNW