3 Июля, 2018

Security Week 23: 50 миллиардов IoT-устройств

Лаборатория Касперского
 
На прошлой неделе компания Juniper Research в исследовании рынка Интернета вещей спрогнозировала двукратный рост количества таких устройств к 2022 году ( новость ). Если сейчас аналитики оценивают число активных IoT в 21 миллиард, то через четыре года их количество превысит 50 миллиардов.

В том же отчете утверждается, что до настоящего, повсеместного внедрения IoT (в промышленности и бизнесе) мы еще не дожили: сейчас приоритет все же отдается более тупым традиционным решениям. Появления реально больших (сто тысяч и более) инфраструктур IoT придется подождать, но недолго. В отчете не уделяется внимание безопасности, но про нее достаточно актуальных новостей, вторую неделю подряд.

Про то, что устройств IoT будет много и они будут небезопасными, 22 июня высказался известный криптограф Брюс Шнайер. По его мнению, мы вот-вот перейдем от атак на личные данные (когда у вас крадут персональную информацию, или берут ее в заложники, или стирают все нафиг) к атакам на целостность инфраструктуры, состоящей из миниатюрных устройств, или же ее работоспособность. Короче, когда взломанный автомобиль против вашей воли бьет по тормозам.

В отчете Juniper вводится интересный термин edge computing — это когда вычисления проводятся там, где происходит движуха, а не где-то в датацентре вендора. Объем вычислений и данных затруднит централизованную обработку. Если соединить позитив Juniper и скепсис Шнайера, получается как-то не очень: IoT будет больше, они будут использоваться в более ответственных областях (промышленность, автомобили, медицина). А защищать их эффективнее как-то не собираются: у современных консьюмерских IoT с этим все плохо, в промышленных — не лучше.


Посмотрим, что именно плохо было на прошлой неделе. Известный производитель IP-камер Foscam призывает владельцев таких устройств срочно обновить прошивку ( новость ). Интересно, что в заявлении компании не указывается, как это обычно происходит, список моделей с дырой: предположительно уязвимыми оказались все устройства, либо вендор намеренно не дает подробную информацию. У обнаруживших уязвимость исследователей из компании Vdoo все расписано гораздо подробнее .

А уязвимостей было найдено целых три, причем для взлома устройства они должны задействоваться последовательно. Все, что требуется — это IP-адрес устройства. Такие устройства не всегда доступны напрямую из Интернета, но, как правило, могут быть сконфигурированы именно таким образом. Довольно часто подобная конфигурация присутствует по умолчанию.

В атаке сначала задействуется уязвимость переполнения буфера, приводящая к падению процесса, ответственного за веб-интерфейс. После падения процесс автоматически перезагружается, а при его загрузке появляется возможность удаления произвольного файла — это уязвимость номер два. Правильное удаление файлов в нужных местах позволяет обойти систему авторизации, и эта, третья по счету, уязвимость дает полный контроль над устройством. Не самая тривиальная атака, и исследователи прямо говорят, что пока не видели, чтобы ее кто-то применял. А так как на призывы обновить прошивку обычно никто не откликается, подробно все три уязвимости не описываются.

А давайте все сейчас соберемся и обновим какой-нибудь домашний IoT. Давайте? Нет, правда!

Те же исследователи из компании Vdoo нашли уязвимости у другого производителя — Axis ( новость ). Массовое обнаружение дыр в IoT-устройствах стало результатом некоего внутреннего субботникамероприятия по их обнаружению. Здесь результат аналогичный: всего найдено семь уязвимостей, из них для успешной атаки нужно задействовать три.


Находить сложные (относительно, но все же) атаки — это почетно, но, кажется, проблема сейчас — в наличии ботнетов из тысяч роутеров, камер и прочего с куда более тривиальными проблемами типа дефолтных паролей, кривого веб-интерфейса и полного отсутствия какой-либо защиты. Если в Juniper Research правы и большинство промышленных IoT через пять лет будут гораздо больше задач решать автономно, с их обновлением дела станут еще хуже, чем сейчас?

И хочется предположить, что в индустриальном IoT все будет по-другому, хотя на самом деле нет . Предположу, что единственное отличие промышленных сетевых устройств — в том, что у них есть график и протокол обслуживания, и ответственные за это люди. Распространение IoT — это прогресс и круто. Бизнес и общество получат от этого пользу тем быстрее, чем дешевле будет стоить в том числе и безопасность таких устройств. Обнаружение серьезных проблем, включая те, которые и вовсе не решаются программными методами, да еще и после масштабного внедрения устройств, всегда будет стоить дорого.

Оффтопик. Памятка любителям вести скринкасты в Интернете: перед началом вещания отключайте уведомления.
1d5adfd90145d53db9826c631d9797aa.png