Не имеет смысла отрицать, что Интернет Вещей (Internet of Things, IoT) – тема, более чем актуальная в наши дни. За последние годы «поумнело» множество бытовых устройств – от телевизоров, акустических систем, камер видеонаблюдения и термостатов до холодильников, и, страшно сказать, зеркал. Если у вас уже есть хотя бы что-то из этого списка, или вы планируете покупку, имейте в виду: с появлением этого устройства в вашей жизни её приватность окажется под угрозой.
Очередным подтверждением вышесказанного стало недавнее заявление WikiLeaks о том, что ЦРУ занималось взломом ряда «умных» продуктов, в том числе телевизоров Samsung. Предоставленные WikiLeaks доказательства произошедшего взбудоражили всех, кто когда-либо терзался сомнениями в наличии встроенных микрофонов, предназначенных для распознавания человеческой речи. Теперь сомневаться не приходится – каждый, кто способен получить контроль над такими устройствами, может услышит абсолютно всё, о чём вы разговариваете со своими близкими, находясь в непосредственной близости к телевизору.
Конечно, корпорация Samsung отреагировала. В её заявлении говорится о первоочередной задаче Samsung защищать право покупателей на частную жизнь. Представители корпорации заверили общественность, что Samsung «постоянно отслеживает возможные риски» и при возникновении таковых «незамедлительно примет меры». Кроме того, каждый, имеющий дело с «умными» телевизорами Samsung, может обезопасить себя; для этого нужно постоянно осуществлять рекомендуемые производителем обновления.
Всё больше рядовых потребителей пробуют себя в роли инсталляторов, пользуясь широко рекламируемыми домашними управляющими устройствами и технологиями, будь то SmartThings от Samsung или Amazon Echo, продажи которого стремительно выросли за последний квартал. В конце концов, это удобно – управлять всем вокруг, не вставая с дивана. Зачем совершать лишние телодвижения, если тебе пока не нужно к холодильнику за новой банкой пива или в уборную?..
Как бы то ни было, имеет смысл обратить внимание на несколько советов, следование которым поможет вашим секретам оставаться секретами…
«Опасность! Опасность!»
Брюс Боланд (Bryce Boland), технический директор компании FireEye, работающей в области кибер-безопасности, говорит: «Потребители должны более серьёзно относиться к вопросам информационной безопасности», потому что «устройства, подключаемые к домашней сети, потенциально способны сделать все другие устройства в сети и, соответственно, все передаваемые через них данные, беззащитными перед злоумышленниками».
Эти «злоумышленники могут воспользоваться полученной информацией, чтобы получить доступ к вашему банковскому счёту, шантажировать вас, воздействовать через ваше электронное оборудование на других, или причинить вам вред другими способами. Потребители должны знать об этих рисках, иначе их незнанием воспользуются другие в своих интересах».
Персональная кибер-безопасность – «важнейший вопрос в наши дни, и в ближайшие годы её значимость будет только расти». Многие из нас больше задумываются об охране жилища, чем о защите электронных устройств и частной информации. Однако «проникновения в частные дома случаются всё же намного реже, поскольку и намного опаснее для преступников», говорит Боланд. «Вора можно поймать, а поймав, посадить в тюрьму. Что же касается кибер-атак, здесь риск попасться намного ниже, и даже в случае «опознания» совершившего преступление, осудить его довольно сложно в силу специфики и «интернациональности» содеянного». «На рынке сегодня нет эффективных решений», продолжает Боланд. С корпорациями всё проще, но до массового использования технологий и продуктов, которые могут «защитить частное лицо, рядового потребителя, «ещё очень-очень далеко».
Умные» устройства, которые поступают в открытую продажу, «должны быть защищены по умолчанию, самим производителем. Если покупателю не нужно производить какие-то особые действия, чтобы устройство заработало – потому что об этом заранее позаботился производитель, – то он тем более не будет ничего делать для того, чтобы устройство работало безопасно», защищая себя от взлома, а владельца – от утечки личной информации. «Это в том числе означает, что производитель не должен использовать жёстко запрограммированные или установленные по умолчанию пароли». Кроме того, производители должны «обеспечить возможность при необходимости быстро менять прошивку всех реализованных устройств, для того, чтобы незамедлительно устранять возникающие угрозы»…
Впрочем, потребители и сами могут предпринять ряд действий, чтобы защитить себя от возможных кибер-атак:
1. Убедиться, что во всех электронных устройствах установлена самая «свежая» версия ПО.
2. Использовать сложные, уникальные пароли для всех устройств и аккаунтов, включая Wi-Fi.
3. Отключить сетевой доступ для устройств, когда в нём нет необходимости.
4. Убедиться, что домашний роутер приобретён у надёжного продавца, и в нём установлена последняя версия ПО.
5. Использовать разные сети для мобильных устройств и компьютеров и для IoT-устройств. У некоторых моделей роутеров есть функция «гостевая сеть», которую можно использовать для устройств, требующих доступа к Интернет, но не к домашней сети.
6. Использовать только то электронное оборудование, которое произведено известными и надёжными компаниями, регулярно обновляющими ПО.
7. Помнить о том, что лучше всегда отключать «облачные» функции и учётные записи, если в них нет необходимости.
8. Конфигурации домашних сетей в наши дни едва ли не сложнее тех, что использовались в небольших компаниях 10 лет назад. Если рядовой потребитель хочет обезопасить себя, он может установить роутер коммерческой модели и использовать виртуальные ЛКС для сегментирования каждого устройства в отдельную сеть. Это поможет повысить и качество работы устройств, и безопасность, хотя, безусловно, потребует более длительной и сложной настройки.
Поаккуратней с этим!
По словам представителя компании Symantec, «слабые места» были найдены у 50 различных типов сетевых домашних устройств, от «умных» термостатов до маршрутизаторов. Потребители должны «опасаться» любых устройств, ведь хакеры могут получить доступ и к видеокамере, и к «умному» замку. Да, одни устройства больше подвержены риску взлома, чем другие, но потенциально уязвимы все. Потребителям следует принять меры безопасности и убедиться в том, что ВСЕ подключаемые в сеть устройства защищены должным образом. По мере того, как наши дома заполняются электроникой, увеличивается и количество лазеек, через которые кибер-злоумышленники могут «проникнуть» в используемые гаджеты и украсть личные данные их владельцев. Хакеры давно и успешно пользуются тем, что большинство потребителей не меняют установленные по умолчанию настройки и пароли, а при разработке многих выпускаемых сегодня сетевых устройств соображения безопасности вообще не берутся в расчёт.
«Сохраняйте спокойствие. Всё под контролем».
Представители компаний-производителей, с которыми удалось пообщаться в процессе подготовки этого материала, признали, что потенциальная угроза безопасности частной жизни потребителей, пользующихся «умными» цифровыми устройствами, существует. Однако тем, кто имеет дело с их продукцией, не стоит беспокоиться всерьёз (ну конечно, иначе и быть не может).
Так, представитель LG заявил, что вся продукция корпорации защищена «по последнему слову техники»… LG тесно сотрудничает с Ассоциацией потребительских технологий (Consumer Technology Association, CTA); совместно проводимая ими рекламная кампания призвана побудить потребителей уделять больше внимания вопросам кибер-безопасности, объяснять им необходимость создания «сильных» паролей для защиты используемых устройств, давать советы о том, как защитить домашние сети и компоненты от возможных атак. По словам представителя корпорации, «ему неизвестны какие-либо слабые места производимых LG «умных» цифровых устройств».
Представитель другой компании, производящей линейку «умных» гаджетов (лампочки, камеры наблюдения и пр.) под брендом Geeni, сказал, что «потребители должны быть в курсе возможных угроз, но не должны излишне беспокоиться по этому поводу. Наша задача как производителей завоевать их доверие». «Наиболее часто взломы случаются, если устройство имеет очень простой пароль доступа, который легко подобрать, или не защищено вообще. Если такое устройство подключено к Интернет, злоумышленнику не составляет труда его распознать и использовать в своих интересах. Поэтому мы очень серьёзно относимся к вопросам безопасности, используя алгоритм AES шифрования данных (прим.: алгоритм одобрен Агентством национальной безопасности США как пригодный для шифрования особо секретной информации), шифрование по HTTPS и многое другое. Пока у нас нет ни одного факта, свидетельствующего о том, что производимые нами устройства уязвимы для кибер-грабителей».
Тем не менее, компании, занимающиеся вопросами сетевой безопасности, заявляют о фактах взломов. Так, в октябре 2016 года стало известно о сильнейшей DDoS-атаке, когда хакерам удалось инфицировать сеть IoT-устройств, чтобы «обрушить» ряд сайтов. В большей степени это затронуло восточное побережье США, однако атаке подверглись и некоторые европейские сайты. Среди интернет-ресурсов, подвергшихся незаконному проникновению, оказались, в частности, Netflix и Twitter.
Подводя итог вышесказанному, посоветуем потребителям вспомнить сценарии некоторых фильмов и сделать соответствующие выводы: если производитель заявляет, что беспокоиться не о чем, потому что ситуация находится под контролем, имеет смысл отнестись к этому с некоторой долей сомнения… И ещё раз убедиться в том, что при установке и подключении используемых «умных» устройств вы сделали всё, что могли, чтобы защитить себя и свои личные данные.
Оригинал: Attack of the Smart Home Devices