В интернет с вещами

Статья «В интернет с вещами» подготовлена
в рамках спецпроекта «Умные города по-русски»,
реализуемого совместно с компанией Ericsson

В американской литературе 20-го века, особенно в трудах ее классиков, традиционно подчеркивалось, как большие города стирают личности своих обитателей. Люди превращаются в безликую серую массу, затеряться в которой даже проще, чем в глухом лесу. И найти себя снова, стать из монохромного полноцветным, можно только если встретишь кого-то, кто знает тебя настоящего.

В произведениях Драйзера и О.Генри этим кем-то бывал или богач, или человек из прошлой жизни. В 21-м веке мало кто из живых людей знает горожан лучше, чем молчаливые гаджеты. Объем данных, которые они собирают о нас, огромен. Но это море информации — лишь капля в настоящем океане, который соберут устройства, относящиеся к категории IoT, Internet of Things. Информация будет настолько детальной и многогранной, что даже самый скучный городской житель обретет яркую индивидуальность, выраженную в цифрах и фактах. Но самое время задаться вопросов — всегда ли хорошо быть заметным?

По данным нового отчета Ericsson, число IoT-устройств обойдет количество мобильных телефонов к 2018 году.

Точка отсчета

Мы так долго шутили насчет микроволновок с доступом в интернет, что пропустили момент, когда в Сеть постучались телевизоры, стиральные машины и мультиварки. По данным Ericsson, к 2021 году в интернет выйдет не менее 16 миллиардов устройств, относящихся к категории Internet of Things. И это только начало, потому что производители не успокоятся, пока не соблазнят вас полностью заменить весь парк имеющейся техники на «умную». Вы еще будете смеяться над собой, что сразу не догадались — зачем Wi-Fi нужен в электрочайнике или утюге. IoT войдет в привычку очень быстро.

Потому что самом деле Internet of Things, или, как его назвали по-русски, Интернет Вещей — концепция полезная и абсолютно гармоничная техническому прогрессу. Удаленный доступ к любой вещи с возможностью обратной связи — это действительно удобно. Например, человечество имеет шансы избавиться от фобий, типа «закрыл ли я дверь» или «выключил ли я утюг», потому что информация об этом будет в смартфоне. И если вдруг не закрыл и не выключил, все можно исправить из любой точки города и мира. Система наблюдения распознает лица всех, кто проходил мимо вашего дома или стоял около двери квартиры, и при повторном появлении того же человека сравнит его лицо с базой полиции. На всякий случай. Холодильник, снабженный набором камер, сообщит о конце срока годности продуктов и просто истощении запасов любимого мороженого. Умный пылесос отправит сообщение о находке ювелирного украшения, завалившегося под диван.

Все это происходит уже сегодня. Что будет завтра, когда техника научится общаться между собой, представить пока просто невозможно. Всплывают только какие-то наметки, вроде специального массажного режима душевой кабинки, получившей сигнал от зеркала, что хозяин отъел слишком мясистые бока.

Конечно, за удобство придется полностью расстаться с остатками приватности, да и возможностей немного сэкономить поубавится (например, счетчик воды тоже будет подключен к интернету, и в нем наверняка поселится простенький магнитный датчик, жалующийся на маленькие хитрости пользователя). Но нам, постоянно носящим с собой смартфон, уже нетрудно будет смириться с перманентным отслеживанием всего и вся в нашей жизни. И то, что кто-то знает о вас довольно много, вовсе не означает, что данное знание дойдет до окружающих.

Разработкой IoT-решений займутся все те же компании, что делали обычную, «глупую» технику. И это правильно. Техника подобна английскому газону: чтобы получилось хорошо, необходимо сделать много итераций. Конечно, на этот рынок будут приходить и новые компании, как было всегда, однако многолетний опыт имеет огромное значение и в наше постоянно ускоряющееся время. Даже такую незамысловатую вещь, как утюг, сделать хорошо, мягко говоря, непросто. Многочисленные китайские подражания под продукцию старых брендов тому яркое свидетельство: скопировать можно форму, но не отшлифованную за десятилетия логику конструкции. А если поднапрячься и сделать почти так же хорошо, как у грандов, на круг получится почти так же дорого, как у них. И уж точно слишком дорого, чтобы потребитель предпочел неизвестный китайский продукт.

В старых компаниях есть школа повышения пользовательской удовлетворенности. Есть огромный опыт подборки материалов с учетом их износостойкости, совместимости и взаимодополняемости. Накоплен опыт в сфере безопасности — пожарной, механической и т.д. Тот же утюг, сделанный приличной фирмой, не полыхнет внезапно синим пламенем. Но все меняется, когда наступает эра IoT.

Невидимый властелин

Давайте представим совещание в отделе большой фирмы, много лет выпускающей бытовую технику, по добавлению «Интернета вещей» в уже многократно упомянутый утюг. Сначала показывается презентация, что число подключенных устройств растет, конкуренты не дремлют, и пора бы нам тоже начать двигаться в правильном направлении. В прениях ретрограды разумно говорят, что новая эра-то еще не наступила, продавать утюги надо прямо сейчас, и если из-за IoT себестоимость вырастет хотя бы процентов на 20, можно распускать всех сотрудников по домам и вешать на офисы табличку «Продается».

Но тут один из инженеров говорит, что можно поставить в утюги стандартный китайский модуль с камерой и Wi-Fi за 2 доллара, и есть молодая компания, обещавшая написать серверный софт и мобильные приложения для всех платформ. Все это будет как-то работать, а у отдела маркетинга появится возможность рассказать о том, как умная камера определяет по облачной базе тип ткани, выставляя оптимальный температурный режим.

Решение, конечно, временное, но себестоимость вырастет всего на 3 доллара. А пока закончится жизненный цикл этих моделей, сделаем, как положено.

Все облегченно улыбаются и расходятся, понимая, что «как положено» никто в обозримом будущем делать не будет.

«Часто при создании устройств инженеры просто не думают об информационной безопасности», — говорит Денис Легезо, антивирусный эксперт «Лаборатории Касперского», — «Еще недавно сложно было представить атаку, начавшуюся с кондиционера, а теперь об ИБ приходится думать при разработке любых устройств, смотрящих во внешний мир. Нужно сменить восприятие таких устройств».

Конечно, надо изменить. Но время поджимает, ресурсы жестко ограничены, а заглянуть в будущее даже на 5-7 лет с высокой степенью достоверности почти невозможно. И, как снежный ком, возникает и растет проблема «наследия». Яркий пример из автомобильной индустрии — шина CAN-bus. Разработанная около 30 лет назад, она до сих пор отлично решает свою основную задачу надежной передачи данных. Но с точки зрения ИБ она ужасна просто потому, что в середине восьмидесятых никто даже не мог представить автомобиль, подключенный к Сети. Представить летающий автомобиль было гораздо проще. Удаленный перехват управления автомобилем Jeep Cherokee через сеть мобильного оператора Sprint, случившийся не так давно, это милый привет из прошлого.

А вот теперь представьте, что все устройства вокруг, от утюга до автомобиля, вооружены до зубов самыми разными датчиками, микрофонами и камерами, и при этом свободно выходят в интернет? В их распоряжении огромный массив информации о жизни всей вашей семьи, и все находится под контролем стандартных китайских аппаратных модулей, выпускаемых под разными названиями десятками небольших заводов, и софта, написанного молодыми ребятами, которых плохо кормили и жестко подгоняли. Формально все в порядке, решение работает. И то, что в техзадании не было ни слова о пентесте (методе оценки безопасности компьютерных систем или сетей средствами моделирования атаки злоумышленника), нет ничьей вины. Инженеры старой школы о таком и не слыхивали. Китайцы вежливо промолчали. Молодые разработчики, имеющие опыт написания мобильных приложений, знают, как удовлетворить требования Apple и Google, но не более того.

Работающее, а значит хорошо зарекомендовавшее себя решение, становится стандартом. Оно улучшается по форме, но не по сути. С каждым новым поколением устройств IoT они смогут узнавать все больше и больше. И щедро делиться со злоумышленниками.


Все только начинается

Cегодня есть два типа IoT-устройств, рассказывает Сергей Белов, ведущий исследователь ИБ Digital Security. Первые работают внутри сети и подключены к интернету не напрямую (т.е. не имеют своего публичного IP-адреса). Чаще всего, они работают через облачный сервис от производителя IoT), как это бывало и с камерами, и с игрушками для дома и многими другими “умными” вещами. Сюда же можно отнести SmartTV, умные чайники, различные сенсоры (датчики температуры, давления и т.п.).

Второй тип подключен напрямую к интернету. Таких устройств пока мало в силу ограниченности количества IPv4 адресов. Но с массовым внедрением IPv6, когда каждый девайс дома будет иметь свой собственный IPv6 адрес (а это одна из задач IPv6 - чтобы даже умная лампочка имела свой уникальный адрес) и будет напрямую подключен к Интернету — таких устройств станет в разы больше.

Устройства первого и второго типа объединяет одно — чаще всего, они призваны выполнять свои функции и вообще не подразумевают какую-либо защиту (а если она и есть, то на уровне начала 2000-х). Поэтому те случаи, о которых мы слышим сейчас, — лишь начало, и атаки на них произведены чаще всего через уязвимости сервера производителя IoT, так как напрямую до этих устройств добраться пока сложнее. Но это лишь вопрос времени. Ломать облако большой компании, пусть и не слишком защищенное — не так увлекательно. И на взлом наверняка будет довольно оперативная реакция. То ли дело получить доступ к вполне конкретному роботу-пылесосу, снабженного целой видеосистемой с очень приличными возможностями. Сколько всего интересного можно узнать с его помощью, если робот свободно катается по офису крупной компании?

На всех экранах мира

По мнению Дениса Легезо, наибольший интерес у злоумышленников вызывают устройства, через которые можно получить прямой доступ к деньгам. Все, что угодно, взявшееся хранить данные, дающие доступ к кошельку владельца, автоматически становится высокоприоритетной мишенью. В будущем такими "устройствами" могут стать не самые предсказуемые вещи, будь то автомобиль, холодильник или биометрические датчики.

Помимо такого прямого заработка существуют личные данные владельцев устройств, которые можно затем продать. Подобная информация тем ценнее для атакующих, чем проще ее монетизировать. Если, предположим, банк готов дать доступ к сейфовой ячейке по одному лишь отпечатку пальца, то кража данных об отпечатках имеет понятный экономический смысл.

Растущее число программ-вымогателей говорит о том, что злоумышленники убедились в работоспособности схемы "зашифруй и потребуй выкуп". Такие, с позволения сказать, программы уже пришли на "умные" телевизоры (хочешь снова смотреть — заплати), и придут еще на самые разные устройства (хочешь снова пользоваться инфотейментом в своей машине — заплати). Как вариант схемы вымогателей — "укради что-то очень личное, пригрози опубликовать и снова потребуй выкуп". На наших устройствах сегодня много камер, и не любое видео со своим участием мы хотим видеть опубликованным в сети.

По наблюдениям Сергея Белова, налицо рост интереса злоумышленников к камерам слежения. После того, как хакеры получают доступ к ним, их используют для дальнейших атак на сеть, поскольку такие устройства, как камеры, POS-терминалы и т.д. обычно находятся в одной сети. Кроме того, нередко атаки на камеры слежения используют кардеры для уточнения типа объекта атаки, то есть делают "фото" информации по кредиткам.

Нередко домашние пользователи отмечают подозрительную активность на домашних камерах (например, устройство периодически поворачивается и мигает). После смены пароля такая активность может пропасть. Или нет, если хакер уже глубоко внутри сети.

Наконец, не стоит забывать про обычное кибер-хулиганство, где во главе угла стоит желание поглумиться, а не заработать. Еще неизвестно, кстати, что хуже.


Чудище обло, озорно и прибыльно

Вся наша жизнь вместе с деньгами, событиями, увлечениями и отношениями уверенно оцифровывается. По сути она меняется мало, однако форма претерпевает радикальную трансформацию. Раньше ограбление банка — это маски-шоу с раскладыванием посетителей на полу вперемешку с сотрудниками, то теперь все ограничивается несколькими людьми, сидящими за компьютерами в разных уголках земного шара. И эффективность их «труда», кстати, заметно возросла по сравнению с грабителями прошлых поколений.

Похожая история с трудом частного детектива: вместо того, чтобы тайно красться за кем-то гораздо проще подсунуть ему троян на компьютер или смартфон. Информации соберется гораздо больше.

Эволюция — это нормально. Интернет вещей, проникнув в повседневную жизнь, сделает ее удобнее и безопаснее, попутно утратив свое немного корявое имя собственное.

Но очень, очень важно задумываться сейчас не только об удобстве и функциональности, но и о безопасности. Иначе есть хороший шанс, что удобнее жить станет не только вам.