Павел Жовнер, Flipper Devices: IoT-устройство характеризует не наличие уязвимостей, а реагирование производителя на выявленные проблемы

Павел Жовнер, основатель Flipper Devices, рассказал порталу Cyber Media о том, насколько взломоустойчивы IoT-устройства, как их использование может сказаться на приватности и безопасности пользователя, корпоративных рисках эксплуатации смарт-устройств и способах самостоятельно снизить риски эксплуатации IoT-устройств на уровне домашней сети.

О спикере:

Техноэнтузиаст, стартапер. Основатель Flipper Devices и создатель Flipper Zero – мультитула-тамагочи для пентестеров. Участвовал в таких проектах, как Доброфон, хакспейс «Нейрон» и ряде других.

Cyber Media: IoT-устройства становятся популярнее и распространеннее год от года. Сейчас их можно встретить буквально везде: дома, в офисе, в торговом центре и тд. А насколько они взломоустойчивы?

Павел Жовнер: Надо понимать, что IoT сейчас – это широкий термин, под которым может подразумеваться все, что угодно: от серьезных индустриальных решений, до повсеместно распространенных беспроводных датчиков и дешевых китайских Wi-Fi розеток. Это все равно, что говорить об уровне безопасности веб-сайтов – каждый ресурс индивидуален, как и каждое IoT-устройство.

Однако вопрос действительно важный, есть даже шутка, что в аббревиатуре «IoT» S означает Security, вот только этой буквы там нет. Несколько лет назад было много громких инфоповодов, связанных с низким уровнем защиты смарт-устройств того или иного класса.

Особенно это касается потребительской электроники, всякие умные, в кавычках, розетки замки, переключатели. Все это было и сейчас бывает слабо защищено. Часто и бизнес, в основном из-за экономии, использует незащищенные решения. Например счетчики на производствах, герконы в торговых центрах, разные датчики открытия-закрытия дверей – они достаточно примитивны, часто используют статические сигналы, которые легко можно симулировать или напрямую взломать устройство.

Но говорить об абсолютной незащищенности IoT-устройств нельзя. Если посмотреть на рынок, то есть немало вендоров, которые предлагают нормальные промышленные решения с хорошей криптографией. 

В контексте IoT принцип тот же, что и в отношении других продуктов – безопасность стоит денег. Если не опираться на одну лишь дешевизну при выборе устройства, то в любом сегменте можно найти надежные решения, будь то потребительский сектор или бизнес-оборудование.

Cyber Media: На Ваш взгляд, насколько пользователи в целом осознают киберриски, связанные с IoT? Например, что их кофеварка может внезапно «взбеситься» или, что более вероятно, стать частью ботнета.

Павел Жовнер: В сети довольно просто «нагуглить» кейсы, связанные с ботнетами, таких историй хватает. Например, пару лет назад была громкая история со взломом камер видеонаблюдения. Уровень их защиты был настолько низким, что взлом был полностью автоматизирован – стоило активировать камеру, и через 5-10 минут она становилась частью ботнета. Однако, стоит сказать, что это были дешевые китайские камеры от «вендора-ноунейма», и ожидать от них высокого уровня защищенности было, по крайней мере довольно странно.

Сравнительно недавно был кейс с роутерами Mikrotik. Злоумышленники пользовались ошибками пользовательских настроек и уязвимостями в старых версиях роутеров, чтобы собрать на их базе ботнет. 

Если человек читает новости – он, с большой долей вероятности, в курсе рисков, сопряженных с IoT-устройствами. Уровень осознанности же сугубо индивидуален. 

Cyber Media: Если злоумышленник или просто «шутник» получил доступ к домашней сети, к которой подключены несколько IoT-устройств, что он может сделать? На Ваш взгляд, насколько сложно получить доступ к домашним сетям Wi-Fi?

Павел Жовнер: Действительно, взлом домашней сети – это не такая уж редкость. Существует много методов и инструментов, которые хакер может использовать для взлома сети. Домашняя сеть от корпоративной в этом плане отличается тем, что в ней априори меньше защиты и защитных инструментов.

Как я уже говорил, главный залог защиты пользователя – это выбор качественных, брендовых решений, за которыми стоит доверенный вендор. В остальном, важность имеют два фактора:

• регулярность обновлений;
• парольная политика.

Если пользователь следит за этими двумя факторами и подключает к своей сети только достаточно надежные устройства – он вполне защищен.

Касательно рисков – это всегда игра в формате «А что если…». Если у вас к сети подключен, например, кардиостимулятор или другие системы жизнеобеспечения – наверное, риск достаточно велик.

Есть риски, связанные с приватностью. Они наиболее актуальны в том случае, если вы используете технику с камерами или микрофонами, системы видеонаблюдения, которые подключены к сети.

Если вы используете нагревательные приборы, управление которыми можно перехватить и вывести их из строя, либо датчики открывания-закрывания окон, умные замки – это тоже определенный риск.

Сценариев довольно много, каждый пользователь должен сам оценивать риски и работать над предотвращением ситуаций, которые для него недопустимы.

В то же время, получение злоумышленником доступа к информации датчиков температур, управлению кофемашиной или умной розетки – это, безусловно, неприятно, но вряд ли относится к числу критических событий. 

Cyber Media: Многие пентестеры отмечают, что компании: «не предполагают, что взлом их сети может начаться с принтера». На Ваш взгляд, проблема эксплуатации IoT актуальна только в «бытовом» плане, или на корпоративном уровне тоже?

Павел Жовнер: Абсолютно любое устройство, подключенное к сети, может стать «точкой входа» для хакеров. Это давно уже не новость, и если у компании хорошая служба обеспечения кибербезопасности – этот фактор включен в модель рисков, он прорабатывается в обязательном порядке.

В контексте сравнения бытового и корпоративного уровня, принципиально отличается степень потенциального ущерба в ходе недопустимого события. В случае с домом, злоумышленник, возможно, «побалуется» с умными лампочками, испортит кофеварку, сделает еще что-то неприятное. Такое же «баловство» на уровне корпоративной сети и промышленного оборудования – это потенциальная остановка бизнес-процессов в компании.

Акцентируя внимание на производствах, важно отметить, что многие датчики и оборудование давно не обновлялись, соответственно – те промышленные устройства, которые подключаются к сети, не отвечают современным стандартам безопасности и потенциально уязвимы.

В этом контексте наиболее опасны так называемые APT-атаки, которые нацелены на конкретную компанию и учитывают все особенности ее инфраструктуры, оборудования и защиты. На пользовательском уровне трудно представить, что кто-то решит провести APT-атаку на конкретного человека, если речь не идет о каких-то исключительных, публичных людях.

Cyber Media: Какие советы по защите Вы могли бы дать активному пользователю разных IoT-девайсов?

Павел Жовнер: В первую очередь – выбирать брендовые решения. Имя вендора, разумеется, не панацея от уязвимостей, но гарант того, что производитель будет следить за актуальными уязвимостями, выпускать обновления и уведомлять о рисках своих клиентов.

Из первой рекомендации напрямую вытекает вторая – следить за обновлениями. В большинстве случаев, для этого достаточно подписаться на рассылку производителя и периодически проверять почту.

И третий совет – использовать здравый смысл и фантазию. Если вы можете представить сценарий, в котором ваши устройство могут использовать для реализации недопустимых событий – значит есть смысл подумать о дополнительных методах защиты.

Важно не забывать, что IoT-устройства буквально повсюду, и они никуда не денутся. Если вы известная личность, владелец бизнеса – нужно учитывать риск, что трекер в вашем фитнес-браслете или автомобиле может быть не только удобным девайсом, но и источником информации для злоумышленника.