Умные и уязвимые: опасности IoT-устройств

Огромное количество потенциально уязвимых девайсов – по данным Gartner, сейчас в мире насчитывается⁵ около 6 млрд умных устройств – объясняет увеличение активности злоумышленников, разрабатывающих вредоносное ПО под подобные девайсы. На май 2017 г. в коллекции "Лаборатории Касперского" было зафиксировано несколько тысяч различных образцов такого программного обеспечения, при этом около половины из них были добавлены в 2017 г. (рис. 2).

Незащищенность устройств Интернета вещей несет в себе целый ряд непосредственных угроз для конечных пользователей: от включения девайсов в ботнет до их использования в качестве промежуточного звена для совершения противозаконных действий, шпионажа с целью последующего шантажа и даже поломки устройств.

Уязвимость умных гаджетов обусловлена множеством факторов. Среди них – несвоевременный выпуск производителями обновлений ПО или их полное отсутствие. Ошибки в программном обеспечении – лазейка для злоумышленников: например, троян Persirai эксплуатировал уязвимость, характерную для более чем 1000 различных моделей IP-камер. Это позволяло ему выполнять на девайсе произвольный код с правами суперпользователя.

Другая прореха в системе безопасности устройств связана с реализацией протокола TR-069⁶, предназначенного для удаленного управления устройствами со стороны оператора. Его основу составляет SOAP, который при передаче команд использует формат XML. Как оказалось, уязвимость скрывалась именно в парсере команд. Данная схема заражения использовалась в некоторых версиях троянца Mirai и Hajime⁷, а также при заражении устройств Deutsche Telekom.

Кроме того, производители зачастую устанавливают одинаковые пароли не только для какой-то одной модели, но и для всей линейки продукции. Доходит до того, что соответствующие пары "логин/пароль" становится достаточно легко найти в свободном доступе в Интернете.

"Лабораторией Касперского" были настроены специальные IoT-ловушки (Honeypot), имитировавшие различные устройства под управлением ОС Linux. Спустя всего несколько секунд после их установления были зарегистрированы первые попытки подключения к открытому Telenet-порту, за сутки количество обращений с уникальных IP-адресов достигло отметки в несколько десятков тысяч. Большинство зафиксированных случаев (рис. 3) были связаны с использованием протокола Telnet, оставшаяся часть пришлась на долю SSH. Более половины устройств (63%), с которых совершались атаки, можно отнести к категории DVR-сервисов или IP-камер, 16% были представлены различными сетевыми устройствами и маршрутизаторами практически всех основных производителей. 1% составили Wi-Fi-репитеры и другое сетевое оборудование, ТВ-приставки, IP-телефония, выходные ноды Tor, принтеры и девайсы умного дома. 20% с точностью опознать не удалось.

Большая часть IP-адресов, инициировавших подключения к ханипотам, отвечают на HTTP-запросы. Примечательно, что в некоторых случаях на запрос отвечает не то устройство, которое атаковало ловушку. Это объясняется тем, что за одним адресом может находиться сразу несколько устройств. В ответ на запрос приходит Web-страница (это может быть панель управления устройством или, к примеру, видео с камеры), проанализировав содержание которой, можно попытаться определить тип устройства.

Поскольку на ханипотах можно увидеть только часть устройств, оценить весь диапазон девайсов аналогичного типа можно, обратившись к поисковым сервисам вроде Shodan или ZoomEye. Поиск по наиболее популярным заголовкам IP-камер, DVR и роутеров в рамках ZoomEye показал, что существуют миллионы потенциально зараженных устройств.

При этом оборудование, с которого были зафиксированы атаки на ловушки, было представлено не только домашними устройствами, но и оборудованием промышленного типа. Еще большая опасность заключается в том, что некоторые IP-адреса, с которых осуществлялись атаки, непосредственно связаны с системами мониторинга или управления устройствами в сфере промышленности и безопасности. К этой группе, среди прочего, можно отнести целый ряд объектов: от кассовых терминалов магазинов, ресторанов и заправочных станций до систем цифрового телевещания, экологического мониторинга, охраны и контроля доступа, управления электропитанием, а также программируемых контроллеров, используемых в промышленности, и даже мониторинга сейсмической станции в Бангкоке. Нельзя утверждать, что именно эти устройства заражены, однако сам факт атаки на ловушки с их IP-адресов как минимум означает заражение одного или нескольких устройств в их сети.

Стоит отметить, что большую долю зараженных устройств составляют IP-камеры и видеорегистраторы, широко распространенные в Китае, России, Бразилии, Турции и других странах. Географическое распределение устройств, с IP-адресов которых были зафиксированы атаки на ханипоты, можно увидеть на рис. 4.

Только за 2017 г. "Лаборатория Касперского" зафиксировала более 2 млн попыток взлома и более 11 тыс. уникальных адресов, с которых скачивалось вредоносное ПО для IoT.

Любопытна и динамика активности атакующих по дням недели (рис. 5): ее пик, выраженный в сканировании, переборе паролей и попытках подключения, часто приходится на вполне определенные периоды. В частности, на понедельник, который, как известно, день тяжелый. По-видимому, и для злоумышленников тоже – другого объяснения этому феномену пока найти не удалось.

События 2016 г. показали, что проблема незащищенности умных устройств перешла из разряда возможной в категорию абсолютно реальной угрозы. Количество таких девайсов уже сейчас превышает отметку в несколько миллиардов, в то время как аналитики прогнозируют их рост к 2020 г. в пределах от 20 до 50 млрд устройств.

Умные гаджеты становятся не только неотъемлемой частью нашей жизни, но и источником серьезных угроз. Как же уберечь их от атак злоумышленников? Соблюдение некоторых несложных рекомендаций – залог защищенности пользователей от большинства распространенных в настоящий момент IoT-зловредов.

Прежде всего, если это не требуется для использования устройства, не стоит открывать к нему доступ из внешней сети. Кроме того, целесообразно отключить все сетевые серверы, которые не нужны вам в процессе работы с девайсом. Прежде чем приступить к использованию устройства, необходимо сменить пароль по умолчанию на новый, устойчивый к прямому перебору. Если же на устройстве установлен стандартный или универсальный пароль, который невозможно поменять, или же не представляется возможным деактивировать предустановленную учетную запись, следует отключить сетевые серверы, в которых они используются, или закрыть сетевой доступ к ним извне. И, конечно, не забывайте регулярно обновлять прошивку используемого устройства до последней версии, если такая возможность предусмотрена.