20 января 2017

Главными врагами безопасности IoT являются разработчики

Ботнет Mirai является только вершиной айсберга в вопросе безопасности «Интернета вещей» (IoT). Такое мнение выразили ИБ-эксперты на конференции linux.conf.au, проходящей 17-20 января в австралийском городе Хобарт.

Как отметил разработчик встроенных систем Кристофер Биггс (Christopher Biggs), использование ботнета Mirai для осуществления масштабных DDoS-атак отвлекло внимание от других угроз, представляемых незащищенными IoT-устройствами. По словам эксперта, помимо прочего, киберпреступники могут использовать взломанные видеокамеры или видеорегистраторы с целью слежения за жертвой или шантажа. С помощью скомпрометированных IoT-устройств злоумышленники могут собрать большой объем данных о жертве.

«Может показаться забавным, если кому-то удастся использовать автономные компьютеры для получения бесплатной еды или бензина. Однако что вы скажете, если ваши светильники вдруг начнут мигать каждые 200 миллисекунд и перестанут только тогда, когда вы заплатите преступнику выкуп в биткойнах?», - отметил Биггс.

Как отметил эксперт, межсетевые экраны бессильны перед подобной угрозой, поскольку блокируют только входящий трафик. Если UPnP не был отключен, то IoT-устройство может открывать любой порт.

«Вы берете в дом или офис устройство, над которым не имеете никакой власти. Вы не подозреваете, какую угрозу оно может представлять, и не можете устанавливать обновления ПО», - заявил еще один участник конференции, Том Истмэн (Tom Eastman).

По мнению Биггса, главная ответственность за незащищенность IoT-устройств лежит на разработчиках, которые при создании встроенных систем не принимают во внимание поведение обычных пользователей. «В большинстве случаев на устройствах отсутствует информация о его модели. Если она уязвима, вам наверняка об этом неизвестно. Даже если известно, то, скорее всего, патча нет, а если вы пожалуетесь, то наверняка всем наплевать», - цитирует Биггса издание The Register.

По словам эксперта, разработчики используют Linux, не задумываясь о безопасности. Проще установить полную версию ОС, чем напрячься и уменьшить возможности для атак. В некоторых случаях лучше и вовсе вместо Linux использовать более простые ОС.


Источник: Securitylab.ru