Денис Легезо, «Лаборатория Касперского»: в эпоху интернета вещей важно пересмотреть политики ИБ

Развитие интернета вещей заставляет обратить внимание на вопросы информационной безопасности в новом контексте — необходимо защищать все большее количество устройств в сети. Причем, список таких устройств весьма широк: от различных датчиков до бытовой техники и автомобилей. Эксперты говорят о том, что условия для атаки имеются в любом девайсе, который подключен к интернету. Денис Легезо, антивирусный эксперт «Лаборатории Касперского», рассказал в интервью Profit.kz, как выстраивать защиту в таких условиях и на что важно обращать внимание.

— Денис, поскольку вы эксперт в области интернета вещей, хотелось бы узнать о тенденциях в этой области. В том числе и в вопросе информационной безопасности.

— Начнем с того, что такое интернет вещей. Это большое количество подключенных устройств в общей сети. Как было раньше? Устройство в сети — это ноутбук или персональный компьютер, смартфон или планшет. Сегодня мы наблюдаем радикальные изменения — к интернету подключают все. В качестве примера — одноплатные компьютеры, на базе которых создают самые разнообразные устройства. На базе подобных устройств можно решать задачи совершенно разного типа: от определения остатка кофе в домашней кофемашине до сбора информации о количестве зерна в зерноуборочном комбайне. Второй случай — это реальный пример, и насколько я знаю, эффект оказался очень хорошим — компания снизила затраты, увеличила эффективность использования комбайнов. Эти примеры показывают, насколько разнообразны сферы применения интернета вещей.

Для домашних пользователей это такие понятные вещи, как управление отоплением, освещением, кондиционированием, запасами. То есть, концепция «умного дома». Все эти устройства потребляют мало энергии, имеют самую разнообразную архитектуру. И все они подключаются к Сети.

И тут проявились две проблемы. Первая — изначально те же промышленные системы создавались для закрытых систем. Никто не думал, что вся эта инфраструктура когда-то будет подключаться к интернету. Пример: сегодня мы видим невероятный рост в области самоуправляемых автомобилей, которые подключаются к Сети напрямую, получают обновления по воздуху и так далее — и тут же видим примеры их взлома (пока еще, к счастью, исследовательского). Проблема вторая — не все разработчики воспринимают свои устройства из разряда интернета вещей как точку для начала атаки. Например, кофе-машина, которая по мобильному телефону сообщает хозяину о том, что пора насыпать кофейные зерна. Все это хорошо, но если устройство уже подключено к Сети, значит, есть все условия для атаки — и свидетельством тому стала недавняя ДДоС-атака, построенная как раз на такого рода устройствах. Но ведь глубина атаки может быть очень неожиданной.

Поэтому производители таких устройств должны думать об информационной безопасности еще на уровне разработки. Такие устройства нужно изначально готовить к выходу в большой информационный океан. Самоуправляемые и так называемые «умные» автомобили уже и взламывают, и вносят какие-то изменения в код. Если даже производители таких дорогих устройств создают настолько «ущербные» вещи с точки зрения ИБ, то что говорить о производителях кофе-машин, подключаемых к интернету?

— Получается, хотя бы автопроизводители уже должны уделять большее внимание безопасности при создании своих продуктов?

— Мое мнение — автопроизводители готовы к этим вызовам. Просто этот процесс носит эволюционный характер, ведется работа по стандартизации, внедряются новые протоколы. Двигаются они в этом направлении настолько, насколько это возможно для гигантских автоконцернов. Ведь часто электронику, интеллектуальные решения для автомобилей они делают не сами, а заказывают у поставщиков первого уровня, снимая, таким образом, с себя «головную боль» в этом вопросе. Но, тем не менее, инциденты происходят, как, например, тот, который произошел с Jeep Cherokee, когда пришлось перепрошивать программное обеспечение для 1,4 миллионов автомобилей.

Разумеется, работают они и с нами в этой части. Повторю, процесс это непростой. Прежде, чем система будет допущена до массового производства, предстоит пройти длинный путь.

Еще интересно смотреть на то, как автомобили разных производителей взаимодействуют друг с другом. Это должен быть какой-то взаимопонимаемый алгоритм. Например, как автомобили передают информацию о дорожной ситуации, дорожных знаках между собой. Так что тут есть еще два тренда — «умная» дорога и протокол взаимодействия между автомобилями разных производителей. Плюс — взаимодействие с личными устройствами человека — смартфонами, ноутбуками и планшетами. Та же информация об уровне бензина, состоянии автомобиля, передаваемая на мобильные устройства. Тут все проще: передача взаимодействия с тем же датчиком бензина реализуется через порт автомобиля, который принимает всю информацию и обрабатывает ее. И тут же по Bluetooth, например, передает эти данные в смартфон. Это уже сегодняшний день, реально существующие решения.

Есть еще камеры видеофиксации, которые считывают скорость и высылают штрафы. А есть датчики дорожного движения, которые взаимодействуют с датчиками в автомобиле — такие уже есть в Москве — они собирают данные об автомобиле, скорость движения, плотность потока, загруженность трассы. На основании этой информации, дорожные власти Москвы формируют отчет о самых «быстрых» и «медленных» дорогах, делают выводы в целом о состоянии трафика. В будущем, вероятно, эти данные можно интегрировать со светофорами. Насколько понимаю, такую идею в правительстве Москвы уже вынашивают. И все эти данные — лакомый кусочек для злоумышленников. Их можно использовать для каких-то атак. Продавать, наконец.

Я лично исследовал эти датчики и обнаружил их слабое место: смог получить доступ к настройкам, то есть, к самому устройству. Разумеется, мы рассказали московским властям об этом факте, — насколько понимаю, они исправили эти недочеты. Так вот, датчик собирает около 8 Мб данных. Я бы не сказал, что там есть какие-то секретные данные — количество машин и скорость (ни номера, ни какой-либо точной информации о машине эти модели содержат). А ведь есть датчики, собирающие более значимую информацию. Например, если это детекторы, которые используются в нефтегазовой отрасли, данные с них могут быть куда привлекательнее для киберпреступников. Но вернемся к датчикам, которые стоят в Москве. Выяснилось, что можно было поменять количество полос, вид транспортного средства — например, сделать все автомобили грузовиками. Можно было поменять время, и тогда час пик будет глубокой ночью. То есть была возможность использования этих данных злоумышленниками в виде их фальсификации. Подчеркну, что когда реализуются подобные проекты, необходимо изначально думать о защите данных, которые собираются посредством таких датчиков. Это прописная истина.

— Каков ваш взгляд на необходимую информационную безопасность в современном мире?

— В эпоху интернета вещей многие организации, в том числе и государственные органы, должны пересматривать свои политики в области информационной безопасности с учетом новых угроз. Любое устройство, которое подключено к Сети, должно рассматриваться как потенциальная точка входа для атаки — любое расширение периметра информационной системы предприятия дает новые точки входа для злоумышленников. То есть, плюс один компьютер — плюс одна точка входа, еще один ксерокс — теперь тоже еще одна точка входа. И здесь очередная проблема — если к ПК все привыкли, то эта армия устройств — это что-то совсем новое. А там другая аппаратная база, другие контроллеры, другие прошивки. И нужно принимать во внимание тот факт, что уже есть зловреды для таких устройств.

— А можно чуть подробнее — были ли уже какие-то громкие случаи, инциденты, которые связаны с устройствами интернета вещей?

— Есть зловреды, которые перебором паролей на роутерах получали доступ к таким устройствам. В итоге создавали большой ботнет. Особенность его в том, что роутеры всегда в сети, а значит, и этот ботнет был всегда активным. И далее они ждали команду на атаку на отказ в облуживании, и недавно именно такую атаку с IoT-устройств мы и наблюдали. Подобные ботнеты легко коммерциализируются, на них можно хорошо заработать. В интернете есть сайты, где DDoS можно заказать за деньги. При этом защита от DDoS атак стоит дороже, чем сама организация атаки...

— И напоследок хотелось бы услышать ваше мнение о способах защиты устройств из области интернета вещей — как вы видите этот механизм?

— Поскольку устройства очень маломощные, «тяжелые» защитные решения тут будут нецелесообразны — фактически эта «железка» почти полностью «занята» своей основной задачей. Скорее всего, это будет какое-то очень «легкое» решение, легкий агент, который устанавливается непосредственно на этой «железке». И он будет мониторить трафик, а также пользоваться данными других агентов.