Интернет вещей (англ. internet of things, IoT) — концепция вычислительной сети физических предметов («вещей»), оснащённых встроенными технологиями для взаимодействия друг с другом или с внешней средой, рассматривающая организацию таких сетей как явление, способное перестроить экономические и общественные процессы, исключающее из части действий и операций необходимость участия человека. Википедия

Десять лет назад количество устройств с доступом в интернет превысило население нашей планеты. Так интернет людей официально стал интернетом вещей. Тогда же Национальный разведывательный совет США назвал интернет вещей одной из главнейших угроз информационной безопасности.

Опасность кроется в самой идее подключения всего и вся к глобальной паутине. Концепция интернета вещей подразумевает объединение различных электронных устройств для автоматического выполнения рутинных задач. В небольшом масштабе — это, например, "умный" дом, который контролирует микроклимат и крепость кофе без участия человека.

В масштабе побольше — это целый умный город, с автоматизированными коммунальными и транспортными системами.

К сожалению, повсеместное распространение умных устройств и их слабая защита, открыли сказочные горизонты для злоумышленников. Сегодня фраза "хакнуть Пентагон с помощью тостера" уже не звучит как шутка.

Поговорим о темной стороне интернета вещей и его самых громких взломах.





В прошлом году, на голландской конференции по кибербезопасности, 11-летний школьник Рубен Пол заставил всех изрядно задуматься. Прямо со сцены, по блютуз, он угнал номера телефонов мировых экспертов по безопасности. Затем взломал плюшевого мишку, который после взлома стал записывать телефонные разговоры и втихаря отсылать СМС.

Основной посыл маленького кибер-ниндзя заключался в том, что любое умное устройство можно превратить в оружие или инструмент мошенников.
Например: тот самый медведь был из серии игрушек CloudPets, которые уже не раз привлекали внимание злоумышленников.

Из-за халатного отношения к безопасности, хакеры получили доступ к учетным данным 800 тысяч пользователей и двум миллионам их голосовых сообщений. В результате некоторые родители подверглись шантажу: видимо, в их общении с детьми было что-то стоящее выкупа.



Ещё более криповые истории происходят с видеонянями.

Например, в Вашингтоне какой-то фрик взломал устройство компании Foscam, и по ночам разговаривал с трёхлетним мальчиком. Родители не верили рассказам ребёнка, пока сами не услышали из динамика:

" Просыпайся, малыш... Папочка ищет тебя".

Таких случаев сотни, тысячи, и даже больше.





Чаще всего взломщики просто развлекаются: включают музыку через беспроводные колонки; записывают лулзы с ip-камер; рисуют лик Иисуса на тостах, и так далее.




Но иногда - дыры в устройствах интернета вещей представляют реальную угрозу для жизни.

Умные медицинские девайсы могут стать причиной смерти, если этого захочет какой-нибудь хакер-ассасин.
Например, в инсулиновых помпах Johnson & Johnson была обнаружена уязвимость, позволяющая устроить диабетику передозировку инсулина.
Аналогичным образом были скомпрометированы почти полмиллиона, установленных в груди пациентов, кардиостимуляторов St George medical. С расстояния в 15 метров, на них можно было послать команду для изменения сердечного ритма или подачу некорректного электроразряда. К счастью, до выпуска патча, ни одной реальной атаки на кардиостимуляторы не зафиксировали.

Другой способ прикончить кого-нибудь с помощью интернета вещей — устроить аварию во время поездки на умном автомобиле.

Например, специалистам Keen security lab удалось взломать электромобиль Tesla Model S, через встроенный браузер, и взять на себя управление машиной.

Подобное поворачивали с Toyota Prius, и даже с менее технологичным Jeep Cherokee, который хакеры отправили в кювет.



Но вишенкой на потенциальный могиле человечества является взлом 2010 года, когда хакеры остановили работу центрифуг для обогащения уранового топлива в Иране.

Промышленный интернет вещей является отдельным предметом для опасений. Критическая уязвимость каких-нибудь датчиков паровых турбин может вывести из строя систему охлаждения АЭС и превратить её в "грязную бомбу".

Конечно, в повседневном мире эксплойты умных девайсов и гаджетов используются в более тривиальных целях:

• Для кражи финансовой информации со смарт-часов
• Майнинга крипты на роботах пылесосах
• Рассылки спама
• DDoS атак через видеорегистраторы

Сеть из зараженных устройств интернета вещей называется — ботнет, и ее услуги можно без особых заморочек купить в даркнете.

В зависимости от размера сети и конкретных задач, цены пляшут от нескольких баксов до сотен долларов, и если студент экономит на обедах, ему даже может хватить денег, чтобы задудосить сайт ненавистный шараги.





Кстати, именно так развлекался Парас Джа: создатель одного из самых известных ботнетов - Mirai.

В 2015 году он регулярно ронял сайт Рутгерского университета, где учился в то время. Конечно, это не было основной задачей Mirai.

Вместе с двумя друзьями, Джа организовал целый ботнет-бизнес, атакуя конкурирующие сервера игры Minecraft, и защищая лояльные. В процессе студенты хакеры заразили не менее 300 тысяч устройств интернета вещей, среди которых были домашние роутеры, ip-камеры, видеопроигрыватели и прочее.

Позже, пытаясь замести следы, Джа слил исходный код Mirai в открытый доступ. С тех пор в сети регулярно появляется вредоносное ПО на основе Mirai, докучающее провайдерам и хостерам по всему миру.





Некоторые ботнеты, наоборот, пытаются защитить интернет вещей от злоумышленников.

Например, червь HAJIME, при заражении устройства, блокирует некоторые порты, которые чаще всего используют другие взломщики. По словам автора HAJIME, он просто укрепляет безопасность систем, и не планирует использовать свой ботнет для тёмных делишек. Но кто знает?

По расчетам аналитиков, в 2020 году в мире будет более 24 млрд устройств, подключенных к сети.

Объем рынка интернета вещей достигнет 19 млрд долларов. Несмотря на это, серьезных шагов по обеспечению безопасности не делают даже крупные производители электронной техники.

Насколько легко хакеры получают доступ к файловой системе серьезных контор, я говорил раньше. Прокачанные параметры системы не спасут от человеческих слабостей. Подробнее - здесь.

С одной стороны — это никому не выгодно: если предусмотреть все риски взлома устройства, то даже простая электрическая зубная щетка будет стоить под 400 баксов.

С другой стороны — даже самая дорогая, навороченная система кибербезопасности не защитит устройство пользователя с паролем 12345.





Говорят, что проблему могут решить блокчейны, которые сейчас активно внедряются в "умных" зданиях, и на "умных" предприятиях.

Будем надеяться, что это сработает.