×
Научное исследование Интернета вещей от Hewlett Packard Enterprise

Отчет за 2015 год

Обзор

 

Внезапно все устройства – от холодильников до спринклерных систем – оказались подключены к Интернету и связаны между собой. В то время как это значительно упрощает жизнь, это также создает новые возможности для хакерских атак. Эта технология в настоящее время называется общим именем Интернет вещей. Предполагается, что устройства Интернета вещей станут более распространенными, чем мобильные телефоны, и будут иметь доступ к наиболее важным личным данным, таким как номера социального страхования и банковская информация. По мере того как растет количество подключенных устройств, проблемы безопасности также растут в геометрической прогрессии. Некоторые риски на одном устройстве, например мобильном телефоне, могут быстро превратиться в полсотни проблем при взаимодействии в одной системе множества устройств Интернета вещей в рамках дома или предприятия. С учетом того, что устройства Интернета вещей имеют доступ к крайне важным данным, необходимо понять степень угрозы их безопасности.

 

Отчет о результатах

 

Hewlett Packard Enterprise рассмотрели 10 наиболее популярных устройств Интернета вещей, и отчет о проделанном исследовании раскрывает тревожно высокое среднее число уязвимостей в устройствах. Уязвимости варьировались от отказа в обслуживании слабых паролей до межсайтового скриптинга.

 

Обзор устройств

 

Анализ проводился на устройствах Интернета вещей от производителей телевизоров, веб-камер, домашних термостатов, дистанционных электрических розеток, контроллеров, концентраторов для управления несколькими устройствами, дверных замков, домашних сигнализаций, весов и автоматических гаражных дверей.

 

  •          Большинство устройств включены в облачные сервисы;
  •          все устройства имеют мобильные приложения, которые могут быть использованы для получения доступа или удаленного управления устройствами.

Результаты исследований

 

Безопасность Интернета Вещей

 

Шесть из десяти устройств, обеспечивавших пользовательские интерфейсы, были уязвимы для целого ряда проблем, таких как стойкий XSS.

 

80 % устройств наряду с прикрепленным к ним облачным сервисом и мобильным приложением оказались не в состоянии потребовать от пользователя пароль достаточной длины и сложности.

 

90 % устройств собрали как минимум часть персональной информации через устройство, облако или мобильное приложение.

 

70 % устройств пользуются незашифрованным соединением.

 

70 % устройств, наряду с облачным сервисом и мобильным приложением, могут позволить злоумышленнику определить действительные учетные записи пользователей посредством счетов перечисления.

 

Вопросы конфиденциальности

 

В случае многих устройств, собирающих такую информацию, как имя, адрес, данные о рождении, медицинская информация и номера кредитных карт, проблемы конфиденциальности и безопасности усугубляются тем, что вместе с ними работают облачные сервисы и мобильные приложения. И многие устройства передают эту информацию по домашней сети в незашифрованном виде, и расконфигурация может отправить эти данные гулять по всему миру. Облачные сервисы, которыми, как мы выяснили, пользуются большинство устройств, также имеют проблемы с безопасностью. Вопрос: действительно ли эта информация необходима для того, чтобы устройства функционировали должным образом?

 

80 % не в состоянии потребовать пароли достаточной сложности и длины.

 

70 % не шифруют данные, передаваемые по Интернету и локальной сети.

 

60 % имеют проблемы безопасности в пользовательском интерфейсе.

 

60 % не прибегают к шифрованию при загрузке обновлений операционной системы.

 

Недостаточная безопасность аутентификации и авторизации

 

Злоумышленник может использовать такие уязвимости, как слабые пароли, незащищенные механизмы восстановления пароля, слабо защищенные учетные данные и прочее, чтобы получить доступ к устройству. Большинство устройств, как и их облачные и мобильные приложения, не смогли потребовать пароли достаточной сложности и длины, позволяя пользователям устанавливать такие пароли, как «1234» или «123456». Многие из изученных нами аккаунтов в облачных сервисах и мобильных приложениях также имели слабые пароли. Политика введения сильных паролей является первоосновой и ключом к безопасности.

 

Отсутствие транспортного шифрования

 

Транспортное шифрование имеет решающее значение, учитывая то, что многие из этих устройств собирают и передают данные, конфиденциальные по своей природе. Мы обнаружили, что большинство устройств не пользовались шифрованием при передаче данных через Интернет и локальные сети. Важность транспортного шифрования значительно возрастает, если учесть, что данные передаются между устройством, облаком и мобильным приложением.

 

Небезопасный веб-интерфейс

 

Шесть из десяти протестированных нами устройств имели проблемы в их веб-интерфейсе. Они включали в себя плохое управление сессиями и изначальное слабое ПО. Мы также определили, что система безопасности большинства устройств (вместе с их облачными и мобильными сервисами) была легко обходима посредством механизмов сброса пароля. Эта проблема особенно актуальна для устройств, предлагающих доступ к устройствам и данным через веб-сайт.

 

Небезопасное программное обеспечение и прошивка

 

Учитывая, что программное обеспечение отвечает за все функции устройства, было весьма тревожно обнаружить, что 60 % из них не прибегают к шифрованию во время загрузки обновления, не защищая таким образом файлы загрузки. На деле некоторые файлы могут быть перехвачены во время загрузки и заменены, особенно в операционной системе Linux.

 

Вывод

 

Hewlett Packard Enterprise

 

Эпоха взаимосвязанных умных устройств уже наступила, хоть и находится на ранних стадиях. Gartner предсказывает, что к 2020 году количество устройств Интернета вещей будет составлять 26 миллиардов единиц. К счастью, еще есть время позаботиться о проблемах безопасности, прежде чем потребители подвергнутся риску. Ниже приведены некоторые меры, которые производители могут предпринять уже сейчас, чтобы снизить угрозы.

 

  •          Провести обзор безопасности вашего устройства и всех связанных с ним компонентов.

Это включает в себя простое тестирование, такое как автоматизированное сканирование веб-интерфейса, ручной обзор сетевого трафика, анализ необходимости наличия физических портов (таких как USB), обзор аутентификации и авторизации, а также анализ взаимодействия устройств с облачным сервисом и мобильным приложением. Для того чтобы помочь производителям в этом процессе, был создан проект «OWASP internet of things top 10». В конце концов, лучше, чтобы вы сами нашли уязвимости в своих устройствах, чем кто-то сделал это раньше вас.

 

  •          Внедрение стандартов безопасности.

Есть множество основных элементов управления безопасностью, установка которых может значительно поднять уровень защищенности. Многие из уязвимостей, выявленных в рамках данного исследования, относительно легки для устранения и не влияют на пользовательский опыт. Обеспечение безопасности является процессом, растянутым на весь жизненный цикл продукта.

 

  •          Внедрение процессов обеспечения и контроля безопасности на ранней стадии производства.

Обновление программного обеспечения вашего продукта чрезвычайно важно, и обеспечение надежной и безопасной системы является ключевым фактором. И когда речь заходит о продуктах с истекшим сроком эксплуатации, вам нужно сделать все возможное, чтобы обезопасить его для защиты имени бренда.

 

Методология

 

Во время исследования были использованы стандартные методы тестирования, которые сочетали ручное тестирование с использованием автоматизированных средств. Приборы и их компоненты были оценены, исходя из списка «OWASP internet of things top 10» и специфических уязвимостей, связанных с каждой категорией, указанной в списке. Все данные исследования были добыты во время испытания 10 устройств Интернета вещей. Разумеется, количество устройств Интернета вещей, имеющихся на рынке, гораздо больше, и оно продолжает расти ежедневно, мы полагаем, что данные 10 приборов являются показательными по части состояния рынка и безопасности.

 

Перевод: Вячеслав Гладков

 

Оригинал фото: hp, iotnewsletter, forbes