Главными врагами безопасности IoT являются разработчики
По словам ИБ-эксперта, при создании устройств разработчики не учитывают поведение простых пользователей.
Ботнет Mirai является только вершиной айсберга в вопросе безопасности «Интернета вещей» (IoT). Такое мнение выразили ИБ-эксперты на конференции linux.conf.au, проходящей 17-20 января в австралийском городе Хобарт.
Как отметил разработчик встроенных систем Кристофер Биггс (Christopher Biggs), использование ботнета Mirai для осуществления масштабных DDoS-атак отвлекло внимание от других угроз, представляемых незащищенными IoT-устройствами. По словам эксперта, помимо прочего, киберпреступники могут использовать взломанные видеокамеры или видеорегистраторы с целью слежения за жертвой или шантажа. С помощью скомпрометированных IoT-устройств злоумышленники могут собрать большой объем данных о жертве.
Цитата:
«Может показаться забавным, если кому-то удастся использовать автономные компьютеры для получения бесплатной еды или бензина. Однако что вы скажете, если ваши светильники вдруг начнут мигать каждые 200 миллисекунд и перестанут только тогда, когда вы заплатите преступнику выкуп в биткойнах?», -
|
отметил Биггс.
Как отметил эксперт, межсетевые экраны бессильны перед подобной угрозой, поскольку блокируют только входящий трафик. Если UPnP не был отключен, то IoT-устройство может открывать любой порт.
Цитата:
«Вы берете в дом или офис устройство, над которым не имеете никакой власти. Вы не подозреваете, какую угрозу оно может представлять, и не можете устанавливать обновления ПО», -
|
заявил еще один участник конференции, Том Истмэн (Tom Eastman).
По мнению Биггса, главная ответственность за незащищенность IoT-устройств лежит на разработчиках, которые при создании встроенных систем не принимают во внимание поведение обычных пользователей.
Цитата:
«В большинстве случаев на устройствах отсутствует информация о его модели. Если она уязвима, вам наверняка об этом неизвестно. Даже если известно, то, скорее всего, патча нет, а если вы пожалуетесь, то наверняка всем наплевать», -
|
цитирует Биггса издание The Register.
По словам эксперта, разработчики используют Linux, не задумываясь о безопасности. Проще установить полную версию ОС, чем напрячься и уменьшить возможности для атак. В некоторых случаях лучше и вовсе вместо Linux использовать более простые ОС.
Источник