Об Интернете Вещей в сети можно прочитать два мнения. Первое с легкой улыбкой, несерьезное, сооруженное на фундаменте прочитанных в детстве фантастических романов
Интернет Вещей? Ну... Это когда микроволновка с мясорубкой воют против холодильника со стиральной машиной, да? А потом они объявляют перемирие через нейтральный чайник и все вместе начинают плести интриги против людей! Отличный фильм, я смотрел, да...
Второе мнение экспертное, слегка паническое:
Ну что же... Это будущее, конечно. Одна проблема — это роутер. Его нужно защитить на все 300%, иначе хакеры будут толпами бродить по вашей кухне!
Мартин Хрон из подразделения кибербезопасности компании Avast недавно в собственном блоге озвучил свое мнение по сабжу. И оно не имеет ничего общего с предыдущими двумя.
Меня попросили проверить миф, который давно кочует по сети. Мол, эффективно взломать Интернет Вещей и его активных участников можно только имея доступ с роутеру и сети. Мне удалось доказать, что дела обстоят гораздо хуже, чем мы думаем.
Мартину выдали «умную» кофемашину за полноценных $250 и попросили заставить ее вести себя так, как будто это захваченный хакерами компьютер. Результат эксперимента должен был доказать, что имея на руках только один девайс и управляющее им приложение на смартфоне покорить этот девайс Мартину будет невозможно. Справедливости ради нужно сказать, что эксперту понадобилась неделя для того, чтобы разобраться с проблемой и доказать обратное.
Если у меня получилось, то и у других получится. Мне даже ничего не пришлось настраивать. Это классический вариант «проблемы прямо из коробки». И, как я сейчас полагаю, производители не имеют представления о сложившейся угрожающей ситуации.
Кофемашина Мартина стала вести себя просто отвратительно. Подключившись к внутренней сети, девайс злобно плевался водой на подогревающую поверхность, безостановочно крутил кофемолку и демонстрировал на дисплее заранее приготовленное требование денег в качестве выкупа. Чтобы успокоить ошалевший гаджет, пришлось выдернуть шнур из розетки.
Как же эксперту удалось сломать сопротивление «умного» гаджета? В процессе эксперимента выяснилось, что кофемашина выступала как wifi точка доступа, используя при этом незащищенный протокол для связи с управляющим приложением на смартфоне. Кроме того, софт на смарте пушил апгрейд прошивки для девайса. И снова канал для связи, как написал удивленный Мартин, оказался «без шифрования, авторизации и подписанного программного кода». Исследователю удалось модифицировать прошивку, внедрив в ее код несколько лишних строчек. Остальное было делом техники во всех смыслах этого слова.
Какая же мораль всей этой истории? Разработчики современных бытовых приборов и гаджетов явно мало читали в детстве фантастических повестей и романов. В противном случае они, конечно же, не оставили без защиты свои «умные», но все еще такие «наивные» девайсы.