Мобильные устройства
Когда-то компьютеры были большими, стояли на одном месте в машинных залах, а позже — на столах. Получить доступ к этому чуду техники можно было только физически проникнув в помещение. Но потом появились ноутбуки, а за ними и телефоны, по мощности сопоставимые с ПК.
С превращением компьютеров в переносные устройства возникли новые проблемы безопасности, которых не существовало в эпоху стационарных машин.
Проблема: визуальный доступ к информации
Читатель наверняка сможет вспомнить, как во время его переписки в телефонном мессенджере кто-то смотрел на экран (открыто или украдкой) и читал текст, предназначенный для другого человека. А ведь сообщения могут быть конфиденциальными, содержать секретные сведения. Но не обязательно именно читать переписку: можно запомнить вводимые логин и пароль. Мало того, если пароль действительно сложный, злоумышленник может записать его на видеокамеру своего телефона и спокойно дома просмотреть видео по стоп-кадрам.
Из отчёта по визуальной безопасности https://www.microexpert.com/docs/pdf/Visual%20Data%20Security%20White%20Paper.pdf следует, что, например, более 70% опрошенных респондентов видели, как кто-то в общественном месте работает за своим ноутбуком или планшетом. 85% опрошенных специалистов IT признались, что видели важную информацию, к которой у них нет доступа, 82% сообщили, что во время работы на их экране отображается информация, которую нельзя видеть посторонним. Также в отчёте приводятся примеры случаев, когда в публичном месте люди получали доступ к секретной информации государственной важности.
Решением данной проблемы может быть только повышение бдительности и осознание опасности, когда рядом находятся посторонние.
Проблема: кража устройства
Украсть стационарный компьютер можно только проникнув в помещение. Украсть ноутбук можно вместе с сумкой, дождавшись, когда владелец отвлечется. Украсть телефон можно за секунду в людном месте при соответствующем опыте преступников: https://www.youtube.com/watch?v=mDPlRpEJvzk.
Телефон может содержать всевозможные данные входа в аккаунты, начиная соцсетями с почтой и заканчивая банковскими личными кабинетами. Учитывая, что сим-карта телефона зачастую является способом авторизации в банк-клиентах, кража телефона способна, помимо имущественного ущерба, нанести также серьёзный ущерб цифровой безопасности владельца. В связи с этим многие компании, включая Google, Apple, Kaspesky, Avast и другие, разрабатывают приложения для мобильных устройств, позволяющие экстренно уничтожить данные на украденном устройстве дистанционно и заблокировать устройство, сделав его бесполезным для похитителей. Однако, как и в случае с системами хранения паролей, про данное программное обеспечение знают далеко не все, и часто человек узнаёт о нём только после того, как его телефон украли. Приватной информацией воспользовались, со счёта в банке похитили деньги, интимные фотографии выложили в Интернет, и теперь человек ищет способ, как сделать так, чтобы это не повторилось в будущем.
Решением данной проблемы являются опять же бдительность и заблаговременная настройка ПО устройства на случай кражи.
Проблема: уязвимость устройства и доверие производителям
Когда в 20 веке покупатель приобретал телефон, это был аппарат, состоящий из корпуса, трубки на проводе, кнопок или диска для набора номера. Даже такое простое устройство может быть небезопасным с технической стороны, если изготовитель допустил просчёты при производстве. Например, пластик, из которого был сделан телефон, мог оказаться ядовитым, а проводка — склонной к замыканиям. Однако покупателю приходилось просто доверять производителю, так как собрать свой собственный телефон могли (и хотели) только единицы из числа Кулибиных.
Сейчас же, когда аппаратное обеспечение телефона является лишь малой частью его сложного устройства, а большая часть полезной для нас функциональности заключена в программном обеспечении, у производителей появляется всё больше возможностей допустить ошибку.
Регулярно появляются сообщения о новых сбоях в программном обеспечении телефонов (Android, iPhone и т.д.)
Исследование, включающее в себя 25-летнюю историю обнаружения слабых мест техники: https://na66.salesforce.com/sfc/p/#80000000dRH9/a/C0000000Csn7/gym0inSRpTGB_AluUyzy7JwYBScQkesvP6KFfrnDRJY=.
В последнее десятилетие каждый год обнаруживаются несколько десятков уязвимостей в различных мобильных операционных системах.
Даже если исходить из того, что производители руководствуются добрыми намерениями и не оставляют неисправленными уязвимости, предназначенные для эксплуатации спецслужбами (к примеру, по информации, опубликованной Эдвардом Сноуденом, АНБ имеет в своём распоряжении информацию о сотнях различных уязвимостей в общедоступном софте для использования их в своих целях), рассчитывать, что все огрехи будут исправлены вовремя - остаётся лишь вопросом доверия к производителю. Кроме того, постепенно устаревающие устройства со временем перестают получать обновления, закрывающие свеженайденные ошибки. В случае с устройствами Android, большое количество вообще никогда не обновляется (в силу того, что на них используются нестандартные прошивки, а изготовитель не беспокоится о выпуске новых версий), а если говорить об iPhone, то, хотя операционная система более новой версии устанавливается на старые устройства, она на них будет работать значительно медленнее, что сделано компанией Apple специально, дабы стимулировать пользователя к покупке нового устройства https://www.vedomosti.ru/technology/articles/2017/12/22/746181-apple-zamedlyaet.
Опасности уязвимостей разнообразны: на устройство можно отправить специально сформированное изображение, и оно выполнит на телефоне произвольный код, не уведомляя об этом пользователя. Другое слабое место позволит дистанционно установить на устройство постороннюю программу, если на нём уже есть программа злоумышленника (используется недобросовестными раскрутчиками мобильных игр, когда установив одну игру, пользовать внезапно получает ещё 5 штук). Ну а записав на устройство своё приложение, злоумышленник получает неограниченный простор для творчества. Похитить пароли, перехватить пин-код от банк-клиента, скопировать телефонную книгу, разослать всем СМС-сообщения — не предел.
Решения у данной проблемы для рядового пользователя нет, так как даже разработчик программного обеспечения не может себе позволить самостоятельно писать весь софт для себя, чтобы обезопаситься от чужой злонамеренности и некомпетентности. Кроме того, если бы он и решил это сделать, никто не гарантирует, что в его собственных разработках не будет аналогичных проблем. В рамках правительственных и силовых структур, разумеется, могут быть затрачены большие усилия и разработаны собственные наборы программного обеспечения, не имеющие уязвимостей, которые присутствуют в бытовом софте.
Умный дом и сетевые устройства
Всё больше производителей работают в направлении так называемого “умного дома”. Под этим понятием подразумевается компьютеризация и программное управление всей домашней техникой.
В настоящее время данная тенденция только набирает обороты, но уже сейчас видно, какие проблемы с безопасностью создадут в будущем повсеместно внедрённые “умные устройства”.
Проблема: уязвимость ПО “умных устройств”
Аналогично с любыми другими цифровыми устройствами, устройства “умного дома” могут иметь недостаточно проверенное программное обеспечение, имеющее уязвимости. Уже появилось множество наглядных способов эксплуатации таких уязвимостей, как, например, телевизор Samsung, позволяющий злоумышленникам, имеющим должное оснащение, получить полный контроль над ним дистанционно, в частности подглядывать за пользователем через встроенную камеру, используемую для общения по Skype:
Или робот-пылесос, который также можно взять под полный контроль и использовать в качестве радиоуправляемого шпиона.
https://thehackernews.com/2017/10/smart-iot-device-hacking.html
Для простого потребителя эти происшествия являются платой за доверие производителям и за удобство новой технологии, позволяющей управлять телевизором/пылесосом через Интернет со своего смартфона.
Проблема: недостаточная защищённость “умных устройств” при подключении к Сети
Множество устройств их производители предлагают подключать непосредственно к Сети, например, IP-веб-камеры, принтеры и пр. Проблема данного подхода в том, что многие такие устройства предоставляют интерфейс для настройки/использования прямо через Интернет, а парольная защита при этом не настроена. Если же она настроена, достаточно вернуться к разделу, посвящённому безопасности паролей, чтобы понять, как обстоят дела в плане безопасности таких интерфейсов.
Исследователи сетевой безопасности создали сайт https://www.shodan.io/ , занимающийся непрерывным мониторингом Интернета в поисках открытых для общего доступа сетевых устройств. Любой желающий может вбить в поисковой строке данного сайта слово “webcam” и найти несколько камер, которые не защищены паролем. Для этого достаточно найти в результатах поиска те, у которых указано “HTTP/1.1 200 OK” (в случае, когда установлен пароль, вместо этого будет “HTTP/1.1 401 Unauthorized”).
Не только веб-камеры выставлены в открытый доступ. Известно о случаях, когда были найдены “торчащие” в сети интерфейсы промышленных станков, систем освещения и отопления зданий, интерфейсов управления медицинским оборудованием
https://www.forbes.com/sites/kashmirhill/2013/09/05/the-crazy-things-a-savvy-shodan-searcher-can-find-exposed-on-the-internet/#178a36683c7e.
Решение данной проблемы на данном этапе — самообразование, детальное изучение и правильная настройка “умных устройств” перед началом их использования. До тех пор пока на мировом уровне не будет принята конвенция о методах защиты таких устройств, безопасность ложится на плечи самого пользователя, благо её можно обеспечить с помощью домашних роутеров со встроенными фаерволами (и, по возможности, без уязвимостей).
Современные автомобили
Вместе с “умным домом” в жизнь воплощаются концепции “умного автомобиля”. Не такого умного, который сможет ездить без водителя, а просто чуть более умного, чем старые добрые автомобили из 20-го века. В частности современный новый автомобиль, как правило, имеет на борту компьютер с полноценной операционной системой. И, как и везде, в этой операционной системе есть уязвимости.
В эксперименте показано, что возможно перехватить управление современным автомобилем дистанционно и делать с ним много чего интересного:
https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/
Причиной данной проблемы, как и многих других, является вынужденное доверие производителю.
Решение такое же, как и решение проблемы с новым автомобилем с плохо работающими тормозами или ремнём ГРМ, рвущимся через 10000 км. А именно: не покупать совсем только что вышедшие модели автомобилей, по которым ещё нет отзывов. В дальнейшем, вероятно, появятся услуги по защите операционной системы автомобиля от взлома.