В марте этого года на Miele Professional PG 8528, профессиональной медицинской моечной машине, привлекшей внимание СМИ, был обнаружен любопытный вопрос: "Соответствующий встроенный веб-сервер "PST10 WebServer" обычно прослушивает порт 80 и подвержен атакам обхода директорий; - говорится в заявлении о недостатке безопасности, - поэтому атакующий может использовать этот вопрос для доступа к конфиденциальной информации, чтобы помочь в последующих атаках.
Профессионально эксплуатировав посудомоечную машину в прежней жизни (не медицинскую), я могу лично сказать вам, что мы с моими коллегами иногда троллили друг друга, изменяя настройки горячей воды при закрытии или во время смены, пытая тем самым открывашки с большей бдительностью.
Этот недостаток вызывает вопрос: почему стиральная машина находится в интернете? Ответ: Потому что стиральная машина теперь является компьютером, а поставить еще один компьютер в Интернет стоит очень мало.
Так почему же стиральная машина - это компьютер? Потому что стиральная машина всегда была компьютером.
Даже старинная посудомоечная машина, которую я эксплуатировал в середине 90-х годов (в основном ударив ее большим металлическим ковшем, потому что он был слишком горячим), на самом деле была компьютером. Он имел крошечный 4-разрядный микроконтроллер, который устанавливал продолжительность цикла мойки и температуру воды. Если бы был доступен WiFi, я уверен, что кто-то на линии гриля нашел бы способ удаленно изменить температуру в середине смены, чтобы просто запутать нас.
Сегодня история повторяется. Тип ошибки в CVE, или Common Vulnerability and Exposures Identifier, перечисленный выше, был очень распространен в конце 90-х годов и начале 2000-х годов. Общая черта этого недостатка была обусловлена двумя факторами.
Во-первых, большинство разработчиков систем и программ не до конца понимали, как правильно изолировать пространство обработки приложений от системных ресурсов. Во-вторых, слава первого интернет-бума наступала, и небезопасные компьютеры, веб-серверы и приложения подключались к Интернету с удивительной скоростью. В то время CodeRed и Slammer были результатом слишком быстрого включения в Интернет неоправданных компьютеров. К счастью, тогда большинство людей имели дело только с самыми любопытными хакерами эпохи Y2K.
С тех пор в драку вступили национальные государства, организованная преступность и многие другие. За последние 20 лет они потратили время и ресурсы на то, чтобы лучше эксплуатировать эти системы. И наоборот, многие производители устройств не тратили последние 20 лет на создание быстрых патч-систем, модернизацию принципов упрочнения или внедрение технологии Secure Development Lifecycle (SDL) в рамках своего производственного цикла. Вместо этого, они сосредоточились на создании лучших шайб и других устройств.
В результате мы оба удивляемся тому, что компьютеры 2000-х годов с одинаковыми типами ошибок продолжают появляться в Интернете, но, что более важно, пытаемся защитить компьютеры 2000-х годов от Интернета 2017 года.
Чтобы продолжать двигаться вперед, сокращая разрыв между нашей личной жизнью и Интернетом, нам придется продолжать тестировать вещи так, как будто они вот-вот столкнутся с хакерами своей эпохи, а не двух десятилетий назад. Так оно и есть.
Конечно, мы все должны хотеть завтрашнего дня, наполненного компьютерами и устройствами, подключенными к Интернету, что сделает нашу жизнь проще, надежнее и безопаснее. Чтобы построить завтра более безопасное соединение, нам придется изменить то, как мы строим устройства сегодня. Вот четыре способа, с помощью которых наша отрасль может решить эту проблему прямо сейчас:
Обращайтесь с каждым устройством так же, как с любым другим компьютером.
Это ключ. Вы поймете, насколько уязвимы ваши устройства, если помните, что они в глубине души являются компьютерами. И вы будете думать об этом компьютере при принятии решений об устройстве, как интегрировать его в сеть, какие шаги для его защиты, какие требования предъявляет производитель к обслуживанию, безопасности и жизненному циклу. Тесла делает компьютер, который оказался машиной. Roomba производит компьютер, который, как оказалось, является пылесосом. Apple производит компьютер, на котором установлено телефонное приложение.
Поймите, что устройства будут подвергаться такому же типу и уровню атак, как и другие компьютеры в Интернете.
То, что вы не храните конфиденциальную информацию или электронные деньги в компьютере посудомоечной машины, еще не означает, что они не подвержены атакам. Мотивы столь же многочисленны, как и количество атакующих поверхностей - ни один холодильник не освобождается от ответственности. Большинство устройств не являются мишенью для атак. Злоумышленники относятся к ним, как к любому другому ресурсу, и они массово эксплуатируются для перепродажи в рамках ботнетов или специфических атак. Недавно компьютер, управляющий аквариумом казино, был взломан и затем использован для отправки данных из внутренней сети казино.
Интеграция SDL в процесс проектирования устройств на ранних стадиях их создания
Мы еще раз приблизимся к более безопасному взаимосвязанному миру, и производители интегрируют безопасный жизненный цикл разработки и надежные DevSecOps-фреймворки в процесс тестирования и разработки. Безопасность должна быть частью процесса проектирования, а не второстепенной задачей: интегрировать передовой опыт SDL в процессы проектирования и создания продуктов. Компании, включившие SDL в свой жизненный цикл разработки, добились улучшения безопасности своих продуктов и общего снижения уровня угроз. В результате SDLC стало "на 91% меньше уязвимостей в SQL Server 2005".
