«Интернет (плохих) вещей»: почему холодильник, рассылающий спам, — это действительно страшно

Интернет вещей Технологии
автор: Евгений Золотов  20 января 2014

Оценка одного и того же события в ИТ обывателем и человеком посвящённым всегда различается. Но на минувших выходных можно было наблюдать, как эта разница дошла до своей крайности. Пока популярные СМИ вовсю потешались над суперзабавным, по их мнению, происшествием, люди, способные заглянуть «за фасад», встречали его же в лучшем случае невесёлой улыбкой: веселиться в такой момент — всё равно что шутить на поминках. А речь вот о чём: в кибератаках конца прошлого года замечены некоторые бытовые устройства, и в частности один холодильник. Разрешите поздравить. Началось.

Обнародовала этот факт американская security-контора Proofpoint — в отчёте, рассказывающем о первой задокументированной спам-атаке с участием устройств, классифицируемых как умная бытовая электроника. Эксперты Proofpoint насчитали около миллиона писем, разосланных в общей сложности сотней тысяч таких железяк, как беспроводные точки доступа, развлекательные домашние системы, умные телевизоры, и — барабанная дробь! — собственно холодильник. Авторы даже придумали для них название: бытовое цифровое железо, взломанное с целью хаксплуатации, они назвали thingbots — «вещеботами».

Это умный холодильник LG. Он здесь просто для красоты. Proofpoint не сообщает, холодильник какой фирмы использовался для рассылки спама.

Это умный холодильник LG. Он здесь просто для красоты. Proofpoint не сообщает, холодильник какой фирмы использовался для рассылки спама.

С точки зрения взломщиков, атака на умные бытовые устройства должна быть схожа с атакой на персоналки: там тоже операционные системы, тоже прикладной софт, тоже уязвимости, как и на компьютерах. Ломают их в основном благодаря конфигурационным недосмотрам (вроде оставленного умолчательным админского пароля), но уже эксплуатируют и дыры в старом софте. И говорят даже, что крякнуть умную бытовую железку легче, чем ПК: ведь никто пока ещё не озадачился вопросом защищённости таких устройств.

Говоря откровенно, в отчёте Proofpoint много нестыковок. И дело даже не в том, что компания выставляет себя этаким пионером, хоть громкие истории про взлом предметов из интернета вещей были и раньше (см. «Телевизор, который смотрит вас»). Не понятно, как они собрали эти сенсационные данные. Не понятно, кто и каким образом подчинил своей воле столь широкий ассортимент разнотипных бытовых устройств (в конце концов, навряд ли, к примеру, в системном софте умных холодильников и роутеров есть одинаковые уязвимости). Не понятно, для чего таинственным взломщикам было тратить столько усилий ради рассылки всего-то миллиона писем (получается, по десять штук с железки?).

Proofpoint оказывает платные услуги, так что, вероятно, они просто неосторожно преувеличили имеющиеся у них данные, чтобы «засветиться». Впрочем, и бог с ними, важнее другое. Даже если вместо «ста тысяч» устройств в атаке принимало участие всего одно — тот самый холодильник, — это уже отмашка, сигнал на старт, знамение: то, чего давно ждали и боялись, наконец произошло.

Умные вещи.

Чем интернет вещей так уж сильно отличается от интернета компьютерного — с персоналками, серверами, смартфонами-планшетками в роли узлов? Всего-то парой качеств. И во-первых, бесчисленностью своих полчищ. В самом деле, давайте прикинем, сколько на Земле действующих компьютеров. Такая оценка время от времени выполняется и, в общем, сводится примерно к двум миллиардам штук, из которых один активно используется, а второй ожидает отправки на свалку. Даже если добавить к этому миллиард ежегодного продаваемых мобильных устройств, цифра получается в лучшем случае того же порядка, что и население планеты. И в этом есть смысл, ибо на кой чёрт землянам значительно больше, например, телефонов, чем пар ушей?

И цифра эта меркнет на фоне потенциально возможного количества действующих устройств из интернета вещей. Здесь ведь не только уже пошедшие в серию умные ТВ, холодильники или развлекательные центры. Здесь и камеры наблюдения, телеприставки, микроволновки, термостаты и датчики дыма (хелло, Nest!), духовки, пылесосы, подключенные к Сети автомобили и разнообразные железяки для бизнеса, вроде каких-нибудь умных полок для складов, уже используемых, например, Amazon. К концу десятилетия IDC обещает 200 миллиардов подключенных устройств такого рода. И даже если они говорят о немного других вещах (учитывают обделённые интеллектом сенсоры) или ошибаются (а в таких прогнозах ошибка обычно велика: мы плохо предсказываем редкие события, феномен же интернета вещей уникален), речь всё равно идёт о количестве устройств на порядок или два большем, чем в интернете компьютерном.

Слишком умные вещи.

Качество номер два — это неизбежная техническая устарелость основной массы умных бытовых устройств. Не мне вам объяснять, что устройства цифровые и просто электронные в эксплуатации различаются принципиально: второе (возьмите классическую стереосистему) способно работать десятилетиями, не требуя обслуживания, первое же устареет за пять лет, да и в течение этого срока должно не раз обновлять прошивку.

Устройства в интернете вещей будут цифровыми, вот только обновлять их, конечно же, никто не станет. Ведь средний срок службы смартфона — меньше двух лет, персоналки — ближе к пяти, но уже микроволновки — десятилетие, а среднестатистический холодильник работает почти два десятка лет! И не нужно питать иллюзий: сегодня даже на двухлетней давности смартфон, как правило, уже невозможно поставить современную версию операционной системы: цифровые продукты обречены доживать свой короткий век без исправлений и «заплаток», с теми слабостями, которые в них обнаружились. Представьте, во что превратится тот же умный холодильник через десять лет! Умные вещи станут рассадниками заразы и сущим проклятием для окружающих.

А теперь совместите первое и второе. В ближайшие пять–десять лет — и скорее раньше, чем позже — мы получим под своим боком слабоуправляемую неохватную массу цифрового железа, способного участвовать во всех видах вредоносной интернет-активности, от DDoS-атак и рассылки спама до вирусных эпидемий и слежки за хозяевами. На антивирусы надежда слабая: они и компьютеры-то защитить не в состоянии, которых всего три разновидности, что уж говорить про бесчисленные типы умных бытовых устройств? Надеяться на производителей вообще не приходится: никому из ни на фиг не нужно поддерживать давно снятый с производства продукт, проданный, скажем, партией в сотню тысяч экземпляров.

Нам бы стоило готовиться к невиданному всплеску кибератак, да только как это сделать? А ведь захлебнёмся!

В статье использованы иллюстрации LG, ituPictures, Tourist_on_earth, Fred Mancosu.
Поделиться
Поделиться
Tweet
Google
 
Читайте также
Винт или кошелёк: чем объяснить беспрецедентный всплеск вирусов-вымогателей
Винт или кошелёк: чем объяснить беспрецедентный всплеск вирусов-вымогателей
Хищные вещи века, или Зачем Google купила Nest Labs?
Хищные вещи века, или Зачем Google купила Nest Labs?
Век программера-самоучки: откуда вдруг столько любителей писать код и чем это всем нам грозит?
Век программера-самоучки: откуда вдруг столько любителей писать код и чем это всем нам грозит?
  • Ужас !

  • ufo33

    Упростит защиту общая операционная система для интернета вещей. Подойдет для этого тот же Android.

    • jno

      Нападение — тоже.
      И чем тут ява-машина так уж хороша — хз.

      • Hctib Asivop Usirogi

        она хороша, безотносительно Андроида: уязвимости, в общем, возможны только в ней самой, усилиями программиста можно только пароль пустой оставить. А переполнение стека словить уже никак). а ловить/чинить эти уязвимости оптом куда проще, чем аудировать каждую железку.
        Вобщем как джавист я за жабу. Именно в таких делах.

        • evadim

          особенно если учесть что яву постоянно обновляют и эксплуатируют ейные дырки все кому не лень — кроссплатформенно же. У меня вот некоторые банк клиенты начали требовать последней её версии.
          Насчёт невозможных ошибок переполнения — стоит помнить насчёт статей о том что эти невозможные ошибки вполне возможны например в симкартах/токенах да и о яром желании спецслужб ослабить любую защиту до которой дотянуться руки…

          • Hctib Asivop Usirogi

            обновляют, конечно. А фирма «Шмелкин и Ко» хрен вам апдейтов выдаст, ресурсов нет(

          • evadim

            как обновить дырявую ява машину в симке?

          • Hctib Asivop Usirogi

            Не знаю, возможно ли сейчас это даже теоретически — она там работает без остановок до самой смерти симки. Трудно с этим, короче. Хотя принципиальных проблем нет, конечно, может следующие спецификации и смогут.
            Только к чем вы это? Симка с нативным кодом еще менее обновляема.

        • jno

          ну щаз!
          а то та ява сама по себе на bare iron живёт…
          и я, как сишник, за нативный код! :)

          • Hctib Asivop Usirogi

            нативный код это хорошо, но рукожипие там обходится слишком дорого)
            В вопросе типа обсуждаемого я точно за managed runtime и бооольшую команду тестировщиков.

          • jno

            а я — за правильное проектирование и хрен с ним, с рантаймом! :)

            тестеры… ну, да — от очипяток спасают.

  • jno

    А входные рутеры на что?
    Мимо них ничего не пройдёт.
    Значит, с их безопасности всё и начинается.
    А, с учетом сказанного, и кончается тоже.

    • Mykola Yaroshenko

      Как-то сомнительна возможность грамотной настройки такого девайса рядовым обывателем. Если фильтрацию на входящие еще как-то настроить можно (просто блочим все незапрошенное), то на исходящие — замахаются выдавать разрешения, а значит — разрешат все. Соответственно, любой троян пробравшийся на комп будет пытаться заразить всю бытовую технику в локалке до какой дотянется.

      • jno

        эээ… кто ж её так настраивает сейчас?
        нонче там и заводские настройки вполне адекватны, вроде.
        достаточно не тыкать пальцем во все дырки.
        те же «исходящие» неплохо реализуются через спуфинг нужных протоколов и UPnP.
        форточных троянов, конечно, следует гонять антивирусами.
        а рутер не должен допускать прямого обращения к домашнему железу из Сети.

    • пМВ

      Ясен пень…
      (Так, прихожанкам батарейки в часах меняю — часовщиков с улиц изгнали — роутеры еще настраивать придется, впрочем, уже приходится…)

      • jno

        тогда надо ограничиться набором рекомендованных прихожанам моделей и ставить туда преконфигурированную оВРТ…

        • пМВ

          :-)

          • jno

            single image deployment рулит и педалит!

          • пМВ

            Наверное…

          • jno

            точняк!

    • _Alex_

      Мне кажется, весь этот интернет вещей работает через стандартные протоколы типа http и https, и что-нибудь типа soap поверх него. Чтобы там запретить какое-то взаимодействие, надо контентную фильтрацию настраивать. Кто этим будет заниматься, не представляю.

      • jno

        там актуален будет DNSsec, в первую очередь.
        и корректные процедуры работы с сертификатами (особенно — отзыв).
        http, слава богу, не требует входящих соединений, что сильно упрощает жизнь.

    • unk32

      И новые професии: админ холодильников — как звучит! Роутеры надо конфигурировать. Если сделать возможность удаленной конфигурации это уже скорее дыра чем защита. И пойдут админы как водопроводчики. И поселятся наверно тоже в подвалах.

      • jno

        по-человечьи это делается на уровне отраслевых стандартов и рекомендаций… но, блин, дефективные мандажеры, боюсь, и тут сэкономят.

      • В.П.(W_P_)

        Это пока админ и только… Глядишь, скоро еще наставник понадобится ))

  • Олег

    вся эта смарт-хрень для холодильников, пылесосов и лампочек для того и задумывалась, чтобы сократить срок эксплуатации. устарела прошивка на стиральной машине-меняй машину, не важно что еще стирает, где гарантия, что из-за глюка/взлома она тебе полдома не зальет? приравняем время активной эксплуатации электроприборов к цифровым! два года-на помойку, два года-на помойку.романтика!

    • ZarrrazA

      >вся эта смарт-хрень для холодильников, пылесосов и лампочек для того и задумывалась, чтобы сократить срок эксплуатации.

      Хотеть производители могут что угодно, но на каждую хитрую хотелку всегда найдется болт с левой резьбой. :)

      ЗЫ Так и вижу объявления:»Продам чипованный бу холодильник. Дешево.»

      • К тому времени за это будут уголовно преследовать. :-/

    • Sentinel

      Интенсификация «круговорота говна в природе»? ;-)

      • Олег

        именно))) говно в обмен на деньги. с гарантией, что через некоторое время покупатель сам придет за новой порцией

  • Александр

    А стандарты на интерфейсы разработать с учетом изложенного, и не изложенного (не все тонкости мы знаем) разработать наверное можно было бы …протоколы, там , всякие…

  • Александр

    А стандарты на интерфейсы разработать с учетом изложенного, и не изложенного (не все тонкости мы знаем) разработать наверное можно было бы …протоколы, там , всякие…

  • В.П.(W_P_)

    Рассылка спама, вирусы, DDoS- может статься, все это еще цветочки. Давеча у пМВ уже обсуждали. Шуточки о террористическом подполье умных холодильников и микроволновках- смертницах на поверку могут оказаться не такими уж и шутками. Смотря кто и зачем за дело возьмется.

    • unk32

      Ну да, в старой микроволновке тупая защита, полумеханическая. А умную уже можно перепрограммировать. Вырубить в холодильнике датчик температуры — и будет работать пока компрессор не загорится или проводка.

      • Sentinel

        А это, блин, идея!

      • IF

        а параллельно стоит монитор расхода энергии с разбивкой по устройствам. отловит нестандарнтый паттерн для холодильника и позвонит в скорую…

        • В.П.(W_P_)

          и дальше в лечебницу для сбрендивших умных вещей, в особое отделение для буйнопомешанных…

          • IF

            о, недавно встретил чУдное — настоящий тест для машины, не тест Тьюринга, не то, что человек не может отличить стихи, написанные машиной, а то, что машина самоликвидируется, осознав, что она — хреновенький поэт.

          • В.П.(W_P_)

            И то вариант, лишь бы к месту и без последствий ))

          • IF

            ага. умная микроволновка, осознав невозможность получить мишелиновскую звезду, ушла в отказ

          • В.П.(W_P_)

            Как бы мстить не начала , невроз у микроволновки можно на раз вызвать… Дама с тонкой нервной конституцией может подвернуться

          • IF

            вирусы пойдут — кибер-лсд. микроволновка ощутит себя механической мясорубкой в окружении говяжих полутуш…

          • В.П.(W_P_)

            И начнет творить прекрасное! Как добровольцы в опытах Грофа… Перинатальная матрица микроволновки, чем не тема для изучения. Трансперсональный опыт умных вещей… Лепота!

          • IF

            интересно, что микроволновка будет думать о переселении душ? какое состояние будет «конечным»?

          • В.П.(W_P_)

            Не, тогда за религиоведение умных машин надо сразу браться основательно. Это частные вопросы ))

          • IF

            тут важно сразу со скрепами не промахнуться

          • В.П.(W_P_)

            Это они сами пусть решают. Нам еще религиозных войн умных машин не хватало ..

          • IF

            до религиозных еще будут дворовые. «мой датацентр можети побить твой датацентр!»

          • В.П.(W_P_)

            О! Электронная смарт-гопота. Ты из какова раёна ваще ?

          • IF

            сам не местный, при джейлбрейке пропал заводской номер, не могу восстановиться. подайте на перепрошиться!

          • unk32

            Это уже тянет на самоосознание. Сделают вторую машину (модератора), следящую за первой, которая будет вместо пинга посылать килл, и объявят это интеллектом.

          • IF

            как килл послать без секундантов?

        • unk32

          А скорая она тоже умная вещь, не факт что не передумает по дороге или не поедет по своим делам.

          • IF

            а у ей внутре жпс, стучащая в умный народный контроль.

          • unk32

            При таком количестве контролирующих органов, как показывает и наша недавняя история, ничто вообще никуда не поедет. Я уже вижу еще и систему выдачи разрешений.

          • IF

            безусловно — осознав риски первым делом начнут регулировать. вводить мониторы, определять меру ответственности. с холодильником нельзя будет гулять без намордника…

  • Stanislav Shevchuk

    Не покупать всякую умную х№%ню, если нет острой необходимости. Я точно уверен, что мой холодильник ничего не заразит — там даже температура регулируется через реостат ;)

    • Hctib Asivop Usirogi

      насчет реостата уверены?

      • Stanislav Shevchuk

        на 90% — стоит поворотный регулятор типа больше/меньше как громкость в старых радиоприемниках, даже кнопок нет. Специально такую модель искал, чтобы электроники поменьше.

      • Sentinel

        Подведут под монастырь как лампочку Ильича.

    • Sentinel

      Так выбора ж не будет.

  • Алексей

    Смешно и грустно, ну хотя б сделали одну программу для одного действия — клиент-серверное приложение того че там хранится. Запорольте доступ к прошивке, и по сети вообще порты обрубить лишние. Это ведь называется — собрали из того что было — андроид планшетку с холодильником сдружили. Сразу видно по китацки, они думать не умеют. Им говорят — они делают

  • IF

    «уходя гасите свет»

  • 000000000000

    «. Представьте, во что превратится тот же умный холодильник через десять лет! Умные вещи станут рассадниками заразы и сущим проклятием для окружающих.»
    Отломать все радиопорты, форматнуть и накатить прошивку из образа — и проблема решена.

Хостинг "ИТ-ГРАД"
© ООО "Компьютерра-Онлайн", 1997-2017
При цитировании и использовании любых материалов ссылка на "Компьютерру" обязательна.
«Партнер Рамблера» Почта защищена сервером "СПАМОРЕЗ" Хостинг "Fornex"