Умный дом становится безопаснее

03.09.2019 > 12:36
Умный дом становится безопаснее
Пару лет назад пишущие о высоких технологиях СМИ дружно подхватили организованную экспертами по кибербезопасности кампанию, призванную предупредить как производителей систем умного дома, так и их пользователей о возможных уязвимостях в подключенных устройствах и связанных с ними угрозах. Прогнозы звучали самые апокалиптические. Изучив ситуацию на конец лета 2019 года, PRO IoT пришел к выводу, что отрасль услышала предупреждения и ситуация стала медленно выправляться.

Прямая и явная угроза

В конце 2016 года крупнейшие компании рынка информационной безопасности не сговариваясь включили домашние IoT-устройства в рейтинги источников главных мировых киберугроз на последующие годы. При этом основные риски связывались с ботнетами из подключенных девайсов, инициирующими DDoS-атаки. «Мы прогнозируем, что еще больше кибератак будет иметь место в IoT и связанной с ним инфраструктуре. Неважно, идет речь об открытых маршрутизаторах для массовых DDoS-атак или одном-единственном подключенном автомобиле в качестве цели атаки», — говорилось в отчете японского разработчика антивирусного ПО Trend Micro.

По мнению бизнес-консультанта по безопасности компании Cisco Алексея Лукацкого, экспертные «страшилки» не были чрезмерными. «Сейчас атаки через интернет вещей становятся во многом обыденной вещью, потому что производители и пользователи не подумали о безопасности, не защитили устройство», — отметил в интервью «Теле-Спутнику» Алексей Лукацкий, в качестве примера приведя новый сценарий, реализованный на практике весной 2018 года. Тогда злоумышленники проникли в корпоративную сеть одного из американских казино через подключенный к интернету аквариум. «Про аквариум все забыли, и именно через него злоумышленники попытались ограбить казино», — поясняет эксперт Cisco.

Периодически об обнаруженных уязвимостях, которые, правда, пока не привели к какому-либо существенному ущербу, сообщают и компании в сфере кибербезопасности. Так, в июле 2019 года «Лаборатория Касперского» обнаружила критические уязвимости в устройствах умного дома компании Fibaro (Польша). Бреши в защите были выявлены в контроллере для управления экосистемой умного дома, а поскольку на контроллер замкнуты все гаджеты домашней автоматизации, его взлом позволяет злоумышленникам шпионить за жильцами и выводить из строя различные устройства. В частности, «Лаборатория Касперского» выявила уязвимости в облачной инфраструктуре контроллера, создававшие потенциальную возможность удаленного исполнения вредоносного кода. Через эти уязвимости злоумышленники могли получить доступ ко всем файлам бэкапа, загруженным в облако из устройств Fibaro Home Center Lite.

Эксперт Kaspersky ICS CERT Павел Черемушкин отмечал, что подобные уязвимости в облаках умных домов встречаются редко, в то же время возможность получения прав суперпользователя очень ценится среди злоумышленников. Случай с Fibaro можно назвать показательным: устройства этого бренда с хорошей, как считается, репутацией, представлены у ряда российских ритейлеров, в том числе на Ozon.ru, где его называют одним из самых продаваемых в своей категории. Весьма популярен бренд и у профессиональных инсталляторов.

Как рассказал «Теле-Спутнику» руководитель направления поиска уязвимостей в Kaspersky ICS CERT Владимир Дащенко, специалисты Fibaro очень ответственно отнеслись к сообщению российской компании и выявленные проблемы были устранены. «В Fibaro в кратчайшие сроки устранили уязвимость, сделали это очень хорошо и правильно. У нас с ними была очень продуктивная переписка по устранению уязвимости. Да, у них были уязвимости, но они смогли их грамотно и своевременно устранить. Это самое главное», — подчеркивает Владимир Дащенко. Он высоко оценивает профессионализм польских разработчиков, которые по-настоящему серьезно подходят к проблеме кибербезопасности своих устройств, так что диалог производителя и эксперта по уязвимостям складывается конструктивно.

Отталкиваясь от этого, по сути, частного эпизода, руководитель направления поиска уязвимостей в Kaspersky ICS CERT рассуждает и о переменах к лучшему на рынке в целом. «Мы видим позитивную тенденцию в том, как начинают создавать технологии умных устройств. Производители нас услышали. Как говорят англичане, great minds think alike — “великие умы думают одинаково”, и сейчас, помимо нас этой проблемой озаботилось множество наших коллег», — говорит Владимир Дащенко. В качестве важного позитивного примера он упоминает разработку экспертами Kaspersky ICS CERT совместно с организацией The Industrial Internet Consortium (IIC) методики IoT Security Maturity Model — «Модель зрелости по информационной безопасности». «Методика доступна для всех. По этой методике можно не только оценить, насколько защищен продукт, но и сравнить, насколько соответствуют действительности заявления компании о безопасности ее разработок. Можно оценить, насколько расходятся с реальностью заявления компании о том, что она делает. Такая методика очень хорошо применима к умным устройствам», — отмечает Владимир Дащенко, подчеркивая, что создание такого документа способно побудить двигаться весь рынок в одном направлении — к безопасному светлому будущему. И первые признаки такого движения эксперты уже замечают. «Мы видим, что все больше новых современных устройств становятся более защищенными. У множества устройств в инфраструктуре умного города и умного дома уже есть базовые технологии безопасности, которые делают защищеннее на порядок целые классы устройств», — высказывает свою позицию Владимир Дащенко.

Со своей стороны Алексей Лукацкий отмечает улучшение ситуации с безопасностью в подключенном медицинском оборудовании и connected cars, объясняя это требованиями американских регуляторов.

Отвечая на вопрос, почему инциденты с подключенными устройствами не стали обыденностью для множества потребителей, а сообщения об обнаружении уязвимостей вопреки прогнозам по-прежнему не приходят в режиме нон-стоп, Алексей Лукацкий говорит о том, что использование подключенных смарт-устройств злоумышленниками можно отнести к инновационным методам в их ремесле, при этом инновации далеко не сразу берут на вооружения группировки хакеров. «На мой взгляд, это достаточно большое заблуждение, что злоумышленники всегда используют самые инновационные методы для взлома. На самом деле 99% атак проводится по старинке, устаревшими методами, через уязвимости, которые никто не патчит», — поясняет Алексей Лукацкий. Он уточняет, что один из самых громких ботнетов на рубеже 2016 и 2017 годов — Mirai, который использовал в качестве точки распределенной атаки маршрутизаторы, видеокамеры и другие подключенные IoT-устройства, по-прежнему можно отнести к инновационным методам злоумышленников, при том, что их возможности по монетизации подобных инструментов до сих пор ограничены. В этом причина того, что самые страшные сценарии, озвученные пару лет назад, не стали реальностью, что, конечно, не отменяет необходимости предупреждать их заблаговременно.

Голосовые помощники — безопасные или уязвимые?

22222.jpg


Совсем новая область изучения возможных рисков для экспертов в сфере кибербезопасности — голосовые помощники, которые получают все большее распространение в мире и в России, в том числе и в индустрии умных домов. По информации генерального директора компании «ИОТ Системы», основателя и главного тренера IoTraining Николая Русанова, в мире уже около 1 млрд людей имеют доступ к голосовым помощникам. В то же время, по словам Владимира Дащенко, в экспертной среде пока не сформировалось сколько-нибудь устойчивой позиции о безопасности голосовых ассистентов. «Я не встречал масштабных исследований о безопасности голосовых помощников, чтобы была представлена и методика, и результаты, и выводы. Любые потенциальные сценарии нужно проверять на конкретных примерах, создавать стенды и проверять на практике», — поясняет руководитель направления поиска уязвимостей в Kaspersky ICS CERT. Пока можно говорить лишь о репутации компаний-разработчиков устройств и сервисов с голосовым управлением. «В целом могу сказать, что известные, зрелые компании, которые выходят на рынок с решениями на базе голосовых помощников, стараются воздвигать безопасность на пьедестал, уделяя ей огромное внимание», — рассуждает Владимир Дащенко. По его мнению, идеальный механизм создания голосовых решений должен включать выделенную команду по продуктовой безопасности, которая проверяет выпускаемые продукты на предмет уязвимостей и векторов атак. «Еще лучше, когда компании-разработчики проводят третьесторонний аудит безопасности своих решений: одна голова хорошо, а две лучше», — говорит Владимир Дащенко.

Николай Русанов выделяет два важнейших вопроса в диалоге о безопасности голосовых помощников. Первый — как могут получить доступ к голосовому ассистенту те, кто имеет на это право. Второй — как получают доступ те, у кого такого права нет. «Имеют право получать доступ ко всему, что происходит с интернетом, государственные структуры. Если вы управляете голосом или у вас стоит голосовой помощник, рекомендую вам считать, что все, что вы говорите, может быть использовано против вас. Другого выхода нет», — предупреждает Николай Русанов.

Отвечая на второй вопрос — о возможностях злоумышленников посягать на неприкосновенность информации в голосовых помощниках и отданных через них команд, руководитель «ИОТ Систем» выделяет голосовой ассистент Siri от Apple. «Могут ли получить доступ к тому, что вы говорите, или к тому, что у вас происходит дома, те, у кого нет на это права? Здесь самая лучшая ситуация у Apple, потому что в его устройствах используется специальный чип, который обеспечивает самый высокий уровень защиты. Все остальные — Google, Amazon и “Яндекс” — используют стандартные методы интернет-шифрования — SSL и подобные ему. Получить доступ к данным в их голосовых помощниках проще, чем у Apple», — уточняет Николай Русанов, добавляя, что это его личное мнение, с которым другие эксперты могут не согласиться.

А вот в том, что с самой идеей полной приватности разговоров при коммуникациях с Amazon Alexa, Google Assistant и Siri от Apple лучше отказаться раз и навсегда, соглашаются практически все эксперты. И основания для этого им дают сами разработчики голосовых помощников.

В апреле 2019 года Amazon подтвердил, что в его штате в глобальном масштабе работают сотрудники, которые транскрибируют голосовые команды, зафиксированные голосовым помощником Alexa после активирующего слова, и возвращают их в ПО платформы, чтобы в будущем Alexa могла более эффективно реагировать на человеческую речь. В Amazon работают тысячи штатных сотрудников и подрядчиков в нескольких странах, включая США, Коста-Рику и Румынию, смена которых длится до девяти часов, в течение которых они прослушивают до 1000 голосовых аудиофрагментов. Прослушиваемые аудиофрагменты могут быть описаны как «обыденные» разговоры и даже «возможно криминальные», включая сцены потенциального сексуального посягательства.

Аналогичная новость, касающаяся Google, появилась в июле текущего года. Выяснилось, что сотрудники Google регулярно прослушивают голосовые команды пользователей умной колонки Google Home и голосового помощника Google Assistant в соответствующем приложении. «При работе по развитию речевых технологий для большего количества языков мы сотрудничаем с экспертами-лингвистами по всему миру, которые понимают нюансы и акценты конкретного языка. Эти языковые эксперты изучают и транскрибируют небольшую часть [голосовых] запросов, чтобы помочь нам лучше понять эти языки. Это важная часть процесса построения речевых технологий, и она необходима для создания таких продуктов, как Google Assistant», — написал в корпоративном блоге менеджер по поисковым продуктам Google Дэвид Монсис (David Monsees).

В то же время Associated Press сообщило, что на такое признание корпорация вынуждена была пойти после того, как около тысячи голосовых команд, отданных пользователями приложений или смарт-колонок Google, оказались в распоряжении бельгийского телеканала VRT. Отдельные записи содержали личную информацию о пользователях, а также разговоры на заднем плане. Монсис признал, что эти записи были в нарушение регламента переданы телеканалу одним из экспертов по распознаванию голландского языка.

Наконец, в августе 2019 года появилась информация, что Apple приостановила программу по контролю распознавания речи голосового помощника Siri, предполагавшую прослушивание аутсорсинговыми подрядчиками анонимных голосовых команд пользователей. В Apple уточнили, что приостанавливают программу контроля Siri по всему миру.

О российской «Алисе» подобных новостей на текущий момент не поступало, однако нет никаких оснований полагать, что в «Яндексе» улучшают технологию распознавания речи как-то иначе по сравнению с Google, Amazon или Apple.

Рубрика: Рынок
Все Статьи

Комментарии
Авторизоваться