ПрофитОткрыть счет
Читать 4 мин
А
Анастасия Жеманова
Около рынка

Взломать все: как злоумышленники используют зубные щетки, чайники и игрушки для хакерских атак

  1. Умное = уязвимое
  2. Взломать все
  3. Третий лишний
  4. Банальная безопасность

Хакеры взломали три миллиона зубных щеток, чтобы использовать их для DDoS-атаки на сайт швейцарской компании, — такая новость появилась в начале февраля в швейцарской газете Aargauer Zeitung. В результате корпоративный сайт неназванной компании рухнул на четыре часа, а сама она понесла убытки на несколько миллионов евро. Новость мгновенно разлетелась по информационным просторам.

После в СМИ появились публикации о том, что новость — результат неправильного перевода, издание просто процитировало компанию Fortinet, которая приводила взлом зубных щеток как гипотетический пример. Затем последовал еще ряд заявлений о подлинности этой истории, и, кажется, точка в этом споре не поставлена до сих пор. Однако, согласитесь, сценарий выглядит правдоподобным, ведь удивить кого-то очередной «прорехой» в безопасности гаджетов сегодня уже сложно.

Умное = уязвимое

Умные зубные щетки — один из примеров гаджетов, встроенных в интернет вещей (IoT, internet of things). Иными словами, IoT — это система объединенных в общую виртуальную сеть устройств, которая позволяет им собирать, анализировать и обмениваться данными — с пользователем или друг с другом.

В первую очередь интернет вещей ассоциируется с системами «умного дома», хотя успешно применяется в промышленности, здравоохранении, энергетике, розничной торговле. По прогнозам, к 2030 г. количество IoT-устройств превысит  29 млрд, а рынок вырастет до $620 млрд. 

«Умными» устройства становятся благодаря встроенной операционной системе, уязвимость которой и представляет угрозу. Взламывая гаджеты, злоумышленники заражают их вредоносным софтом и объединяют в IoT-ботнет, который, как правило, используют для выполнения однообразных команд. Конечно же, с самыми противозаконными намерениями. К командам может относиться DDoS-атака — перегрузка информационной системы огромным количеством запросов, а также скликивание рекламы, рассылка спама, майнинг криптовалюты и другие.

Ботнет может объединять тысячи устройств, а ущерб, наносимый кибератаками, исчисляется миллионами долларов. Кроме того, в последние годы злоумышленники стали сдавать ботнеты в аренду для проведения атак.

Взломать все

Под угрозой могут оказаться самые простые и безобидные устройства — термостаты, камеры или чайники. Однако подвергаться атакам могут и более сложные технологические системы.

«Умные дома». В 2019 г. сразу несколько американских семей заявили, что их «умные дома» ведут себя как в фильмах ужасов: хаотично меняются настройки термостата, сама собой включается музыка, кто-то разговаривает и наблюдает за ними через камеры безопасности, а в одной семье злоумышленник разговаривал с 7-месячным ребенком через радионяню и угрожал его родителям. В компании провайдера системы заявили, что с их стороны нет проблем с безопасностью — учетные записи не взломаны и не утекли в сеть. Причиной таких инцидентов назвали пренебрежение базовыми правилами безопасности — слабый пароль и отсутствие двухфакторной аутентификации.

Электрокары. В 2022 г. 19-летний Дэвид Коломбо рассказал в своем блоге, что взломал  более 25 автомобилей Tesla по всему миру. Обнаруженная им уязвимость позволила получить удаленный доступ к множеству функций Tesla, включая отпирание дверей и окон, а также запуск управления автомобилем без ключа. По словам Дэвида, он мог включить стереосистему или посигналить, а также узнать местоположение автомобиля и присутствие водителя. Кроме того, парень нашел в ПО автопроизводителя ошибку, позволяющую узнать адрес электронной почты владельца. Однако, как отметил Коломбо, невозможно дистанционно заставить автомобиль двигаться. После публикации Tesla выпустила обновление для программного обеспечения.

Вопрос кибербезопасности электромобилей в последнее время становится более актуальным. Беспроводная сеть и облачные технологии, используемые как для работы авто, так и для обслуживания инфраструктуры, делают их особенно уязвимыми для киберугроз наряду с другими цифровыми гаджетами.

Третий лишний

Кроме того, нередко данные утекают из рук третьих лиц — подрядчиков и компаний, которые участвуют в производственной цепочке и имеют доступ к персональной информации. А это требует от провайдеров технологий и умных систем дополнительной бдительности и уровней защиты.

  • Так, интерактивные игрушки от компании Spiral Toys были созданы для общения на расстоянии — родители могут записать послания детям, а игрушка озвучит его вслух. Но в руках злоумышленников игрушки начали шпионить за своими хозяевами: записывали их разговоры для дальнейшего вымогательства и шантажа. Считается, что источником утечки данных — имен, фамилий, логинов, паролей и адресов электронной почты — стал один из подрядчиков Spiral Toys.
  • В Германии кукол My Friend Cayla запретили как шпионские устройства, поскольку эти игрушки также способны записывать разговоры и передавать их для обработки на серверы. Эксперты информационной безопасности изучили кукол, и оказалось, что записи легко можно перехватить и даже заменить, заставив куклу произнести что-то произвольное. Европейская организация по защите прав потребителей поддержала решение, заявив, что «сетевые игрушки, например, говорящие куклы, которые могут быть взломаны, чтобы следить за детьми или говорить с ними, должны быть запрещены».
  • В 2022 г. в одном из закрытых форумов гиг-работников в Венесуэле были опубликованы несколько фотографий, на которых запечатлены бытовые кадры, но со странного низкого ракурса. Эти снимки были сделаны роботом-пылесосом — компания-производитель техники отправляла стартапу собранные изображения для обучения модели искусственного интеллекта. А для разметки полученных данных нанимала рабочих по всему миру. По словам производителя, пользователи пылесосов дали согласие на сбор и обработку изображений, кроме того, такие устройства были помечены специальными наклейками «Идет видеозапись». А компании, которые использовали полученные данные для обучения ИИ, должны были обеспечить безопасность информации — однако это не помешало попасть в сеть фото, на котором запечатлена хозяйка пылесоса в уборной.
Читайте главные новости рынка в telegram-канале БКС Экспресс
Подписаться

Банальная безопасность

«В силу того, что спрос  на умные устройства в мире постоянно растет, а многие из них выпускаются фирмами, легкомысленно подходящими к информационной безопасности, защищенность умных девайсов оставляет желать лучшего, — говорит руководитель Центра цифровой экспертизы Роскачества Антон Куканов. — Да и сами пользователи, с одной стороны, рады умному чайнику, с другой – не привыкли, что для него нужно обновлять софт и ставить пароль, иначе рано или поздно хакеры включат его в ботнет».

Советы, как обезопасить свои устройства, вряд ли кого-то удивят — они универсальны для любой техники. Да, не все они применимы к конечным устройствам — щеткам, пылесосам, чайникам, но определенно точно подойдут для роутеров, смартфонов и компьютеров, которые, как правило, и объединяют устройства в сеть.

• Устанавливать надежные пароли и двухфакторную аутентификацию.

• Выбирать надежных производителей техники.

• Следить за обновлениями ПО.

• Пользоваться антивирусными программами и проводить полное сканирование своих устройств.

• Раз в несколько лет менять точки доступа и роутеры, а также пароли к ним.

Читайте также: Цифровая самооборона: как россияне относятся к вопросам информационной безопасности

БКС Мир инвестиций

В миреОколо рынка