Читаем Старший брат следит за тобой. Как защитить себя в цифровом мире полностью

Когда мы подключаем к интернету привычные цифровые устройства, такие как телефоны и компьютеры, то сами вносим существенный вклад в безопасность, например устанавливая надежный пароль и не посещая фишинговые сайты. Но производители IoT-устройств часто не обеспечивают надежную их киберзащиту. Так, нередки случаи, когда для административного доступа к IoT-устройству используется связка простых логина и пароля, причем их нельзя заменить на более надежные. В системе контроля за доступом PremiSys логин и пароль администратора были жестко вшиты в памяти устройства. Это позволило злоумышленнику, получившему доступ к системе, создавать новых пользователей и блокировать карты, необходимые для открытия дверей с этой системой[1085]. Иногда одни и те же логины и пароли используются для всей серии устройств либо пароль генерируется по определенному алгоритму, взломав который хакер потенциально может получить доступ ко всем экземплярам этой модели, особенно если нет защиты от брутфорса. Такая ситуация произошла в 2018 г. с системой видеонаблюдения Guardzilla: в код программного обеспечения были зашиты данные для доступа к облачному аккаунту Amazon Web Services, где хранились видеофайлы всех пользователей этих камер[1086].

В 2017 г. специалисты «Лаборатории Касперского» обнаружили уязвимости в средствах автоматизации автозаправочных станций, расположенных по всему миру. По сути, уязвимости (в частности, вшитые в код логин/пароль администратора с максимальными правами) предполагали несанкционированный дистанционный доступ к центральным узлам тысяч АЗС, получив который злоумышленники могли бы отключать заправочные системы, вызывать утечки топлива, менять цены на бензин, красть данные и финансовые средства путем взлома платежного терминала, похищать сведения о номерных знаках машин и личных данных водителей и т. п.[1087]

В другом случае исследователям удалось получить доступ к программному обеспечению автомойки PDQ LaserWash, подключенной к интернету. Подобрав несложный дефолтный пароль, которым был защищен доступ в систему, специалисты смогли открывать и закрывать ворота, пускать воду и отключать инфракрасные датчики. Кроме того, им удалось придавить автомобиль воротами; такие действия могут привести к его повреждению и травмированию находящихся в нем людей[1088].

В IoT-сетях могут использоваться недостаточно защищенные протоколы или слабое шифрование (в ряде случаев его и вовсе нет). Тогда возможны MiTM-атаки: злоумышленник может перехватывать передаваемые данные, изменять, подделывать или удалять их.

Перехват управления IoT-компонентами систем «умного» дома может грозить как мелкими неприятностями, такими как заказ взломанным «умным» холодильником 50 л молока и ложный вызов пожарной бригады из-за срабатывания противопожарного датчика, так и крупными проблемами. Например, хакер может заблокировать двери автомобиля или дома, требуя выкуп; дистанционно отключить сигнализацию перед кражей; спровоцировать пожар, взломав «умный» обогреватель или плиту; проанализировав уровень освещенности или громкости звука в помещении либо перехватив голосовые команды владельца «умного» дома, узнать о его присутствии[1089].