Проблемы безопасности Интернета вещей Е. А. Верещагина И. О. Капецкий А. С. Ярмонов
 Скачать 3.32 Mb.
|
|
Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 1 Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 2 УДК 004 ББК 32.97 В 317 Верещагина, Елена Александровна Капецкий, Игорь Олегович Ярмонов, Антон Сергеевич В 317 Проблемы безопасности Интернета вещей. Учебное пособие – М.: Мир науки, 2021. – Сетевое издание. Режим доступа: https://izd-mn.com/PDF/20MNNPU21.pdf – Загл. с экрана. ISBN 978-5-6045771-9-6 Излагаются основные сведения об Интернете вещей, приведены основные определения, описана структура Интернета вещей. Основное внимание уделено проблемам безопасности Интернета вещей. Предназначено для магистрантов, обучающихся по специальности 09.04.02 Информационные системы и технологии по программе «Информационная безопасность в кредитно-финансовой сфере», изучающих дисциплину «Защищенные информационные системы», а также будет полезно для студентов направления подготовки 10.05.01 Компьютерная безопасность и 10.03.01 Информационная безопасность, изучающих дисциплины «Компьютерные сети», «Вычислительные сети», и других направлений. ISBN 978-5-6045771-9-6 © Верещагина Елена Александровна © Капецкий Игорь Олегович © Ярмонов Антон Сергеевич © ООО Издательство «Мир науки», 2021 Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 3 Оглавление Введение ............................................................................................................................................. 4 1. Развитие технологий интернета вещей ........................................................................................ 5 1.1. Определение понятия «Интернет вещей» ............................................................................. 5 1.2. Составляющие Интернета вещей ........................................................................................... 8 1.3. Области применения Интернета вещей .............................................................................. 12 1.4. Индустриальный Интернет вещей ....................................................................................... 19 1.5. Проблемы технологий индустриального Интернета вещей ............................................. 23 2. Анализ безопасности технологий интернета вещей ................................................................. 26 2.1. Проблемы безопасности Интернета вещей ........................................................................ 26 2.2. Классификация угроз IoT ..................................................................................................... 29 2.3. Проблемы безопасности технологий индустриального Интернета вещей...................... 33 2.4. Классификация угроз индустриального Интернета вещей ............................................... 36 3. Примеры угроз для устройств интернета вещей в различных сферах ................................... 44 3.1. Исследование угроз на примере умных часов .................................................................... 44 3.2. Интеллектуальная транспортная система ........................................................................... 48 3.3. Элементы методологии цифровой экспертизы .................................................................. 59 3.4. Примеры сценариев атак на устройства Интернета вещей ............................................... 67 4. Разработка мер безопасности для устройств интернета вещей ............................................... 75 4.1. Анализ проблем обеспечения безопасности IoT-устройств ............................................. 75 4.2. Меры по обеспечению безопасности устройств Интернета вещей .................................. 79 Заключение ....................................................................................................................................... 90 Список литературы .......................................................................................................................... 91 Приложение А .................................................................................................................................. 97 Приложение Б ................................................................................................................................. 100 Информация об авторах ................................................................................................................ 104 Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 4 Введение Учебное пособие предназначено для изучения теоретических основ по дисциплине «Защищенные информационные системы» для магистрантов, обучающихся по направлению подготовки 09.04.02 Информационные системы и технологии по программе «Информационная безопасность в кредитно-финансовой сфере». Главная цель учебного пособия заключается в том, чтобы ознакомить студентов с основными понятиями Интернета вещей, в основном с точки зрения безопасности. В пособии проведен анализ проблем безопасности устройств Интернета вещей, описаны особенности технологии Интернета вещей, определены активы и актуальные угрозы. Рассмотрены особенности промышленного Интернета вещей и модели транспортных систем, подробно изложены различные классификации угроз и меры по обеспечению защиты устройств Интернета вещей. Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 5 1. Развитие технологий интернета вещей 1.1. Определение понятия «Интернет вещей» У термина «Интернет вещей» нет точного общепринятого определения. Интернет вещей (англ. Internet of Things, сокращенно IoT),говоря понятным языком, – это сеть вещей, где словом «вещь» называют интеллектуальный объект.Интеллектуальные объекты обладают встроенной электроникой, программным обеспечением, датчиками и встроенными технологиями взаимодействия с внешней средой с возможностью передачи данных о своем текущем состоянии и приема данных извне [1]. В 2012 году в рекомендациях Сектора стандартизации электросвязи Международного союза электросвязи (МСЭ-Т) IoT был определен как «глобальная инфраструктура для информационного общества, которая обеспечивает возможность предоставления более сложных услуг путем соединения друг с другом (физических и виртуальных) вещей на основе существующих и развивающихся функционально совместимых информационно- коммуникационных технологий». «Вещь» здесь «означает предмет физического мира (физические вещи) или информационного мира (виртуальные вещи), который может быть идентифицирован и интегрирован в сети связи». В широком смысле Интернет вещей рекомендуется «воспринимать как концепцию, имеющую технологические и социальные последствия» [2, с. 1]. IoT основан на межсетевом информационном взаимодействии [3] физических устройств (также называемых подключенными устройствами и интеллектуальными устройствами), транспортных средств, зданий и других предметов со встроенной электроникой. К IoT также относятся программное обеспечение, датчики, исполнительные механизмы и сеть, которые позволяют этим объектам собирать данные и обмениваться ими [4]. Иными словами, IoT – это результат революции технологий, которые позволяют различным устройствам действовать как умным объектам. Эти устройства связаны друг с другом и объединены в различные сети. Результатом этих связей является обмен данными для принятия соответствующего решения. Цель IoT – сделать жизнь более удобной и динамичной. Например, благодаря использованию технологий IoT автомобили ездят без водителя, умный свет выключается, когда никого нет в комнате, кондиционер включается, когда комнатная температура становится ниже определенной пользователем. Кроме того, устройства IoT могут предоставлять услуги владельцу, обмениваясь информацией между собой. Например, умный плеер может выбрать – в зависимости от предпочтений владельца – и воспроизвести песню, которая была сохранена на его смарт-часах. Хотя IoT-устройства способны работать и без участия человека, пользователи могут взаимодействовать с ними: давать инструкции, настраивать и предоставлять доступ к данным. Идея IoT состоит в том, чтобы подключить каждый объект через Интернет и заставить все объекты взаимодействовать. Ожидается, что IoT обеспечит такие расширенные возможности подключения систем и устройств, которые выйдут за рамки межмашинных взаимодействий (M2M 1 ) и охватят различные протоколы, области и приложения [5]. 1 Межмашинное взаимодействие (англ. Machine-to-Machine, M2M) – общее название технологий, которые позволяют машинам обмениваться информацией друг с другом или передавать ее в одностороннем Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 6 Инфраструктура сети в IoT может быть сформирована с использованием существующих сетей, например традиционных сетей на базе протокола TCP/IP, и/или развивающихся сетей, таких как сети последующих поколений (СПП) [b-ITU-T Y.2001] [2, с. 4]. Архитектура IoT еще не стандартизирована, потому что она зависит от задействованных технологий и сфер ее применения. Интернет начал свое становление, соединив компьютеры в сеть, в которой WWW был сервисом высшего уровня. Появившиеся социальные сети совершили революцию в информационном пространстве и связали людей через Интернет [6]. Затем Интернет соединил умные вещи, которые образовали Интернет вещей. В процессе перехода от Интернета компьютеров к Интернету вещей было разработано множество технологий. Для функционирования IoT требуются две основные функции: идентификация и создание сетей. Наиболее известными технологиями идентификации являются RFID 2 , NFC 3 , штрих-коды и QR-код [7]. RFID считается основным способом идентификации объекта [8]. IoT позволяет обнаруживать интеллектуальные объекты и контролировать их удаленно через существующую сетевую инфраструктуру, создавая возможности для интеграции физического мира в компьютерные системы, в результате повышая эффективность, точность и экономическую выгоду работы устройств и сокращая вмешательство человека. В случае, когда IoT-устройства дополняются сенсорами и приводами, IoT-технология становится основой более общего класса киберфизических систем, который использует такие технологии, как smart-сети, умный дом, умный транспорт и умный город. Каждая вещь уникально идентифицируется через встроенную вычислительную систему и при этом способна взаимодействовать с существующей инфраструктурой Интернета. Систему IoT образуют разнообразные устройства и их пользователи, находящиеся в онлайн-взаимодействии, включая и мобильные коммуникации. Хотя концепция технологии существует с 1999 года, взрывной рост интереса к IoT наблюдается именно в последнее десятилетие. Быстро растет число доступных технологий, платформ и решений. Интерес к IoT развивается и в промышленности: компании активно исследуют возможности IoT-технологий и применяют к своим бизнес-процессам. По прогнозам аналитиков компании Cisco, к 2023 году на каждого человека в России в среднем будет приходиться более шести подключенных устройств, функционирующих в режиме онлайн (например, компьютер, мобильный телефон, смартфон, фаблет и планшет, устройство для управления умным домом, устройство для контроля показателей здоровья и т.д.) [9]. По информации другого аналитического агентства (IDC), в 2025 году к Интернету будет подключено 38,6 млрд самых разнообразных устройств, а в 2030-м этот показатель превысит знаковую отметку в 50 млрд. Для сравнения: по состоянию на конец 2018 года количество IoT-устройств оценивалось приблизительно в 22 млрд (данные Strategy порядке. Это могут быть проводные и беспроводные системы мониторинга датчиков или каких-либо параметров устройств (температура, уровень запасов, местоположение и т. д.). 2 Радиочастотная идентификация (англ. Radio Frequency Identification) – современная технология идентификации объектов, основанная на применении радиочастотного электромагнитного излучения для автоматизированного считывания и записывания данных учета и контроля на устройство. 3 NFC, Near Field Communication (с англ. «коммуникация ближнего поля») – технология беспроводной высокочастотной связи малого радиуса действия, которая дает возможность обмена данными между устройствами, находящимися на расстоянии около 10 сантиметров (около 4 дюймов). Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 7 Analytics) [10]. Специалисты Cisco предсказывали существенный рост числа мобильных умных устройств (англ. smart devices) и объема генерируемого ими трафика к 2021 году [11]. К мобильным умным устройствам принято относить устройства, обладающие развитыми вычислительными возможностями и системами мультимедиа со скоростью сетевого соединения как минимум на уровне 3G, т.е. 2 Мб/с. В 2016 году эти устройства, представляя лишь 46 % всех мобильных устройств, генерировали 89 % мобильного трафика, а к 2021 году они составят три четверти от общего числа мобильных устройств и доля их трафика возрастет до 98 %. Вторым по значимости сегментом IoT являются устройства межмашинного взаимодействия, кратко обозначаемые как М2М (Machines to Machines). Надо отметить, что давно известные промышленные системы автоматического управления и телеметрии, реализующие замкнутые взаимодействия типа вещь – вещь, по сути являются предшественниками IoT. Однако если ранее такие взаимодействия были ограничены рамками одного локально расположенного производственного участка, цеха или предприятия, то сегодня у этих систем появилась возможность выхода в Интернет. Это радикально расширяет сферу М2М, практически снимая территориальные ограничения. Подробные сценарии и примеры использования современных решений М2М в различных отраслях приведены в техническом отчете ведущей международной организации по стандартизации в этой области – консорциума oneM2M [12, 13]. В сегменте М2М отдельную категорию составляют носимые вещи (англ. smart wearable devices): умные часы, умные очки, фитнес-браслеты и т. д. Такие вещи взаимодействуют с сотовыми сетями и Интернетом или напрямую, или посредством смартфонов и других устройств общего назначения. Ожидается рост этого сегмента до 929 млн устройств в 2021 году против 325 млн в 2016 году. Современные цифровые методы обработки и передачи информации порождают огромные объемы данных, которые приводят к проблеме «больших данных» (Big Data [14]. В работе [12, с. 4] приводятся характерные показатели: датчики реактивного двигателя каждые 30 мин генерируют 104 ГБ информации, ежедневно в мире датчики выдают 1,1 млрд показаний и производят 2,5 млрд ГБ данных. Первичные данные требуют обработки, в ряде случаев с привлечением сложной аналитики и ранее накопленной информации. Такая обработка не всегда может быть выполнена вблизи источника данных, например из-за отсутствия необходимых вычислительных и/или программных ресурсов. Поэтому в последнее время широко применяются технологии облачных вычислений, реализующие такие модели использования программного обеспечения, как «Программное обеспечение как услуга» (SaaS), а при необходимости и «Сеть как услуга» (NaaS). Подключение к облаку может осуществляться различными способами, включая Wi-Fi, спутниковую или сотовую связь, Bluetooth и другие виды связи. IoT-решения активно внедряются во все отрасли производства и сферы жизнедеятельности. Основными на данный момент являются решения для умного дома и города, энергетики, транспорта и логистики, ритейла и потребительского рынка, добычи и переработки полезных ископаемых, здравоохранения и телемедицины, сельского хозяйства, комплексной безопасности. Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 8 1.2. Составляющие Интернета вещей На рисунке 1.1 представлена структура экосистемы IoT, которую формируют следующие элементы: вещи, интеллектуальное принятие решений, датчики и исполнительные механизмы, средства связи и встроенные системы. Ниже приведено описание каждого элемента [15]. Вещи в IoT Как уже говорилось ранее, в IoT-среде «вещь» – это физический или виртуальный объект, который можно идентифицировать и интегрировать в коммуникационные сети. Крайне важно, чтобы вещи имели возможность обмениваться данными – по сети между собой или с облачными сервисами, через шлюз или напрямую, то есть без использования сети. Кроме того, вещи могут выполнять другие дополнительные функции, такие как считывание и сбор данных, активация, хранение и обработка данных, выполнение собственных или облачных приложений, машинное обучение и т.д. [2]. Набор вещей, составляющих IoT-экосистему, управляется интеллектуальными системами, которые могут автономно подключаться к вещам для мониторинга и управления ими. Более того, эти интеллектуальные системы могут из вещи или набора вещей извлекать данные и обрабатывать их, получая полезную информацию для интеллектуального принятия решения [16]. Рисунок 1.1 – Составляющие IoT Интеллектуальное принятие решений Число устройств, подключенных к интеллектуальным системам и способных хранить, обрабатывать, анализировать данные и обмениваться ими, резко увеличивается. В результате в скором будущем миллиарды вещей и машин будут подключены к сетям и станут производить еще больше данных [17]. Следовательно, необходимо развивать технологии анализа данных и методы интеллектуального управления ими, чтобы извлекать значимую Интернет вещей Вещи Интеллектуальное принятие решений Датчики и исполнительные механизмы Встроенные системы Коммуникация |