Проблемы безопасности Интернета вещей Е. А. Верещагина И. О. Капецкий А. С. Ярмонов

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
40 а нарушение законодательства, норм, правил и злоупотребление персональными
данными может привести к юридическим проблемам и финансовым потерям. Опасность связана с обработкой персональных данных, например при использовании конечных устройств IIoT без соблюдения местных законов или норм. б невыполнение требований документации влечет за собой нарушение договорных требований производителями компонентов и поставщиками программного обеспечения в случае невозможности обеспечить требуемые меры безопасности.
4. Непреднамеренное повреждение элементов системы:
Рисунок 2.5 – Непреднамеренное повреждение элементов системы а непреднамеренное изменение данных или конфигурации в системе OT, выполненное недостаточно обученным сотрудником, может вызватьнарушение рабочего процесса. Даже с добрыми намерениями неквалифицированный работник, не подозревая о последствиях, может внести ненадлежащие изменения в систему, особенно если он получает полномочия, превышающие необходимые; б некорректное использование или администрирование устройств и систем IIoT/OT недостаточно обученным сотрудником может привести к нарушению рабочего процесса или физическому повреждению устройства; в ущерб, нанесенный третьей стороной, может привестик повреждению активов OT.
Если сторонняя организация имеет неконтролируемый доступ к системе OT, например в целях обслуживания или обновления программного обеспечения, нарушения безопасности этой организацией могут нанести ущерб компании, которая получает услугу.
Непреднамеренное повреждение элементов системы
Непреднамеренное изменение данных или конфигурации в системе ОТ
Некорректное использование или администрирование устройств и систем
Ущерб, нанесенный третьей стороной

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
41
5. Физическая атака:
Рисунок 2.6 – Физическая атака а кража и вандализм могут привести к незапланированным простоям производства, поскольку замена поврежденного или украденного устройства требует времени, иногда значительного;
б саботаж, диверсия могут быть осуществлены злоумышленником при получении физического доступа к устройствам вследствие неправильной конфигурацией портов и их открытостью. Злоумышленник также может использовать доступ для выполнения несанкционированных действий оператора.
6. Отключение устройств:
Рисунок 2.7 – Отключение устройств а отключение сети связи может произойти из-за проблем с кабельной, беспроводной или мобильной сетью; б отключение электропитания может стать результатом сбоя в работе или выхода из строя любого источника питания и, в случае отсутствия аварийного источника питания, привести к серьезным последствиям из-за внезапного прекращения производственных процессов;
Физическая атака
Кража или вандализм
Саботаж, диверсия
Отключение устройств
Отключение сети связи
Отключение электропитания
Потеря услуг поддержки

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
42 в потеря услуг поддержки происходит вследствиесбоя или неисправности систем, поддерживающих производство или логистику.
7. Подслушивание, перехват, кража информации:
Рисунок 2.8 – Подслушивание, перехват и кража информации а «человек посередине» (MitM-атака, англ. Man in the middle) – активная атака подслушивания, при которой злоумышленник передает сообщения от одной жертвы другой, чтобы заставить их поверить, что они разговаривают напрямую друг с другом; б перехват протокола IoT означает взятие под контроль существующего сеанса связи между двумя элементами сети. Злоумышленник может прослушивать ценную информацию, в том числе пароли. В перехвате могут использоваться агрессивные методы, например принудительное отключение или отказ в обслуживании;
в перехват информации включает несанкционированный перехват (и иногда модификацию) личных сообщений, таких как телефонные звонки, мгновенные сообщения, сообщения электронной почты; г сетевая разведка предполагаетпассивный и активный сбор внутренней информации о сети: о подключенных устройствах, используемом протоколе, открытых портах, используемых службах и т. д. с помощью общедоступных данных и приложений; д перехват сеанса (англ. session hijacking)подразумеваетперехват соединения для передачи данных и переключение его на новый хост вместо законного для кражи, изменения или удаления передаваемых данных;
е сбор информации означаетпассивное получение внутренней информации о сети: о подключенных устройствах, используемом протоколе и т. д.;
Подслушивание и перехват информации
«Человек посередине»
Перехват протокола IoT
Перехват информации
Сетевая разведка
Перехват сеанса
Сбор информации
Повтор сообщений

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
43 ж повтор сообщений используется как атака, чтобы манипулировать целевым устройством или сбивать его работу посредством злонамеренного использования допустимой передачи данных с многократной ее отправкой или задержкой.
8. Катастрофа:
Рисунок 2.9 – Катастрофа а стихийное бедствие, такое как наводнение, удар молнии, сильный ветер, дождь или снегопад, которое может нанести физический ущерб компонентам окружающей среды ОТ; б экологическая катастрофа, например пожар, загрязнение, взрыв, может привести к физическому повреждению компонентов окружающей среды ОТ.
В данной главе был проведен анализ безопасности IoT, выявлены его проблемы, определены активы IoT и IIoT, составлена классификация угроз в соответствии с обозначенными активами.
Вопросы по данному разделу
1.
Назовите основные технологии индустриального Интернета вещей.
2.
Приведите примеры небезопасных технологий Интернета вещей.
3.
Перечислите угрозы и риски Интернета вещей.
4.
Раскройте проблему данных Интернета вещей, хранящихся в облаке.
5.
Опишите категории угроз Интернета Вещей.
6.
Охарактеризуйте угрозы Интернета Вещей, связанные с техническими аспектами его действия.
7.
Раскройте роль человеческого фактора в безопасности Интернета Вещей.
8.
Приведите классификацию угроз индустриального Интернета вещей.
9.
Назовите основные активы индустриального Интернета вещей.
10.
Назовите виды атак на индустриальный Интернет вещей и дайте их краткое описание.
11.
Опишите угрозы подслушивания, перехвата и кражи информации индустриального Интернета вещей.
12.
Раскройте угрозы непреднамеренного повреждения элементов системы индустриального Интернета вещей.
Катастрофа
Стихийное бедствие
Экологическая катастрофа

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
44
3. Примеры угроз для устройств интернета вещей
в различных сферах
3.1. Исследование угроз на примере умных часов
В этом разделе представлен пример использования IoT-устройства (смарт-часов Apple) в IoT-криминалистике, чтобы показать, что решения для сбора данных с устройств IoT и их анализа по-прежнему ориентированы на конкретные устройства.
Умные часы (англ. smart watch), или смарт-часы, – это наручные электронные часы с набором полезных функций. Такие цифровые устройства классифицируются в соответствии с их функционалом. Он может включать синхронизацию со смартфонами, трекер активности
(фитнес-трекер), взаимодействие с другой цифровой техникой (например, с устройствами, входящими в систему умного дома).
Смарт-часы используются как смартфон и имеют в основном аналогичные функции.
Среди прочего, умные часы показывают дату и время, считают шаги, показывают прогноз погоды, курс валют, результаты спортивных соревнований, новости, уведомляют о новых сообщениях на телефоне, в социальных сетях, или новых электронных письмах, а также многое другое.
Для соединения смарт-часов со смартфоном используется три вида передачи данных:
Wi-Fi, Bluetooth, сотовая связь. Часы самостоятельно переключаются между этими каналами связи, выбирая наиболее энергоэффективное подключение. Возможность подключения смарт- часов к сети играет важную роль при сборе информации из Интернета. Для того чтобы быть полнофункциональным устройством, смарт-часы должны иметь возможность соединяться с другими устройствами (например, со смартфоном) и работать автономно. Здесь мы исследуем Apple Watch Series 2 (рисунок 3.1) со следующими техническими характеристиками:
Двухъядерный чип Apple S2.
Несъемный встроенный литий-ионный аккумулятор. watchOS 2.3, watchOS 3.0, обновляемый до watchOS 3.2.
Wi-Fi 802.11 b/g/n 2,4 ГГц, Bluetooth 4.0, встроенный GPS, NFC-чип, сервисный порт.
Емкостный сенсорный AMOLED-экран, Force Touch, 272  340 пикселей (38 мм),
312  390 пикселей (42 мм), сапфировое стекло.
Датчики: акселерометр, гироскоп, датчик сердечного ритма, внешнее освещение, датчик обмена сообщениями: SMS (привязанный), электронная почта, iMessage.
Звук: вибрация, мелодии, громкоговоритель.
Рисунок 3.1 – Apple Smart Watch S2

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
45
Важно отметить, что Apple Watch Series 2 имеют скрытый диагностический порт [64].
У него нет разъема для подсоединения кабеля, поэтому в случае проведения судебной экспертизы исследование, в том числе получение соответствующих данных с Apple, осуществляется с помощью iPhone, синхронизированного с Apple Watch.
В основном экспертов интересуют следующие данные: GPS-данные, данные о сердечном ритме, временны́х метках, MAC-адресе, сопряженных устройствах, текстах сообщений и электронных писем, журнале звонков, списке контактов и т.д.
Получение данных из памяти сопряженных устройств
Чтобы найти в iPhone информацию, относящуюся к Apple Watch, необходимо осуществить ряд действий [60]. Первое упоминание об Apple Watch находим в базе данных
com.apple.MobileBluetooth.ledevices.paired.db. Ее можно найти по следующему пути в файловой системе iPhone:
/SysSharedContainerDomain-systemgroup.com.apple.bluetooth/Library/Database/.
Эта база данных содержит UUID, имя, адрес, разрешенный адрес, Last Seen Time (время последнего посещения) и Last Connection Time (время последнего подключения). Так как на iPhone в файловом каталоге не создается отдельная папка для Apple Watch, данные Apple
Watch нужно искать во внутренних файлах приложений iPhone. В нашем случае часы Apple
Watch использовались во время работы со следующими приложениями: Health, Nike Plus,
Heartbeat, SMS и карты. Опишем данные, полученные в некоторых из этих приложений.
Приложение Health: база данных healthdb.sqlite (путь к ней: /var/mobile/Library/Health/) содержит Apple Watch в качестве источника данных о состоянии здоровья.
Nike Plus GPS: приложение Nike Plus GPS содержит папку com.apple.watchconnectivity
(путь: /Applictions/com.nike.nikeplus-gps/Documents/inbox/).
В указанном месте находится папка под названием 71F6BCC0-56BD-4B4s-A74A-
C1BA900719FB, которая содержит данные от Apple Watch. Основная база данных в приложении
Nike
Plus
GPS
–
ActivityStore.db
(путь к ней:
/Applications/com.nike.nikeplusgps/Documents/). База данных ActivityStore.db содержит журнал активности, last Contiguos Activity (последнее непрерывное действие), метрики, итоговые метрики и теги, требующиеся для экспертизы.
Данные GPS: информация о долготе и широте генерируется приложением Nike Plus и сохраняется в таблицах с соответствующей отметкой времени. На основании этой информации мы можем создать карту с данными GPS из Google-карт.
Для исследования было в основном использовано программное обеспечение Cellebrite
UFE.O и 4PC. Эти программы помогли выполнить логическое извлечение данных. В файловой системе iPhone можно найти информацию (например, UUID и название, время последнего подключения) о сопряженных со смартфоном смарт-часах Apple Watch. Многие работающие на iPhone приложения используют информацию, полученную от умных часов.
Подводя итог сказанному, можно отметить, что iPhone содержит информацию о тренировках из приложения, которое было вручную запущено пользователем на часах.
Но данные о сердечном ритме, количестве шагов и информация о сне записываются находящимися на руке часами, даже если приложения вручную не запускались. Все данные снабжены метками времени в разных форматах. Опрос правоохранительных органов и предыдущие исследования показали, что данных GPS никогда не находили на умных часах.
На практике же данные GPS, генерированные приложением Nike+ GPS на Apple Watch, были найдены на iPhone.

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
46
Ручное извлечение данных
Чтобы определить, какие данные хранятся в Apple Watch Series 2, было проведено ручное извлечение данных с экрана устройства. Использовался именно такой метод исследования, потому что физического доступа не было. Таким образом было доказано, что часы не только генерируют данные, но и хранят их непосредственно в своей памяти и могут использоваться как самостоятельное устройство. Перед тем, как использовать часы в автономном режиме, их подключили к iPhone и провели аутентификацию в той же сети
Wi- Fi. После того, как этот процесс был осуществлен, iPhone выключили. Он стал нужен только для того, чтобы написать сообщение или электронное письмо и позвонить.
Сначала были проверены сообщения. Можно было просмотреть все iMessages и текстовые SMS, которые были синхронизированы с часами перед выключением iPhone.
После перевода часов в режим полета все еще можно было прочитать текстовые сообщения и iMessages. Попытка отправить голосовое iMessage и текстовое сообщение с часов при выключенном режиме полета на принимающее устройство оказалась успешной.
Действительно, текстовые сообщения можно писать на часах, работающих в автономном режиме. Тем не менее при нажатии на кнопку «отправить» сообщение не отправилось, а сохранилось в памяти часов. После включения iPhone оно было отправлено.
Перед выключением телефона фотоальбом был также синхронизирован с часами.
Чтобы доказать, что копии фотографий были сохранены в памяти часов, а не в облаке, часы были переведены в режим полета и после этого фотографии остались в часах.
Были просмотрены приложения HeartRate, HeartWatch, Activity, Карты, Apples
Workout, Nike+ Run, Twitter и Instagram. Приложение HeartRate содержало только данные о последних и текущих измерениях сердечного ритма. HeartWatch, стороннее приложение, содержало больше данных: ключевые параметры частоты сердечных сокращений, среднюю частоту пульса, сводки тренировок. Apples Workout – приложение для записи любого вида тренировок – показало очень мало информации о последних тренировках: только тип, длительность и дату тренировки. Приложение Nike+ Run также содержало очень мало данных – только расстояние, которое пробежал владелец устройства на последней тренировке.
И Twitter, и Instagram можно использовать только в том случае, если iPhone подключен к часам. Если iPhone выключен, на экране часов появляется метка, что в списке подключенных устройств телефона нет.
Электронная почта на часах работает так же, как и сервис iMessages и текстовых SMS.
Когда iPhone выключен, электронные письма можно получать, открывать и отправлять независимо от iPhone. Письма можно читать и после перевода Apple Watch в режим полета.
В приложении «Календарь» можно увидеть (и в режиме полета также) записи, сделанные пользователем, но доступный календарный период ограничен одним днем до ручного извлечения данных и семью днями в будущем.
Контакты также сохраняются на часах в независимом режиме. Они остаются в памяти часов даже если выключить телефон и отключить от всех сетей часы. При этом контакты отображаются со всеми дополнительными данными, сохраненными на айфоне. Приложение для телефона также содержит журнал вызовов и список наиболее часто набираемых номеров.
Даже при выключенном iPhone и часах, переведенных в режим полета, эксперт может видеть все голосовые сообщения и слушать их. Кроме того, отображается номер телефона, с которого было отправлено это голосовое сообщение, а также дата и время его получения. После нажатия на кнопку Play голосовая почта воспроизводится.

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
47
Поскольку физического доступа к Apple Watch не было, ручное извлечение данных в форме поиска по экрану – в данный момент единственный способ увидеть, что сохраняется и содержится в памяти часов. Исследование показывает, что часы можно использовать как автономное устройство, независимое от iPhone. Более того, на Apple Watch были обнаружены многие важные для экспертов данные. Среди них iMessages, текстовые SMS, фотографии, данные о тренировках, данные о частоте сердечных сокращений, данные поиска по карте, электронные письма, календарные записи, контакты, журналы вызовов и голосовая почта.
Для ручного извлечения данных необходимо, чтобы умные часы были разблокированы. Если часы Apple Watch заблокированы с применением ПИН-кода, единственный вариант разблокировать их – ввести верный ПИН-код [60].