Во всем мире наблюдается рост количества устройств Интернетвещей в домах. Эти устройства могут варьироваться от датчиков температуры и термостатов до камер видеонаблюдения и всей архитектуры домашней безопасности

Название	Во всем мире наблюдается рост количества устройств Интернетвещей в домах. Эти устройства могут варьироваться от датчиков температуры и термостатов до камер видеонаблюдения и всей архитектуры домашней безопасности
Дата	04.07.2021
Размер	34.02 Kb.
Формат файла
Имя файла	Vo_vsem_mire_nablyudaetsya_rost_kolichestva_ustroystv_Internet.docx
Тип	Исследование #223261

Во всем мире наблюдается рост количества устройств Интернет-вещей в домах. Эти устройства могут варьироваться от датчиков температуры и термостатов до камер видеонаблюдения и всей архитектуры домашней безопасности. Одно исследование показало, что в 63% домов в Северной Америке есть хотя бы одно устройство IoT или «умный дом». Хотя удобство устройств Интернет вещей в наших домах является ценностью для пользователя, многие производители Интернет вещей не ставят безопасность выше удобства в своем жизненном цикле разработки. Разработка устройств IoT должна включать информационную безопасность в число наиболее важных этапов, которых необходимо достичь, и можно утверждать, что это должно быть главным приоритетом. В этой статье мы обсудим концепции и передовой опыт при разработке умного дома и то, как информационная безопасность должна играть большую роль.

Вступление

В последние годы технологическая отрасль добилась успехов, которые коренным образом изменили способ работы мира. Технологические изменения повлияли на бизнес, правительство и даже личную жизнь гораздо сильнее, чем можно было мечтать всего десять лет назад. У нас есть устройства, которые могут отслеживать частоту сердечных сокращений и предупреждать пользователя о проблемах с сердцем, а также устройства, которые контролируют качество воздуха для изучения воздействия загрязнения [1]. Существует бесчисленное множество способов, которыми эти технологические достижения привели к появлению новаторских и изменяющих мир устройств. Диапазон этих изменений имеет впереди длинный путь развития , и последствия ощущаются почти каждым человеком на Земле. Устройства, оказывающие наибольшее влияние, - это продукты Интернета вещей (IoT). Эти продукты представляют собой небольшие автономные устройства, всегда подключенные к Интернету, которые предоставляют услуги пользователям. IoT-устройства могут включать термостаты, умные часы, камеры или любые другие небольшие устройства, которые имеют подключение к другим устройствам [2].

Один из самых быстрорастущих секторов в области Интернета вещей - устройства умного дома. Эти устройства выходят за рамки простого термостата или камеры. Пожалуй, самое примечательное устройство - это голосовая помощь, предлагаемая Google, Amazon, Apple и Samsung. Кроме того, у нас также есть системы безопасности умного дома, такие как Simply Safe и Abode, спринклерные системы умного дома, такие как Orbit, системы видеонаблюдения, такие как Ring и Wyze, и целые экосистемы, построенные на Samsung Smartthings или Hubitat. «Во всем мире существует более 120 новых устройств IoT, которые подключаются к Интернету в секунду». Эти устройства и системы предоставляют пользователям широкий спектр преимуществ; однако сейчас эксперты бьют тревогу по поводу того, насколько небезопасными могут быть эти устройства на самом деле.

К сожалению, у большинства этих устройств и экосистем умного дома есть серьезные недостатки в безопасности. Эти недостатки можно найти в жизненном цикле разработки, развертывании облачных сервисов и развертывании в локальной сети. В этой статье мы обсудим уязвимости системы безопасности, которые существуют в умных домах, и шаги, которые следует предпринять, чтобы лучше защитить умный дом.

Методология

Жизненный цикл разработки устройства умного дома

Хотя производители устройств используют разные методы при разработке устройства для умного дома, область, которая исторически была одной из самых слабых, - это этап архитектуры безопасности. «В настоящее время для устройств Интернета вещей не разработаны стандарты безопасности». Поскольку стандартов безопасности не существует, некоторые производители больше сосредоточены на завершении проекта и меньше на аспектах безопасности устройства или услуги [2]. Это постоянная проблема. Например, Ring, самый популярный видеодомофон, имел уязвимость, которая позволяла злоумышленникам получить доступ к паролю в виде открытого текста, хранящемуся в самом Ring. Уязвимость существовала в экосистеме Ring в течение четырех месяцев, прежде чем Ring выпустила обновление. Другим примером является блокировка данных, которую Wyze раскрыл в конце 2019 года. Wyze - это небольшой стартап по камерам видеонаблюдения, который предлагает доступные камеры, а также другие устройства IoT [3]. Их база данных была украдена хакерами и вынудила Wyze сделать публичное заявление и потребовать от всех пользователей изменить свои учетные данные. Уязвимость заключалась в том, что внутренний программист установил общедоступный сервер без требований аутентификации. Это позволило хакерам легко найти и скопировать базу данных. Это произошло на этапе обслуживания жизненного цикла разработки. Это распространенные ошибки, которые допускают многие разработчики продуктов [4]. Наиболее эффективный способ для разработчиков продуктов реализовать безопасность на своих устройствах - это для глобальных организаций, таких как IEEE и IEFT, а также национальных организаций, таких как NIST, создать структуру безопасности, разработанную специально для устройств IoT, и установить правила для этих устройств. Есть несколько организаций, пытающихся обеспечить безопасность устройств Интернета вещей с помощью законов и нормативных актов [4]. NIST выпустил документ под названием «Рекомендации для производителей устройств Интернет вещей». В этом документе «описываются добровольные рекомендуемые действия, связанные с кибербезопасностью, которые производители должны рассмотреть перед тем, как их устройства Интернета вещей будут проданы клиентам». Хотя документ NIST не является официальным регламентом, он предоставляет разработчикам основу для соблюдения. Калифорния близка к принятию фактического закона, который установит определенные правила для разработчиков Интернета вещей в их штате.

Законопроект «SB-327 Конфиденциальность информации: подключенные устройства» представляет собой подробный план действий, которым должны следовать производители, и требует обеспечения безопасности. Этот закон будет первым в США, если он будет принят. Правила и нормы - это первый шаг к более безопасному умному дому. Компаниям и разработчикам следует стремиться применять строгие меры безопасности на своих устройствах. Они должны использовать структуру безопасности NIST IoT, а также будущие структуры безопасности IoT.

Облачные сервисы

Умные дома состоят из различных устройств IoT, и все эти устройства должны поддерживать соединение друг с другом, а также подключение к Интернету. Для большинства устройств умного дома требуется постоянное подключение к Интернету. Хотя это может предоставить пользователям большое удобство, это также несет в себе угрозу безопасности [5]. Любое устройство с постоянным подключением к Интернету всегда является целью. В дополнение к этому, многие устройства не только полагаются на Интернет, но и вся их экосистема управляется из облачной службы. Например, дверной звонок не сохраняет видео локально на устройстве или локальном сервере. Вместо этого он загружает записанные видео в облачное хранилище Rings. Это подвергает частные данные риску утечки или неполадок. Когда данные хранятся локально, пользователь имеет полный контроль над ними и может принимать меры для защиты своих личных данных. Однако при использовании облачной службы возможность управления данными передается поставщику облачных вычислений [6]. Как показали недавние эксплойты, облачные сервисы уязвимы для взлома. Adobe - еще один пример, когда ненадлежащая инфраструктура и методы обеспечения безопасности привели к отказу их облачных сервисов, в результате чего было скомпрометировано 7,5 миллионов учетных записей пользователей. К сожалению, поскольку конечный пользователь не имеет большого контроля над тем, как облачные сервисы реализуют безопасность, мы должны полагаться на правительства и организации в отношении надежных методов обеспечения безопасности. Как и в случае с жизненным циклом разработки, лучший подход к созданию более безопасного облака - это регулирование и международные рамки. Многие крупные поставщики облачных услуг, такие как Amazon AWS, Microsoft Azure и Google Cloud, добились больших успехов в обеспечении безопасности своих продуктов [7]. С ростом количества атак в секторе облачных услуг эти крупные облачные провайдеры начинают демонстрировать, насколько серьезной стала их культура безопасности. Microsoft, Amazon и Google внедряют новые методы шифрования и надежное хранилище учетных данных, а теперь предлагают сертификаты соответствия государственным требованиям. Учитывая, что большинство интеллектуальных домашних устройств Интернет вещей в той или иной мере используют облако, шаги, предпринимаемые этими поставщиками, помогают защитить конечного пользователя.

Местные связи

Сфера, которой следует уделить наибольшее внимание, - это местные связи. Поскольку для большинства устройств умного дома IoT требуется некоторое сетевое подключение, мы должны сосредоточиться на каждом аспекте локальной сети. Важно помнить, что уязвимость на одном устройстве может привести к эксплойту на другом устройстве. Например, рассмотренная ранее уязвимость Ring даст злоумышленнику пароль Wi-Fi в виде открытого текста. Затем злоумышленник может использовать этот пароль для подключения к сети и атаковать еще больше устройств. Из-за этого правила мы должны использовать подход глубокоэшелонированной защиты. Мы можем добиться этого, используя разные методы безопасности на разных уровнях сети, как артишок. Реализуя несколько уровней безопасности, мы снижаем вероятность существования единой точки уязвимости.

Маршрутизатор - это сердце сети. Здесь мы можем реализовать максимальную безопасность. Согласно Symantec, маршрутизаторы являются наиболее целевыми устройствами. Первым шагом к защите маршрутизатора является изменение пароля и имени пользователя по умолчанию. Любой опытный хакер попытается войти в маршрутизатор с учетными данными по умолчанию. Следующим важным шагом является обновление прошивки роутера. Это будет отличаться для каждого устройства, но никогда не должен быть отложенным.

После того, как базовая безопасность маршрутизатора установлена, мы должны обратиться к сети. Рекомендуется размещать все устройства умного дома IoT в их собственной виртуальной частной сети, а не в vlan. Vlan - это сеть, созданная программно, которая позволяет логически разделить отдельные vlan.

Полученные результаты

На рисунке 1 ниже мы видим, что сеть слева содержит все устройства в одной сети, в то время как сеть справа имеет устройства IoT, изолированные в их собственной сети, называемой Vlan 10, и всеми другими устройствами в другой сети, называемой Vlan 20. Причина, по которой изоляция vlan является надежной мерой безопасности, заключается в том, что она дает пользователю возможность создавать собственные правила брандмауэра, которые могут либо блокировать, либо разрешать определенный трафик.
Многие устройства IoT представляют собой маломощные продукты на основе датчиков, которые не имеют возможности обновлять внутреннее микропрограммное обеспечение. Некоторые примеры этих устройств включают дверные замки, датчики температуры, датчики открытия или закрытия дверей и окон, датчики обнаружения движения, датчики присутствия, датчики влажности, датчики наводнения и датчики дыма или угарного газа. Эти устройства обычно используют беспроводные технологии, отличные от Wi-Fi. Наиболее широко используемые беспроводные протоколы для этих устройств - Zwave и Zigbee. Эти два протокола работают одинаково. Они создают ячеистую сеть между всеми устройствами. Каждое устройство будет подключаться к нескольким другим устройствам в пределах нескольких футов. Всегда есть центральный концентратор, к которому ячеистая сеть подключается обратно [7]. Затем этот концентратор подключается либо к сети Wi-Fi по беспроводной сети, либо через проводную сеть Ethernet. Самыми популярными устройствами, использующими Zigbee, являются Philips Hue Smart Lights, а наиболее часто используемым концентратором Zwave является Samsung Smartthings. Для нормальной работы концентраторам обеих этих платформ требуется постоянное подключение к Интернету.

И в Zwave, и в Zigbee есть множество уязвимостей. Первая версия Zwave, поколение 1, отправляла весь сетевой трафик в незашифрованном виде. Злоумышленник с недорогим считыванием Zwave может перехватить беспроводной сигнал, посланный на дверной замок, и сохранить его на потом [8]. Это была известная проблема в Zwave, которая помогла производителям использовать Zwave нового поколения 2, обеспечивающее шифрование. Проблема в том, что все устройства Zwave поколения 1 по-прежнему совместимы с новым стандартом. Кроме того, сложно, а иногда и невозможно узнать, к какому поколению принадлежит ваше устройство. У Zigbee также были проблемы со своим протоколом в последние годы. В феврале 2020 года NIST выпустил уязвимость CVE-2020-6007.

Злоумышленники смогли заставить лампочку Zigbee Hue мигать и выключаться. Если пользователь попытался отключить и снова подключить устройство, пытаясь решить проблему, злоумышленник может получить доступ через удаленное выполнение кода к Philips Hue Hub. Попав в концентратор, они могли переключаться на другие устройства внутри сети [8]. Хотя у конечного пользователя очень мало возможностей предотвратить любую из этих атак, реализация vlan изолирует эти устройства и предотвратит попытку злоумышленника. Они фактически застряли во влане. В качестве дополнительного уровня безопасности создание правила брандмауэра, которое блокирует весь трафик, поступающий ОТ IoT vlan, предназначенный для другого vlan, добавит еще большей безопасности.

Еще один рекомендуемый шаг - создать строгие правила брандмауэра, которые блокируют трафик, покидающий локальную сеть. Из-за необходимости в Интернете устройствам Интернета вещей часто требуется доступ к различным облачным сервисам. Например, камеры Wyze предлагают обнаружение человека. Однако для обеспечения этой функции устройства должны использовать программное обеспечение как услугу (SaaS). Служба, используемая в этом случае, находится в Китае. Можно спросить себя, разумно ли разрешить вашей камере разговаривать с сервером в Китае. По соображениям безопасности может использоваться правило брандмауэра, предназначенное для блокировки трафика от устройств Wyze, НАЗНАЧЕННЫХ для Китая. Возможность создавать мелкозернистые и подробные правила брандмауэра - важная часть правильной защиты умного дома [9].

Хотя настоятельно рекомендуется использовать виртуальные локальные сети и строгие правила брандмауэра, многие маршрутизаторы потребительского уровня просто не предлагают этих функций. Промышленность начинает осознавать потребность в этих функциях и начинает добавлять их во все больше и больше потребительских устройств [6]. Однако развертывание было медленным. Такие компании, как Asus и Google, добавляют эти функции в качестве аргументов в пользу умных домов с 2018 года, но остальной рынок все еще отстает. Из-за большого количества маршрутизаторов без этих функций мы должны найти способы реализовать безопасность в наших умных домах без помощи маршрутизатора.

Устройства

Самым важным аспектом умного дома являются сами устройства. Хотя каждое устройство будет иметь уязвимости в системе безопасности, мы можем предпринять шаги для защиты наших сетей. Самое главное, чтобы не было локации. Популярным способом доступа злоумышленников к частям умного дома является устройство на открытом воздухе. Дверные звонки, камеры Интернета вещей, уличное освещение Интернета вещей и даже автомобили могут подключаться к внутренней сети. По возможности крайне важно хранить эти устройства в недоступных местах. Следующий шаг - сосредоточиться на WiFi. Wi-Fi - первая цель любой атаки на умный дом. Пароль Wi-Fi должен быть очень надежным и совпадать с любым другим паролем. Другой способ обеспечения безопасности - по возможности использовать двухфакторную аутентификацию, особенно с облачными учетными записями умного дома, такими как Google, Ring, Amazon, Philips Hue и Nest. Двухфакторная аутентификация обеспечивает дополнительную безопасность, требуя от пользователя использования второй формы аутентификации. Это может быть реализовано различными способами: от шести до восьми цифр отправляется на телефон пользователя в виде sms-сообщения.

Обсуждение и вывод

Информационные технологии меняют наш образ жизни и работу на протяжении десятилетий. Сегодня одно из самых значительных технологических изменений произошло с устройствами Интернет вещей и их внедрением в умные дома. Умные дома становятся все более популярными, чем когда-либо, и безопасность должна быть в авангарде этого роста. Шаги, изложенные в этом документе, являются одними из первых шагов, которые следует предпринять для повышения безопасности современного умного дома. Эти шаги включали надежную безопасность в жизненном цикле разработки, лучшую безопасность в облаке и в локальной сети, надежные методы обеспечения безопасности домашней сети, включая vlan, и улучшенные методы Wi-Fi вместе с двухфакторной аутентификацией. Эти шаги являются только первой линией защиты, и следует использовать несколько уровней. Будущее динамично, и технологии будут продолжать меняться. В связи с этим рекомендуется, чтобы пользователи с умными домами также были в курсе своих знаний в области информационной безопасности.