Число кибератак на «умные» устройства, уже ставшие привычными для россиян, возросло на 50%, подсчитали в ГК «Солар». Злоумышленники преимущественно используют чужие гаджеты для DDoS-атак на инфраструктуру организаций и предприятий. Но некоторые взломщики собирают таким образом компромат и сведения о чужой интимной жизни. Вместе с экспертами «Известия» разбирались, какие устройства потенциально могут быть «завербованы» злоумышленниками и как противостоять таким атакам.
Служат другому хозяинуЧисло попыток взлома I/O-устройств (Input/Output — англ. «ввод-вывод») в России выросло почти в полтора раза. Хакеры создают бот-сети из «умных» приборов либо для участия в нападениях на инфраструктуру организаций, либо для искусственной накрутки трафика определенных ресурсов.
«Заражение устройств для проведения DDoS-атак является самым простым и распространенным сценарием злоумышленников. После заражения устройство по команде начинает предпринимать попытки зайти на определенный узел. Пул устройств, участвующих в DDoS-атаке, и есть управляемая ботнет-сеть. Владелец IoT-гаджета даже не подозревает, в какой серьезной атаке задействована его инновационная техника», — сообщили специалисты ГК «Солар».
Ненужное вниманиеМежду тем взломы говорящих колонок, смарт-телевизоров и интеллектуальных камер открывают для преступников не только перспективы задействовать технику для атаки на тот или иной сервис. «Умные» вещи, например камеры наружного наблюдения и внутриквартирные регистраторы, вполне способны следить за своими владельцами.
— Существуют форумы и чаты, на которых обмениваются информацией об уязвимых камерах, — рассказал «Известиям» киберэксперт, пожелавший остаться неназванным. — Часть этой информации находится в открытом доступе. Люди покупают устройство и даже не пытаются сменить заводской пароль. Как итог, записи интимного характера могут оказаться, например, на сайтах для взрослых.
Еще одно устройство, которое чаще других фигурирует в скандалах с бытовой слежкой, — электронный дверной звонок. В США компания Amazon уже выплатила почти $6 млн компенсации из-за действий своего бывшего сотрудника, который удаленно подглядывал за женщинами с помощью сервиса (камеры были установлены не только у входной двери, но и в других помещениях домов).
— Роутер также нуждается в защите, так как посторонний, получив доступ к нему, не только может сесть на чужой Wi-Fi и бесплатно пользоваться сетью, но и получить информацию о том, какие сайты посещал хозяин. Технически возможен и перехват данных. Есть опасность и слежки через «умные» колонки, — говорит эксперт.
Папка на каждого потребителяСистемную работу по сбору данных о пристрастиях и привычках граждан ведут и некоторые компании, используя эту информацию для извлечения прибыли.
— Если бытовое устройство управляется через интерфейс мобильного приложения, то трафик идет через серверы вендора, — рассказал «Известиям» специалист ГК «Солар» Даниил Чернов. — Поэтому, устанавливая, например, умные камеры дома или в организации, нужно понимать, что у вендора, скорее всего, уже есть или он может получить доступ к данным, которые они фиксируют. При этом данные вендоры хранят в обезличенном и агрегированном виде. Гаджеты, которые могут записывать голос, например умные колонки или Smart-телевизоры на Android, с высокой вероятностью собирают голосовую информацию и потом таргетируют пользователя на соответствующую его интересам рекламу.
По его словам, устройства попроще — чайники, холодильники, пылесосы, управляющиеся через онлайн-сервисы, — тоже отправляют информацию, но в основном о своей работе. Например, пылесос может сообщить производителю, сколько часов он работал, а также сведения о Wi-Fi-сети, через которую он подключается.
— Но даже если устройство неспособно собирать данные, его всё равно можно заразить и превратить в бот для участия в DDoS-атаках, — предостерегает специалист.
Приемы самообороныПри управлении IoT-устройствами необходимо следовать нескольким правилам безопасности.
— Если вы покупаете умное устройство с удаленным управлением, на котором имеются логин и пароль доступа, в первую очередь необходимо сменить их с дефолтных на сложные, чтобы минимизировать риски взлома, — рассказали эксперты. — Также необходимо проверить, настроено ли автообновление, и если нет, обязательно активировать данный режим в настройках. Обновляться должно как само IoT-устройство, так и операционная система, в которой оно функционирует, а также сопряженное с умным гаджетом стороннее ПО, если такое имеется.
Сам себя раскрылВ Сети хватает онлайн-сервисов, которые бесплатно предлагают помочь провести некоторые операции, — например, собрать разрозненные изображения отснятого документа в один PDF-файл или отредактировать изображение. Эксперты призывают относиться к таким ресурсам с осторожностью.
— Пользователям очень важно понимать, что всю свою информацию они отдают добровольно, — объясняет эксперт Даниил Чернов. — Лица, обрабатывающие загруженную информацию, уже имеют к ней доступ либо очень легко могут его получить. Чаще всего хранилища фотографий как минимум используются для сбора метаданных, агрегирования чего-либо, а также в рекламных целях. Если загуглить утечки файловых хранилищ, утечки облачных хранилищ, то становится понятно, насколько часто такие утечки происходят. Поэтому загружать на такие ресурсы данные, которые не являются конфиденциальной информацией, для хранения можно. Если же это серьезные документы, фотографии личного характера, то такие вещи лучше в облака не загружать, а хранить локально в защищенном виде.
Статья найдетсяКак показывает судебная практика, бытовой слежкой занимаются и рядовые граждане. Причем не все до конца осознают, что подглядывание за личной жизнью других и хищение персональной информации наказуемо.
— В статье УК РФ о незаконном обороте специальных технических средств, предназначенных для негласного получения информации, указано, что под этими средствами подразумеваются приборы, системы, комплексы, устройства, специальные инструменты для проникновения в помещения и (или) на другие объекты, — рассказала «Известиям» член Ассоциации юристов России Мария Спиридонова. — Также к средствам относится и программное обеспечение для электронных вычислительных машин, устройств для доступа к информации, ее хранения, которым намеренно приданы свойства для обеспечения функции скрытого получения информации либо доступа к ней без ведома ее обладателя.
Там же уточняется, что не относятся к таковым техсредства, явно открытые и имеющие на себе главные органы управления, маркировочные обозначения.
— Таким образом, продажа товаров, имеющих в себе скрытые технические средства, является уголовно наказуемым деянием. При этом ст. 137 УК РФ («Нарушение неприкосновенности частной жизни») содержит состав преступления, связанного с незаконным собиранием информации о частной жизни лица, в том числе с распространением полученной такой информации, — резюмирует юрист.