• 03 октября 2023 в 06:15
  • 0
  • 0

Чужая игра: как «умные» бытовые устройства служат хакерам

Число кибератак на «умные» устройства, уже ставшие привычными для россиян, возросло на 50%, подсчитали в ГК «Солар». Злоумышленники преимущественно используют чужие гаджеты для DDoS-атак на инфраструктуру организаций и предприятий. Но некоторые взломщики собирают таким образом компромат и сведения о чужой интимной жизни. Вместе с экспертами «Известия» разбирались, какие устройства потенциально могут быть «завербованы» злоумышленниками и как противостоять таким атакам.

Служат другому хозяину

Число попыток взлома I/O-устройств (Input/Output — англ. «ввод-вывод») в России выросло почти в полтора раза. Хакеры создают бот-сети из «умных» приборов либо для участия в нападениях на инфраструктуру организаций, либо для искусственной накрутки трафика определенных ресурсов.

«Заражение устройств для проведения DDoS-атак является самым простым и распространенным сценарием злоумышленников. После заражения устройство по команде начинает предпринимать попытки зайти на определенный узел. Пул устройств, участвующих в DDoS-атаке, и есть управляемая ботнет-сеть. Владелец IoT-гаджета даже не подозревает, в какой серьезной атаке задействована его инновационная техника», — сообщили специалисты ГК «Солар».

Ненужное внимание

Между тем взломы говорящих колонок, смарт-телевизоров и интеллектуальных камер открывают для преступников не только перспективы задействовать технику для атаки на тот или иной сервис. «Умные» вещи, например камеры наружного наблюдения и внутриквартирные регистраторы, вполне способны следить за своими владельцами.

— Существуют форумы и чаты, на которых обмениваются информацией об уязвимых камерах, — рассказал «Известиям» киберэксперт, пожелавший остаться неназванным. — Часть этой информации находится в открытом доступе. Люди покупают устройство и даже не пытаются сменить заводской пароль. Как итог, записи интимного характера могут оказаться, например, на сайтах для взрослых.

Еще одно устройство, которое чаще других фигурирует в скандалах с бытовой слежкой, — электронный дверной звонок. В США компания Amazon уже выплатила почти $6 млн компенсации из-за действий своего бывшего сотрудника, который удаленно подглядывал за женщинами с помощью сервиса (камеры были установлены не только у входной двери, но и в других помещениях домов).

— Роутер также нуждается в защите, так как посторонний, получив доступ к нему, не только может сесть на чужой Wi-Fi и бесплатно пользоваться сетью, но и получить информацию о том, какие сайты посещал хозяин. Технически возможен и перехват данных. Есть опасность и слежки через «умные» колонки, — говорит эксперт.

Папка на каждого потребителя

Системную работу по сбору данных о пристрастиях и привычках граждан ведут и некоторые компании, используя эту информацию для извлечения прибыли.

— Если бытовое устройство управляется через интерфейс мобильного приложения, то трафик идет через серверы вендора, — рассказал «Известиям» специалист ГК «Солар» Даниил Чернов. — Поэтому, устанавливая, например, умные камеры дома или в организации, нужно понимать, что у вендора, скорее всего, уже есть или он может получить доступ к данным, которые они фиксируют. При этом данные вендоры хранят в обезличенном и агрегированном виде. Гаджеты, которые могут записывать голос, например умные колонки или Smart-телевизоры на Android, с высокой вероятностью собирают голосовую информацию и потом таргетируют пользователя на соответствующую его интересам рекламу.

По его словам, устройства попроще — чайники, холодильники, пылесосы, управляющиеся через онлайн-сервисы, — тоже отправляют информацию, но в основном о своей работе. Например, пылесос может сообщить производителю, сколько часов он работал, а также сведения о Wi-Fi-сети, через которую он подключается.

— Но даже если устройство неспособно собирать данные, его всё равно можно заразить и превратить в бот для участия в DDoS-атаках, — предостерегает специалист.

Приемы самообороны

При управлении IoT-устройствами необходимо следовать нескольким правилам безопасности.

— Если вы покупаете умное устройство с удаленным управлением, на котором имеются логин и пароль доступа, в первую очередь необходимо сменить их с дефолтных на сложные, чтобы минимизировать риски взлома, — рассказали эксперты. — Также необходимо проверить, настроено ли автообновление, и если нет, обязательно активировать данный режим в настройках. Обновляться должно как само IoT-устройство, так и операционная система, в которой оно функционирует, а также сопряженное с умным гаджетом стороннее ПО, если такое имеется.

Сам себя раскрыл

В Сети хватает онлайн-сервисов, которые бесплатно предлагают помочь провести некоторые операции, — например, собрать разрозненные изображения отснятого документа в один PDF-файл или отредактировать изображение. Эксперты призывают относиться к таким ресурсам с осторожностью.

— Пользователям очень важно понимать, что всю свою информацию они отдают добровольно, — объясняет эксперт Даниил Чернов. — Лица, обрабатывающие загруженную информацию, уже имеют к ней доступ либо очень легко могут его получить. Чаще всего хранилища фотографий как минимум используются для сбора метаданных, агрегирования чего-либо, а также в рекламных целях. Если загуглить утечки файловых хранилищ, утечки облачных хранилищ, то становится понятно, насколько часто такие утечки происходят. Поэтому загружать на такие ресурсы данные, которые не являются конфиденциальной информацией, для хранения можно. Если же это серьезные документы, фотографии личного характера, то такие вещи лучше в облака не загружать, а хранить локально в защищенном виде.

Статья найдется

Как показывает судебная практика, бытовой слежкой занимаются и рядовые граждане. Причем не все до конца осознают, что подглядывание за личной жизнью других и хищение персональной информации наказуемо.

— В статье УК РФ о незаконном обороте специальных технических средств, предназначенных для негласного получения информации, указано, что под этими средствами подразумеваются приборы, системы, комплексы, устройства, специальные инструменты для проникновения в помещения и (или) на другие объекты, — рассказала «Известиям» член Ассоциации юристов России Мария Спиридонова. — Также к средствам относится и программное обеспечение для электронных вычислительных машин, устройств для доступа к информации, ее хранения, которым намеренно приданы свойства для обеспечения функции скрытого получения информации либо доступа к ней без ведома ее обладателя.

Там же уточняется, что не относятся к таковым техсредства, явно открытые и имеющие на себе главные органы управления, маркировочные обозначения.

— Таким образом, продажа товаров, имеющих в себе скрытые технические средства, является уголовно наказуемым деянием. При этом ст. 137 УК РФ («Нарушение неприкосновенности частной жизни») содержит состав преступления, связанного с незаконным собиранием информации о частной жизни лица, в том числе с распространением полученной такой информации, — резюмирует юрист.


По материалам: iz.ru

Комментарии

Вам следует зарегистрироваться и войти в свой аккаунт, чтобы иметь возможность комментировать.

    Голосование
    Интересное
    O‘zbekistonda 2025-yilda CITES tomonlar konferensiyasining 20-yig‘ilishi bo‘lib o‘tadi
      20 декабря 2024 в 23:05   Узбекистан
    В Эр-Рияде обсуждён вопрос сотрудничества Таджикистана и Саудовской Аравии в сфере защиты прав человека
      21 декабря 2024 в 22:50   Таджикистан
    Садыр Жапаров выступил с обращением на третьем Народном Курултае
      20 декабря 2024 в 18:25   Кыргызстан
    Асель Чынбаева обсудила пилотирование ваучерного механизма в дошкольном образовании
      сегодня в 09:40   Кыргызстан
    Садыр Жапаров выразил соболезнования Федеральному Президенту ФРГ
      вчера в 19:10   Кыргызстан
    O‘zbekistonning janubi-sharqida ikkita yangi arxeologik yodgorlik aniqlandi
      20 декабря 2024 в 22:40   Узбекистан
    Tayson Fyuri: Usik hakamlardan Rojdestvo sovg‘asini oldi
      вчера в 17:50   Узбекистан
    Toshkentda O'zbekiston–Misr hukumatlararo qo'shma komissiyasining navbatdagi yig'ilishi bo'lib o'tadi
      вчера в 23:05   Узбекистан
    NBAning eng qimmat klublari aniqlandi
      20 декабря 2024 в 17:50   Узбекистан
    Министр энергетики и водных ресурсов Таджикистана провел встречу с делегацией Ирана
      20 декабря 2024 в 21:50   Таджикистан