«Интернет (плохих) вещей»: почему холодильник, рассылающий спам, — это действительно страшно Евгений Золотов

«Интернет (плохих) вещей»: почему холодильник, рассылающий спам, — это действительно страшно

Евгений Золотов

Опубликовано 20 января 2014

Оценка одного и того же события в ИТ обывателем и человеком посвящённым всегда различается. Но на минувших выходных можно было наблюдать, как эта разница дошла до своей крайности. Пока популярные СМИ вовсю потешались над суперзабавным, по их мнению, происшествием, люди, способные заглянуть «за фасад», встречали его же в лучшем случае невесёлой улыбкой: веселиться в такой момент — всё равно что шутить на поминках. А речь вот о чём: в кибератаках конца прошлого года замечены некоторые бытовые устройства, и в частности один холодильник. Разрешите поздравить. Началось.

Обнародовала этот факт американская security-контора Proofpoint — в отчёте, рассказывающем о первой задокументированной спам-атаке с участием устройств, классифицируемых как умная бытовая электроника. Эксперты Proofpoint насчитали около миллиона писем, разосланных в общей сложности сотней тысяч таких железяк, как беспроводные точки доступа, развлекательные домашние системы, умные телевизоры, и — барабанная дробь! — собственно холодильник. Авторы даже придумали для них название: бытовое цифровое железо, взломанное с целью хаксплуатации, они назвали thingbots — «вещеботами».

_{Это умный холодильник LG. Он здесь просто для красоты. Proofpoint не сообщает, холодильник какой фирмы использовался для рассылки спама.}

С точки зрения взломщиков, атака на умные бытовые устройства должна быть схожа с атакой на персоналки: там тоже операционные системы, тоже прикладной софт, тоже уязвимости, как и на компьютерах. Ломают их в основном благодаря конфигурационным недосмотрам (вроде оставленного умолчательным админского пароля), но уже эксплуатируют и дыры в старом софте. И говорят даже, что крякнуть умную бытовую железку легче, чем ПК: ведь никто пока ещё не озадачился вопросом защищённости таких устройств.

Говоря откровенно, в отчёте Proofpoint много нестыковок. И дело даже не в том, что компания выставляет себя этаким пионером, хоть громкие истории про взлом предметов из интернета вещей были и раньше (см. «всего-тоТелевизор, который смотрит вас»). Не понятно, как они собрали эти сенсационные данные. Не понятно, кто и каким образом подчинил своей воле столь широкий ассортимент разнотипных бытовых устройств (в конце концов, навряд ли, к примеру, в системном софте умных холодильников и роутеров есть одинаковые уязвимости). Не понятно, для чего таинственным взломщикам было тратить столько усилий ради рассылки миллиона писем (получается, по десять штук с железки?).

Proofpoint оказывает платные услуги, так что, вероятно, они просто неосторожно преувеличили имеющиеся у них данные, чтобы «засветиться». Впрочем, и бог с ними, важнее другое. Даже если вместо «ста тысяч» устройств в атаке принимало участие всего одно — тот самый холодильник, — это уже отмашка, сигнал на старт, знамение: то, чего давно ждали и боялись, наконец произошло.

Чем интернет вещей так уж сильно отличается от интернета компьютерного — с персоналками, серверами, смартфонами-планшетками в роли узлов? Всего-то парой качеств. И во-первых, бесчисленностью своих полчищ. В самом деле, давайте прикинем, сколько на Земле действующих компьютеров. Такая оценка время от времени выполняется и, в общем, сводится примерно к двум миллиардам штук, из которых один активно используется, а второй ожидает отправки на свалку. Даже если добавить к этому миллиард ежегодного продаваемых мобильных устройств, цифра получается в лучшем случае того же порядка, что и население планеты. И в этом есть смысл, ибо на кой чёрт землянам значительно больше, например, телефонов, чем пар ушей? 

И цифра эта меркнет на фоне потенциально возможного количества действующих устройств из интернета вещей. Здесь ведь не только уже пошедшие в серию умные ТВ, холодильники или развлекательные центры. Здесь и камеры наблюдения, телеприставки, микроволновки, термостаты и датчики дыма (каких-нибудьхелло, Nest!), духовки, пылесосы, подключенные к Сети автомобили и разнообразные железяки для бизнеса, вроде умных полок для складов, уже используемых, например, Amazon. К концу десятилетия IDC обещает 200 миллиардов подключенных устройств такого рода. И даже если они говорят о немного других вещах (учитывают обделённые интеллектом сенсоры) или ошибаются (а в таких прогнозах ошибка обычно велика: мы плохо предсказываем редкие события, феномен же интернета вещей уникален), речь всё равно идёт о количестве устройств на порядок или два большем, чем в интернете компьютерном.

Качество номер два — это неизбежная техническая устарелость основной массы умных бытовых устройств. Не мне вам объяснять, что устройства цифровые и просто электронные в эксплуатации различаются принципиально: второе (возьмите классическую стереосистему) способно работать десятилетиями, не требуя обслуживания, первое же устареет за пять лет, да и в течение этого срока должно не раз обновлять прошивку.

Устройства в интернете вещей будут цифровыми, вот только обновлять их, конечно же, никто не станет. Ведь средний срок службы смартфона — меньше двух лет, персоналки — ближе к пяти, но уже микроволновки — десятилетие, а среднестатистический холодильник работает почти два десятка лет! И не нужно питать иллюзий: сегодня даже на двухлетней давности смартфон, как правило, уже невозможно поставить современную версию операционной системы: цифровые продукты обречены доживать свой короткий век без исправлений и «заплаток», с теми слабостями, которые в них обнаружились. Представьте, во что превратится тот же умный холодильник через десять лет! Умные вещи станут рассадниками заразы и сущим проклятием для окружающих.

А теперь совместите первое и второе. В ближайшие пять–десять лет — и скорее раньше, чем позже — мы получим под своим боком слабоуправляемую неохватную массу цифрового железа, способного участвовать во всех видах вредоносной интернет-активности, от DDoS-атак и рассылки спама до вирусных эпидемий и слежки за хозяевами. На антивирусы надежда слабая: они и компьютеры-то защитить не в состоянии, которых всего три разновидности, что уж говорить про бесчисленные типы умных бытовых устройств? Надеяться на производителей вообще не приходится: никому из ни на фиг не нужно поддерживать давно снятый с производства продукт, проданный, скажем, партией в сотню тысяч экземпляров.

Нам бы стоило готовиться к невиданному всплеску кибератак, да только как это сделать? А ведь захлебнёмся!

В статье использованы иллюстрации LG, ituPictures, Tourist_on_earth, Fred Mancosu.

К оглавлению