От игрушки, в которой усмотрели угрозу национальной безопасности, до холодильников, сеющих вокруг себя спам и атаки фишинга, — новые невероятные угрозы демонстрируют, как обычные ИТ-уязвимости могут нанести вред и даже представлять угрозу для жизни.

Любая организация, испытавшая на себе масштабную прицельную атаку, знает, сколь дорогой ценой обходится один-единственный дефект ПО или ошибка пользователя. Но опасность может быть еще больше, когда дело касается уязвимости устройств, используемых в системах управления транспортом, или медицинского назначения. Как минимум, дефект может быть использован для мошенничества. Но на другом конце спектра — потери, которые могут быть катастрофическими. К счастью, эксперты ИТ-безопасности не оставляют без внимания эти сферы применения ИТ и всё глубже исследуют уязвимости, чтобы выявить слабые места ПО и подтолкнуть производителей устранить недоработки. В качестве примера в этой заметке собраны экстравагантные, но вполне реальные угрозы, которые могут исходить от обычных, казалось бы, вещей. 

Опасная сова

В далеком 1998 году появилась милая пушистая игрушка, мгновенно ставшая популярной благодаря умному программированию. Игрушечная сова Furby помогала учить английский. Однако у Агентства национальной безопасности США был иной взгляд на это умное чудо — NSA опасалось, что может быть раскрыта его секретная деятельность. В своей внутренней служебной рассылке Агентство указывало, что Furby может составлять угрозу безопасности, и запретило служащим приносить ее в офис, так как сова начнет повторять секретную информацию, «услышанную» в стенах NSA. Об этом рассказала BBC, сославшись на анонимный источник.

Козни домовых

Недавно один из экспертов ИБ продемонстрировал способ, как можно взять под контроль управление освещением, отоплением, телевизорами и стереосистемами в сотнях номеров отеля St. Regis в Шэньчжэне (Китай). Джизус Молина, независимый эксперт ИБ и бывший сотрудник Fujitsu Laboratories of America, воспользовался приложением домашней автоматизации для iPad, которое предлагается проживающим в этом пятизвездочном отеле, включив одним касанием пальца мигание ламп «Не беспокоить» в почти 250 номерах отеля. Сама система автоматизации, к которой подключается приложение, чтобы дать возможность дистанционного управления, также недостаточно защищена, говорит Молина. В результате функция автоматизации была отключена, а компания KNX Association занялась разработкой аутентификации и шифрования для этой системы.

Кардиостимулятор и дозатор инсулина в роли убийц

Атаки против встроенных миниатюрных систем, составляющих различные подсегменты Интернета вещей, также привлекают всё больше внимания специалистов по ИБ. Это могут быть устройства самого разного назначения, в том числе медицинского, и часто в них отсутствуют элементарные меры защиты. Как правило, они крошечного размера и используют одно специализированное приложение на базе версии Linux. Безопасность медицинских устройств была предметом исследования покойного Барнеби Джека, известного специалиста ИБ и уроженца Новой Зеландии, который продемонстрировал, как можно манипулировать дозатором инсулина, дистанционно вводя летальную дозу с расстояния до 91 м. Как раз перед смертью Джек должен был продемонстрировать слабость защиты, которая давала возможность злоумышленнику воздействовать на кардиостимулятор на расстоянии. Незадолго до этого такая угроза была показана в сериалах «Almost Human» («Почти человек») и «Homeland» («Чужой среди своих»).

Дорожные знаки-зомби

Хакеры охотно используют нежелание дорожных служб блокировать доступ к панелям управления дорожными знаками или, еще хуже, нежелание изменить пароль по умолчанию управляющих ими встроенных систем. Это давняя проблема, успевшая принять масштабы тяжкого преступления во многих штатах США. Самая популярная шутка хакеров — надпись «Осторожно, впереди зомби!», которая появляется на таком знаке. Это приняло уже такие масштабы, что сами федеральные органы использовали тот же образ, предложив советы по помощи в экстренных случаях. Эти пункты «зомби-готовности» опубликованы на официальном вебсайте Центров по контролю за заболеваниями и их предотвращению (Centers for Disease Control and Prevention).

Малыш под слежкой

Опасность уязвимостей в ПО и отсутствия минимальной защиты в устройствах повседневного пользования стала вполне очевидной для пары родителей из Цинциннати, шт. Огайо, которые услышали, как мужской голос прокричал в их видеомонитор, а потом пропел «Проснись, дитя!» их спящему 10-месячному ребенку. Этот случай произошел в апреле. Родители не позаботились установить обновление ПО на свое устройство, вводившее шифрование, и оставили пароль по умолчанию, сообщила NBC со ссылкой на информацию от Foscam, производителя видеомонитора.

Пожар на принтере

А вот яркая демонстрация последствий незащищенного доступа к принтерам Hewlett-Packard. Исследователи из Колумбийского университета принудительно вызвали перегрузку подогревателя чернил в принтере, так что бумага в конце концов стала бурой и начала дымиться. Об этом писал в свое время сайт MSNBC. Целью исследователей было продемонстрировать, что злоумышленник может дистанционно подключиться к принтеру и установить вредоносное ПО, которое может красть конфиденциальную информацию либо вызвать неисправность. При атаке использовалась функция удаленного обновления ПО принтера.

Представитель HP заявил, что эта функция имеет ограниченное использование и защищена от удаленных атак, так как принтеры обычно находятся за межсетевым экраном. Кроме того, принтеры HP и других производителей имеют предохранительный механизм, отключающий устройство при перегреве.

Captain Crunch и фрикеры

Джон Дрейпер, хакер-энтузиаст, а ныне известный разработчик ПО, имеет прозвище Captain Crunch. В середине 60-х годов он использовал игрушечный свисток из коробки с овсянкой «Cap’n Crunch», чтобы совершать бесплатные звонки с таксофонов. Звук, издаваемый этим свистком, в точности соответствовал по частоте тону получения доступа к сети AT&T, в которой использовался тоновый набор. Впоследствии Дрейпер создал устройство, чтобы помочь другим телефонным хакерам — их называют «фрикеры» (phreaker) — легче входить в систему; при этом использовалась ее слабость, связанная с передачей служебных сигналов в основной полосе. Дрейпер получил условный срок на пять лет за мошенничество с междугородней связью, а позднее отсидел в тюрьме за телефонное мошенничество в 70-е годы.

Атакующие холодильники?

В январе фирма Proofpoint, поставщик услуг архивирования и защиты электронной почты, объявила, что выявила целую кампанию атак, использующих холодильники, телевизоры и другие подключенные к Интернету устройства, рассылая до 750 тысяч писем спама и фишинга. Proofpoint зафиксировала рассылку по 100 тысяч писем одновременно три раза в день в период с 23 декабря 2013 г. по 6 января 2014 г.

Опубликованный пресс-релиз привлек большое внимание; в нем давалась оценка, что 25% наблюдаемого объема спама приходило от различных «умных» устройств, включая холодильники, телевизоры и маршрутизаторы домашних сетей. Однако эксперты из Symantec и других фирм ИБ говорят, что атаки могли лишь выглядеть приходящими от подключенных к Интернету бытовых устройств, а скорее всего исходили с домашнего компьютера. Трафик мог выглядеть обманчиво из-за переадресации портов, используемой в большинстве домашних роутеров, объяснили они. Proofpoint настаивает на своем.

Светофоры, которые сошли с ума

Сцена из фильма «Live Free or Die Hard» («Крепкий орешек»), где преступники манипулируют сигналами светофора, чтобы вызвать затор на дороге, вдохновила одного исследователя проверить уязвимость систем регулирования движения. Да, есть возможность таких манипуляций, заявляет Сейзар Черрудо, директор по технологии компании IOActive. Он обнаружил уязвимость в беспроводных датчиках, используемых системами регулирования движения и исчисляемых тысячами в Сиэтле, Нью-Йорке, Вашингтоне и других городах в 45 штатах США. Эти датчики внедрены в асфальт дорог по всему миру, и любой желающий может их взломать, говорит Черрудо, который выступил с презентацией на конференции DefCon в августе. Беспроводные датчики посылают свои данные открытым текстом, и нет никакого механизма аутентификации, так что система открыта для манипуляций, говорит Черрудо.

В своей ранней демонстрации он использовал подчиненный компьютер (drone), продемонстрировав, как можно эксплуатировать уязвимости в устройствах, подключенных к системам управления воздушным движением в США, Великобритании, Франции и других странах, посылая подложную информацию диспетчерам. Такая атака может иметь катастрофические последствия, сказал он, добавив, что само устройство стоит менее 100 долл.

Беззащитная оплата в метро

Перепрыгнуть через турникет, пока контролер отвлекся, — это старый, как мир, прием. Сегодня возможны новые.

Уязвимости в системе оплаты проезда в метро, используемой Управлением Massachusetts Bay Transportation Authority (MBTA), привлекли широкое внимание в 2008 году, когда дирекция попыталась не дать трем студентам MIT выступить с докладом по опубликованной ими статье с описанием слабых мест системы. Против запланированной презентации на DefCon был выдвинут иск.

Студенты смогли докопаться до устройства систем оплаты, использующих карточки с магнитной полоской и РЧ-идентификацией, воспроизвести их в лаборатории и манипулировать балансом, используя считыватель карт. В статье сообщалось, что MBTA не имела централизованной системы управления, проверяющей подлинность карт, используемых пассажирами. Второй иск против студентов в 2009 году был снят дирекцией MBTA после того, как они согласились сотрудничать с Управлением, чтобы помочь повысить защищенность системы оплаты за проезд.