- •От издательства
- •О техническом обозревателе
- •О соавторах
- •Об авторах
- •Вступительное слово
- •Благодарности
- •Предисловие
- •Почему важна защита интернета вещей?
- •Чем защита интернета вещей отличается от традиционной ИТ-защиты?
- •Законы хакинга интернета вещей
- •Заключение
- •Моделирование угроз для интернета вещей
- •Схема моделирования угроз
- •Определение архитектуры
- •Разбивка архитектуры на компоненты
- •Выявление угроз
- •Использование деревьев атак для обнаружения угроз
- •Распространенные угрозы интернета вещей
- •Атаки с подавлением сигнала
- •Атаки с воспроизведением
- •Атаки со взломом настроек
- •Клонирование узла
- •Заключение
- •Пассивная разведка
- •Физический или аппаратный уровень
- •Периферийные интерфейсы
- •Среда загрузки
- •Блокировки
- •Предотвращение и обнаружение несанкционированного доступа
- •Прошивка
- •Интерфейсы отладки
- •Физическая устойчивость
- •Разведка
- •Атаки на сетевой протокол и службы
- •Тестирование беспроводного протокола
- •Оценка веб-приложений
- •Картирование приложений
- •Элементы управления на стороне клиента
- •Аутентификация
- •Управление сеансом
- •Проверка ввода
- •Логические ошибки
- •Сервер приложений
- •Исследование конфигурации хоста
- •Учетные записи пользователей
- •Привилегии учетной записи
- •Уровни патчей
- •Удаленное обслуживание
- •Управление доступом к файловой системе
- •Шифрование данных
- •Неверная конфигурация сервера
- •Мобильное приложение и облачное тестирование
- •Заключение
- •4. Оценка сети
- •Переход в сеть IoT
- •VLAN и сетевые коммутаторы
- •Спуфинг коммутатора
- •Двойное тегирование
- •Имитация устройств VoIP
- •Идентификация устройств IoT в сети
- •Обнаружение паролей службами снятия отпечатков
- •Атаки MQTT
- •Настройка тестовой среды
- •Написание модуля MQTT Authentication-Cracking в Ncrack
- •Тестирование модуля Ncrack на соответствие MQTT
- •Заключение
- •5. Анализ сетевых протоколов
- •Проверка сетевых протоколов
- •Сбор информации
- •Анализ
- •Создание прототипов и разработка инструментов
- •Работа с Lua
- •Общие сведения о протоколе DICOM
- •Генерация трафика DICOM
- •Включение Lua в Wireshark
- •Определение диссектора
- •Определение основной функции диссектора
- •Завершение диссектора
- •Создание диссектора C-ECHO
- •Начальная загрузка данных функции диссектора
- •Анализ полей переменной длины
- •Тестирование диссектора
- •Разработка сканера служб DICOM для механизма сценариев Nmap
- •Написание библиотеки сценариев Nmap для DICOM
- •Коды и константы DICOM
- •Написание функций создания и уничтожения сокетов
- •Создание заголовков пакетов DICOM
- •Написание запросов контекстов сообщений A-ASSOCIATE
- •Чтение аргументов скрипта в движке сценариев Nmap
- •Определение структуры запроса A-ASSOCIATE
- •Анализ ответов A-ASSOCIATE
- •Создание окончательного сценария
- •Заключение
- •6. Использование сети с нулевой конфигурацией
- •Использование UPnP
- •Стек UPnP
- •Распространенные уязвимости UPnP
- •Злоупотребление UPnP через интерфейсы WAN
- •Другие атаки UPnP
- •Использование mDNS и DNS-SD
- •Как работает mDNS
- •Как работает DNS-SD
- •Проведение разведки с помощью mDNS и DNS-SD
- •Злоупотребление на этапе проверки mDNS
- •Атаки «человек посередине» на mDNS и DNS-SD
- •Использование WS-Discovery
- •Как работает WS-Discovery
- •Подделка камер в вашей сети
- •Создание атак WS-Discovery
- •Заключение
- •UART
- •Аппаратные средства для связи с UART
- •Как найти порты UART
- •Определение скорости передачи UART
- •JTAG и SWD
- •JTAG
- •Как работает SWD
- •Аппаратные средства для взаимодействия с JTAG и SWD
- •Идентификация контактов JTAG
- •Взлом устройства с помощью UART и SWD
- •Целевое устройство STM32F103C8T6 (Black Pill)
- •Настройка среды отладки
- •Кодирование целевой программы на Arduino
- •Отладка целевого устройства
- •Заключение
- •Как работает SPI
- •Как работает I2C
- •Настройка архитектуры шины I2C типа «контроллер–периферия»
- •Заключение
- •9. Взлом прошивки
- •Прошивка и операционные системы
- •Получение доступа к микропрограмме
- •Взлом маршрутизатора Wi-Fi
- •Извлечение файловой системы
- •Статический анализ содержимого файловой системы
- •Эмуляция прошивки
- •Динамический анализ
- •Внедрение бэкдора в прошивку
- •Нацеливание на механизмы обновления микропрограмм
- •Компиляция и установка
- •Код клиента
- •Запуск службы обновления
- •Уязвимости служб обновления микропрограмм
- •Заключение
- •10. Радио ближнего действия: взлом rFID
- •Радиочастотные диапазоны
- •Пассивные и активные технологии RFID
- •Структура меток RFID
- •Низкочастотные метки RFID
- •Высокочастотные RFID-метки
- •Настройка Proxmark3
- •Обновление Proxmark3
- •Клонирование низкочастотных меток
- •Клонирование высокочастотных меток
- •Имитация RFID-метки
- •Изменение содержимого RFID-меток
- •Команды RAW для небрендированных или некоммерческих RFID-тегов
- •Подслушивание обмена данными между меткой и считывателем
- •Извлечение ключа сектора из перехваченного трафика
- •Атака путем подделки RFID
- •Автоматизация RFID-атак с помощью механизма скриптов Proxmark3
- •Пользовательские сценарии использования RFID-фаззинга
- •Заключение
- •11. Bluetooth Low Energy (BLE)
- •Как работает BLE
- •Необходимое оборудование BLE
- •BlueZ
- •Настройка интерфейсов BLE
- •Обнаружение устройств и перечисление характеристик
- •GATTTool
- •Bettercap
- •Взлом BLE
- •Настройка BLE CTF Infinity
- •Приступаем к работе
- •Заключение
- •12. Радиоканалы средней дальности: взлом Wi-Fi
- •Как работает Wi-Fi
- •Атаки Wi-Fi на беспроводные клиенты
- •Деаутентификация и атаки «отказ в обслуживании»
- •Атаки на Wi-Fi путем подключения
- •Wi-Fi Direct
- •Атаки на точки доступа Wi-Fi
- •Взлом WPA/WPA2
- •Взлом WPA/WPA2 Enterprise для сбора учетных данных
- •Методология тестирования
- •Заключение
- •13. Радио дальнего действия: LPWAN
- •Захват трафика LoRa
- •Настройка платы разработки Heltec LoRa 32
- •Настройка LoStik
- •Превращаем USB-устройство CatWAN в сниффер LoRa
- •Декодирование протокола LoRaWAN
- •Формат пакета LoRaWAN
- •Присоединение к сетям LoRaWAN
- •Атаки на LoRaWAN
- •Атаки с заменой битов
- •Генерация ключей и управление ими
- •Атаки воспроизведения
- •Подслушивание
- •Подмена ACK
- •Атаки, специфичные для приложений
- •Заключение
- •14. Взлом мобильных приложений
- •Разбивка архитектуры на компоненты
- •Выявление угроз
- •Защита данных и зашифрованная файловая система
- •Подписи приложений
- •Аутентификация пользователя
- •Управление изолированными аппаратными компонентами и ключами
- •Проверенная и безопасная загрузка
- •Анализ приложений iOS
- •Подготовка среды тестирования
- •Статический анализ
- •Динамический анализ
- •Атаки путем инъекции
- •Хранилище связки ключей
- •Реверс-инжиниринг двоичного кода
- •Перехват и изучение сетевого трафика
- •Анализ приложений Android
- •Подготовка тестовой среды
- •Извлечение файла APK
- •Статический анализ
- •Обратная конвертация двоичных исполняемых файлов
- •Динамический анализ
- •Перехват и анализ сетевого трафика
- •Утечки по побочным каналам
- •Заключение
- •15. Взлом умного дома
- •Физический доступ в здание
- •Клонирование RFID-метки умного дверного замка
- •Глушение беспроводной сигнализации
- •Воспроизведение потока с IP-камеры
- •Общие сведения о протоколах потоковой передачи
- •Анализ сетевого трафика IP-камеры
- •Извлечение видеопотока
- •Атака на умную беговую дорожку
- •Перехват управления интеллектуальной беговой дорожкой на базе Android
- •Заключение
- •Инструменты для взлома интернета вещей
- •Предметный указатель
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
моделирование угроз, изоляция компонентов, – обо всем этом вы |
|
|
to |
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
m |
|||
|
w Click |
|
|
|
|
|
|
||||
|
w |
|
|
|
|
|
|
|
|
|
|
прочтете в книге. |
|
w |
|
df-x chan |
|
o |
|
||||
|
. |
.c |
|
||||||||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
|
e |
|
Обратите внимание на то, что вышеприведенные варианты не яв- ляются взаимоисключающими – рынок интернета вещей может под- держивать все три сценария.
Чем защита интернета вещей отличается от традиционной ИТ-защиты?
Технология интернета вещей имеет ряд ключевых отличий от более привычных нам информационных технологий (ИТ). Движение I Am The Cavalry,глобальная гражданская инициатива по защите научного сообщества, сравнивает то и другое на научной основе, и результаты этого сопоставления мы приведем ниже.
Последствия от ошибок в защите интернета вещей в ряде случаев могут повлечь гибель людей. Кроме того, они могут подорвать репу- тацию компании или целой отрасли,атакже веру вто,что правитель- ство способно защититьграждан методом контроля и регулирования. Например, атака WannaCry, прерывающая обслуживание медучреж- дений на несколько дней, угрожает жизни пациентов, для которых важен строгий график приема лекарств, а также предрасположенных к инсульту или инфаркту.
Злоумышленники, совершающие атаки, руководствуются разными мотивами, преследуют разные цели, используют неоднородные ме- тоды и возможности. Некоторые не стремятся поставить под угрозу жизньиздоровьелюдей,другие,напротив,охотнокэтомуприбегают. Так, больницы часто подвергаются атакам с целью получения выку- па, потому что потенциальный вред пациентам увеличивает вероят- ность и скорость выплат.
Техническиепараметрыустройствинтернетавещей,включаясисте- му защиты, создают ограничения, которых нет у обычного компью- терного оборудования. Например, размер и мощность кардиостиму- лятора не позволяют применять подходы классической ИТ-защиты, рассчитанные на более крупные и мощные устройства.
Устройства интернета вещей часто действуют в специфическом контексте и окружении, в частности в быту, где ими распоряжаются люди, не обладающие знаниями или ресурсами, необходимыми для надежного хранения и эксплуатации. Вряд ли можно ожидать от во- дителя автомобиля с интеллектуальным управлением самостоятель- ного обновления системы, например установки антивируса. Также маловероятно, что рядовой потребитель сможет оперативно и гра- мотно отреагировать на возникшую проблему безопасности . Но мы ожидаем подобных действий от предприятия.
Экономически производство интеллектуального оборудования стремится к максимальному удешевлению самих устройств и их ком- понентов, в результате чего последующее добавление средств защи- ты представляется затратным.Многие такие устройства нацелены на
30 Глава 1
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
покупателей с ограниченным бюджетом, у которых к тому же отсут- |
|
|
|
|
|
m |
||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
ствуетопытв выборе и настройке подобнойтехники.Крометого,расd-f-x chan |
.c |
|
||||||||
|
. |
|
|
|
|
|
|
|||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
e |
|
ходы, обусловленные уязвимостью устройств, часто несут не те, кто непосредственно ими пользуется. Например, ботнет Mirai восполь- зовался стандартными паролями прошивки – большинство пользо- вателей не догадывается, что нужно сменить пароль, установленный производителем,илинезнают,какэтосделать!Miraiобошелсяэконо- мике Соединенных Штатов в миллиардыдолларов,выбрав в качестве мишени стороннего поставщика DNS,который сам не оперировал ни одним из устройств, пострадавших от атаки.
Времяпроектирования,разработки,внедрения,эксплуатацииивы- вода из эксплуатации устройств часто измеряется десятилетиями. Время отклика также может возрастать в зависимости от параметров устройства, контекста и рабочего окружения. Например, часто ожи- дается, что интернет-управляемое оборудование на электростанции прослужит без замены более 20 лет. Но атаки на украинского постав- щика электроэнергии вызвали сбои в работе системы через несколь- ко секунд после того, как злоумышленники перехватили управление инфраструктурой предприятия.
В чем особенностьвзлома интернета вещей?
Поскольку безопасность интернета вещей существенно отличается от безопасности в сфере ИТ, для взлома систем интернета вещей тре- буются другие методы. Такие системы обычно включают отдельные устройства и датчики, мобильные приложения, облачную инфра- структуру и сетевые протоколы связи. К числу последних относятся протоколы сетевого стека TCP/IP (например, mDNS, DNS-SD, UPnP, WS-Discovery и DICOM), а также протоколы, используемые в радио- системах ближнего действия (например, NFC, RFID, Bluetooth и BLE), среднего радиуса действия (например, Wi-Fi, Wi-Fi Direct и Zigbee)
идальнего действия (например, LoRa, LoRaWAN и Sigfox).
Вотличие от традиционных тестов безопасности тестирование безопасности интернета вещей подразумевает проверку и зачастую разборку оборудования, работу с сетевыми протоколами, обычно не встречающимися в других средах, анализ управления устройством через мобильные приложения и изучение взаимодействия устройств с веб-службами,размещенными в облаке,через API-интерфейсы.Все эти частности будут обсуждаться в других главах.
Дляпримерарассмотримумныйдвернойзамок.Нарис.1.1изобра- жена стандартная схема умных запирающих устройств.Умный замок управляется с мобильного приложения потребителя через Bluetooth с низким энергопотреблением (Bluetooth Low Energy, BLE), и прило- жение обменивается данными с серверами умного замка в облаке (или, как иногда говорят, с чужим компьютером), используя API, ра- ботающий по протоколу HTTPS.В этой схеме умный замок зависитот мобильного устройства пользователя с выходом в интернет, который обеспечивает прием любых сообщений от облачного сервера.
Безопасность интернета вещей 31
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Облачный
сервер
(HTTPS) |
Интернет |
API |
|
Bluetooth с низким энергопотреблением |
|
Мобильное |
Умный замок |
приложение |
|
Рис.1.1.Система «умный замок»
Все три компонента (замок, мобильное приложение и облако) вза- имодействуют и полагаются друг на друга, создавая систему интер- нета вещей, предоставляющую широкое поле для атак. Представьте, чтопроизойдет,есливыаннулируетецифровойключдлягостяAirbnb с помощью этой умной системы блокировки.Отимени владельца по- мещенияиустройства«умныйзамок»,мобильноеприложениеможет отправитьв облако сообщение,отменяющее ключ гостя.Естественно, совершая это действие, вам необязательно находиться рядом с запи- раемым помещением и замком. После того как на сервер поступа- ет сигнал об отмене, сервер отправляет умному замку специальное сообщение для обновления списка контроля доступа (Access Control List, ACL). Если злоумышленник переключит свой телефон в режим авиаполета, то умный замок не сможет использовать его в качестве ретрансляторадля получения этого обновления с сервера и предоста- вит доступ к вашей квартире.
Простая атака, описанная выше – обход аннулирования, – это на- глядный пример уязвимости, с которой вы можете столкнуться при хакинге интернета вещей. Ограничения, обусловленные использо- ванием небольших и недорогих устройств с низким энергопотребле- нием, еще больше повышают уязвимость этих систем. Так, вместо использования криптографии с открытым ключом, которая требует значительных ресурсов,устройства интернета вещей обычно полага- ютсятолько на симметричные ключи для шифрования своих каналов связи. Эти криптографические ключи зачастую неуникальны и за- программированы в прошивке или оборудовании, благодаря чему злоумышленники могут извлечь их, а затем повторно использовать на других устройствах.
Методики,стандарты и инструкции
Традиционный подход к решению проблем безопасности заключа- ется в реализации стандартов. За последние несколько лет люди пы- тались решать проблемы безопасности интернета вещей, применяя
32 Глава 1
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
множество методик, правил и других документов. Хотя стандарты |
|
|
|
|
|
m |
||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
предназначены для консолидации отраслей вокруг общепринятыхdf-x chan |
.c |
|
||||||||
|
. |
|
|
|
|
|
|
|||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
e |
|
передовых практик, обилие регламентирующих документов создает раздробленную картину, вызывая разногласия по поводу того, что
икак делать.Но мы можем извлечь большую пользу из рассмотрения различныхстандартовиметодик,дажееслипризнаем,чтонетедино- го мнения о наилучшем способе защиты IoT-устройств.
Во-первых, разграничим документы, касающиеся внутреннего устройства,и документы,определяющие функционал.Эти два аспек- та взаимосвязаны, поскольку техническая оснащенность расширяет возможности пользователей в плане безопасности . И напротив, то, что в конструкции устройства не заложено, ограничивает функци- онал: например, исключает безопасное обновление программно- го обеспечения, надежность предоставляемых данных, изоляцию
исегментацию в пределах устройства, своевременные оповещения осбоях.Инструкции,предоставляемыепроизводителями,отраслевы- ми учреждениями или государственными органами, могут сочетать в себе оба типа пояснительных документов.
Во-вторых,проведемразличиемеждуметодическимирекомендаци- ями и стандартами. Первые регламентируют категории задач, а вто- рые–процессыиспецификациидлявыполненияэтихзадач.Тоидру- гое важно, но методические материалы более актуальны и широко применимы, поскольку стандарты безопасности быстро устаревают
исфера их действия зачастую ограничена. В то же время некоторые стандарты чрезвычайно полезны и определяют основные компонен- ты технологии интернета вещей, например, для взаимодействия, та- киекакIPv4иWi-Fi.Сочетаниеметодикистандартовможетпривести к эффективному управлению технической инфраструктурой.
Внастоящей книге мы по мере необходимости будем ссылаться на методики и стандарты, чтобы предоставить разработчикам и поль- зователям инструкции по устранению возможных проблем в работе описываемых нами инструментов,технологий и процессов. Вот при- меры стандартов, инструкций и методических материалов:
zzстандарты. Европейский институт телекоммуникационных стандартов (European Telecommunications Standards Institute, ETSI), основанный в 1988 году, ежегодно выпускает более 2000 стандартов. Его техническая спецификация по кибербезопас ности интернета вещей содержит условия разработки безопас- ных IoT-устройств.Национальный институт стандартов итехно-
логий США (National Institute of Standards and Technology, NIST)
и Международная организация по стандартизации (International Organization for Standardization, ISO) публикуют ряд стандартов,
которые поддерживают защиту устройств интернета вещей;
zzрекомендательные материалы. В международное массовое движение I Am The Cavalry (основано в 2013 году) входят участ- ники сообщества исследователей безопасности . Разработанная им Клятва Гиппократа для интеллектуальных медицинских
Безопасность интернета вещей 33
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
|
X |
|
|
|
|
|
|||
|
|
|
- |
|
|
|
|
|
d |
|
||
|
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
|||
|
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
BUY |
|
|
|||
устройств (рис. 1.2) описывает цели и возможности проекти- |
|
|
|
to |
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
m |
|||
|
w Click |
|
|
|
|
|
|
|||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
df-x chan |
|
o |
|
|||||
рования и разработки медицинского оборудования. Многие из |
. |
.c |
|
|||||||||
|
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
|
|
e |
|
|
изложенных здесь принципов были включены в нормативные |
|
|
|
|
|
|
|
|
|
|
||
критерии Управления по санитарному надзору за качеством пи- |
|
|
|
|
|
|
|
|
|
|
||
щевых продуктов и медикаментов для одобрения медицинских |
|
|
|
|
|
|
|
|
|
|
||
изделий. Среди других методик – методические рекомендации |
|
|
|
|
|
|
|
|
|
|
||
по безопасности в киберпространстве Национального института |
|
|
|
|
|
|
|
|
|
|
||
стандартов и технологий США, применимые в том числе к вла- |
|
|
|
|
|
|
|
|
|
|
||
дению и эксплуатации IoT-устройств,рекомендации по безопас |
|
|
|
|
|
|
|
|
|
|
||
ности интернета вещей Cisco и методика контроля безопасности |
|
|
|
|
|
|
|
|
|
|
||
интернета вещей (IoT Security Controls Framework) Альянса об- |
|
|
|
|
|
|
|
|
|
|
||
лачной безопасности |
(Cloud Security Alliance); |
|
|
|
|
|
|
|
|
|
|
|
Клятва Гиппократа
Для подключенных медицинскихустройств
Все системы ломаются.Что вы готовы предпринятьпротив этого?
Исходная безопасность–предвидетьи избегатьнеполадки Сотрудничество с партнерами–привлекатьсоюзников к борьбе с неполадками Сбор доказательств –наблюдатьи извлекатьуроки из неполадок Устойчивостьи сдерживание –предотвращатькаскадные отказы Обновления кибербезопасности –незамедлительно устранятьошибки
Связьи рабочее сотрудничество
Исследователи |
Пациенты Производители |
Руководство Страховщики |
Врачебный |
Организации |
Поставщики |
Правительственные |
безопасности |
устройств |
и плательщики |
персонал |
стандартизации |
медицинских |
организации |
|
|
|
|
|
услуг |
|
https://iamthecavalry.org/oath
Рис.1.2.Клятва Гиппократа для интеллектуальных медицинских устройств, методические рекомендации по использованию интернета вещей
zzинструкции и справочные материалы. Открытый проект безопасности веб-приложений (The Open Web Application Se- curity Project, OWASP), запущенный в 2001 году, вышел далеко за рамки деятельности одноименной организации. Его списки «топ-10» стали мощным подспорьем для разработчиков про- граммного обеспечения и отдела ИТ-закупок и используются для повышения уровня безопасности в различных проектах. В 2014 году был опубликован первый список «топ-10», отно- сящийся к сегменту интернета вещей (рис. 1.3). Последняя его версия (на момент написания статьи) приходится на 2018 год.
34 Глава 1
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
10 главных рисков интернета вещей по версии
Слабые,предсказуемые или жестко закодированные пароли
Использование общеизвестных или неизменяемых учетных записей, включая бэкдоры в прошивке или ПО, открывающие доступ к развернутым системам
Небезопасные сетевые службы
Ненужные или небезопасные сетевые службы на устройстве, особенно доступные извне, ставящие под угрозу конфиденциальность или доступность информации или допускающие удаленное управление
Небезопасные интерфейсы инфраструктуры
Небезопасные веб-интерфейсы, серверные API, облачные или мобильные интерфейсы в инфраструктуре за пределами устройства. Отсутствие аутентификации/ авторизации и шифрования, а также отсутствие фильтрации ввода и вывода
Блокировка механизма безопасного обновления
Невозможность безопасно обновить устройство. Сюда входят отсутствие проверки прошивки на устройстве, отсутствие шифрования при передаче, отсутствие механизмов защиты от отката и уведомлений об изменениях безопасности из-за обновлений
Использование небезопасных илиустаревших компонентов
Открывает несанкционированный доступ посторонних лиц к зашифрованным материалам. Включает неправильную настройку среды ОС, использование незащищенных программных или аппаратных компонентов сторонних поставщиков
Недостаточная защита персональных данных
Персональная информация пользователя, используемая небезопасно, ненадлежащим образом или без разрешения
Небезопасные передача и хранение данных
Персональная информация пользователя, хранящаяся на устройстве или в инфраструктуре, используется небезопасно или ненадлежащим образом
Отсутствие менеджмента безопасности
Отсутствие контроля безопасности устройств, находящихся в промышленной эксплуатации, включая мониторинг систем и средства реагирования на вторжение
Небезопасные настройки поумолчанию
Устройства или системы, поставляемые с небезопасными настройками по умолчанию, в которых пользователь не может менять конфигурацию
Отсутствие физической защиты
Отсутствие физической защиты, мешающей злоумышленникам получить конфиденциальную информацию или локальный контроль над устройством
Рис.1.3.Топ-10 рисков в области интернета вещей: справочный документ Открытого проекта безопасности веб-приложений
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
Другие инструкции и справочные материалы включают в себя Базовый план Национального института стандартов и технологий США в отношении интернета вещей, ресурсы по обновлению и укреплению безопасности Национального управления по телекоммуникациям и информации США (National Telecommu-
Безопасность интернета вещей 35
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
|
|
X |
|
|
|
|
|
|||
|
|
|
|
- |
|
|
|
|
|
d |
|
||
|
|
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|||
|
|
P |
|
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
BUY |
|
|
|||
nications and Information Administration, NTIA) в отношении ин- |
|
|
|
to |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
m |
||||
|
|
w Click |
|
|
|
|
|
|
|||||
|
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
df-x chan |
|
o |
|
|||||
тернета вещей, Базовые рекомендации Европейского агентства |
. |
.c |
|
||||||||||
|
|
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
e |
|
|
по сетевой и информационной безопасности |
(European Network |
|
|
|
|
|
|
|
|
|
|
||
and Information Security Agency,ENISA) в части защиты интерне- |
|
|
|
|
|
|
|
|
|
|
|||
та вещей, Рекомендации и оценку безопасности |
интернета ве- |
|
|
|
|
|
|
|
|
|
|
||
щей Международной ассоциации глобальной системы мобиль- |
|
|
|
|
|
|
|
|
|
|
|||
ной связи (Global System for Mobile Communications’ Association, |
|
|
|
|
|
|
|
|
|
|
|||
GSMA) и Рекомендации Фонда безопасности |
интернета вещей |
|
|
|
|
|
|
|
|
|
|
||
(IoT Security Foundation). |
|
|
|
|
|
|
|
|
|
|
|
|
|
Пример: обнаружение проблемы безопасности, связанной с интернетом вещей,составление отчета и информирование
Хотя в основе своей эта книга посвящена техническим аспектам,сле- дует отметить и некоторые другие факторы,влияющие на исследова- ние безопасности интернета вещей. Эти факторы, по опыту, включа- ют компромиссы, неизбежные при раскрытии уязвимости, и то, что следует учитывать специалистам по защите, производителям, и ши- рокой общественности в этой связи. В примере ниже будет описано успешное исследование безопасности интернета вещей. Расскажем, как оно проводилось и что привело к удачному исходу.
В 2016 году Джей Рэдклифф,исследовательбезопасности ,у которо- годиагностировандиабетIтипа,обнаружилтриуязвимостивустрой- стве инсулиновой помпы Animas OneTouch Ping и сообщил об этом производителю. Работа по тестированию началась за несколько ме- сяцев до этого: он купил устройства,построилтестовую лабораторию и определил вероятные угрозы. Кроме того, Джей обратился за кон- сультацией к юристу,чтобы убедиться,что тестирование не противо- речит государственному и региональному законодательству.
Основная цель Джея заключалась в защите пациентов, поэтому он подал свой отчетв соответствии с политикой раскрытия уязвимостей производителя. По электронной почте, телефону и в личных беседах Джей обсудил технические детали, возможные последствия пробле- мы и шаги, необходимые для их устранения. Переговоры продолжа- лисьнесколькомесяцев,втечениекоторыхРэдклиффпродемонстри- ровал использование слабых мест в работе устройства и предоставил проверочный код.
Позже, узнав, что производитель не планирует внедрять какие-ли- бо технические исправления до выпуска новой модели помпы, Джей публично раскрыл информацию об уязвимости, но со следующей оговоркой: «Если кто-либо из моих детей заболеет диабетом и меди- цинский персонал порекомендует поставить им помпу, я без коле- баний выберу модель OneTouchPing, пусть она и не идеальна» – см. https://blog.rapid7.com/2016/10/04/r7-2016-07-multiple-vulnerabilities-in-ani- mas-onetouch-ping-insulin-pump/.
36 Глава 1
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
|
X |
|
|
|
|
|
|||
|
|
- |
|
|
|
|
|
d |
|
||
|
|
F |
|
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
||
|
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Джей почти год работал над тем, чтобы найти уязвимость и устра- |
|
|
|
|
|
m |
|||||
|
w Click |
|
|
|
|
|
|
||||
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
нить ее. Он должен был представить свою работу на крупной конd-f-x chan |
.c |
|
|||||||||
|
|
. |
|
|
|
|
|
|
|||
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
|
e |
|
|
ференции после того, как производитель уведомит пациентов, для |
|
|
|
|
|
|
|||||
которых это важно. Многие пациенты использовали почту как ос- |
|
|
|
|
|
|
|||||
новной источник получения информации, а почтовая рассылка была |
|
|
|
|
|
|
|||||
запланирована только после этого доклада. Джей принял непростое |
|
|
|
|
|
|
|||||
решение отменить свое выступление на конференции, чтобы паци- |
|
|
|
|
|
|
|||||
енты могли узнать о проблеме от своего врача или компании, а не из |
|
|
|
|
|
|
|||||
новостной статьи. |
|
|
|
|
|
|
|
|
|
|
|
Выможетеизвлечьрядуроковизситуаций,скоторымиимеютдело |
|
|
|
|
|
|
|||||
опытные исследователи безопасности |
,такие как Джей. |
|
|
|
|
|
|
|
|
|
|
zzОни учитывают возможную реакцию на их изыскания. Джей не только заблаговременно прояснил юридические аспекты, но и постарался, чтобы его тестирование не повредило кому-либо за пределами лаборатории. Кроме того, он позаботился о том, чтобы пациенты узнали о технических проблемах от людей, ко- торым они доверяют, что снизит тревогу и не повлечет отказ от использования технологий, спасающих жизнь.
zzОни информируют о проблеме, но не вмешиваются в процесс при-
нятия решений. Джей понял, что производитель не захотел тра- тить большие средства на обновление старых устройств и со- средоточился на создании новых продуктов, которые позволят спасти еще больше людей и облегчат их жизнь. Вместо того что- бы настаивать на исправлении старых моделей, он прислушался к мнению производителя.
zzОни подают пример. Джей, как и многие другие исследователи в области здравоохранения,наладил долгосрочные отношения с пациентами, регулирующими органами, врачами и произво- дителями. До известной степени это означало отказ от обще- ственного внимания и оплачиваемых проектов, а также необ- ходимость проявить исключительное терпение. Но результаты говорят сами за себя. Ведущие производители выпускают са- мые безопасные медицинские устройства из когда-либо суще- ствовавших,привлекая исследовательское сообщество к таким мероприятиям, как Biohacking Village на конференции DEF CON.
zzОни знают закон. Исследователям безопасности долгое время приходилось сталкиваться с обвинениями в правонарушениях. Часто это были необоснованные выпады, но в ряде случаев по- вод имелся. Притом что эксперты все еще разрабатывают стан- дартизованный язык регулирования программ по раскрытию информации и поиску уязвимостей, до судебных исков в адрес исследователей, раскрывающих информацию, дело доходило редко (если вообще доходило).
Безопасность интернета вещей 37