Относительно всей остальной отрасли самыми быстрыми темпами развивается сегмент интернета вещей (IoT). В погоне за маркетинговой составляющей производители уделяют крайне мало внимания безопасности устройств. В результате «умные вещи» все чаще используют злоумышленники для организации мощнейших DDoS-атак и получения доступа к личным данным миллионов людей, а также чувствительной и секретной информации компаний, которые не уделяют должного внимания кибербезопасности.
Проблема глобальнее, чем кажется
Какая самая частая причина взлома IoT-устройств? «Слабый» пароль, который установил сам пользователь, или использование стандартных заводских настроек без каких-либо изменений. Это самые важные проблемы. Недостаточно надежные пароли представляют собой широко открытую дверь в любую подсеть, в которой находится такое устройство.
Небезопасные сетевые сервисы, которые находятся в прошивке устройства, – проблема номер два. С помощью уязвимостей хакер может получить доступ ко всем компьютерам в сети. Также недостаточно проработана стойкость к взлому самих веб-интерфейсов, и это создает дополнительную уязвимость.
Третий по важности недостаток большинства устройств интернета вещей – слабо защищенная система обновлений, что наряду с использованием компонентов, не прошедших сертификацию по уровню безопасности и с низким уровнем защиты сохраняемых на устройстве данных, ставит под угрозу всю сетевую инфраструктуру и личные данные пользователей.
Варианты решения проблемы
Для многих производителей устройств IoT безопасность не является приоритетом просто по той причине, что они ориентированы на рынок индивидуальных устройств, на котором низкие требования к защите данных и уровню контроля доступа являются нормой. В реальности сегмент IoT превратился в поле деятельности для хакеров. Кража личных данных, доступ к финансовым и информационным системам, внедрение вредоносного ПО – все это стало возможным из-за недостаточной защищенности таких устройств.
Единственный выход заключается в привлечении специализированных компаний, которые проведут поиск и исследование уязвимостей безопасности в существующих и готовых к серийному производству устройствах. Совместная работа производителей и компаний в сфере кибербезопасности поможет снизить количество преступлений, связанных со взломом компьютерных сетей, повысить уровень защиты конечных пользователей.
«Том Хантер» специализируется на проведении пентеста сетевой инфраструктуры и отдельных устройств. Основная задача предоставляемой услуги – поиск уязвимостей и вариантов их эксплуатации злоумышленником. В каждом отдельном случае составляются индивидуальные алгоритмы, учитывающие особенности систем заказчика, что позволяет проводить более полные и детализированные исследования.