Елена Ларина, Владимир Овчинский: Криминальный шлейф интернета вещей
Елена Ларина, Владимир Овчинский
IoT превращает цифровую реальность в сплошную связанную среду
Интернет вещей (англ. Internet of Things, IoT) в совокупности с Искусственным интеллектом (ИИ), Большими данными (БД), робототехникой и блокчейн технологией составляют суть новой промышленной революции.
Подключение большего количества «вещей» к интернету потенциально может повысить эффективность, поднять производительность, снизить количество отходов, подстегнуть экономический рост. По данным исследования Глобального института McKinsey, к 2025 году полностью интегрированный IoT позволит ежегодно увеличивать размер глобальной экономики на сумму до $ 11 трлн.
Китайские молочные фермы, например, уже подключают стада к интернету. Коровы носят ошейники с беспроводными сенсорами. Эта информация затем используется для улучшения производства молока, что помогает фермерам зарабатывать дополнительные $ 420 с каждой коровы в год и увеличивать общую годовую прибыль на 50%.
Один из руководителей китайского Huawei Technologies Кен Ху считает, что для нормальной работы подключенных к интернету энергосетей, «умных» роботов и других машин понадобятся сети нового поколения, которые будут работать быстрее и обладать еще большей мощностью.
Сети завтрашнего дня должны быть автоматизированными, самооптимизируемыми и самовосстанавливающимися. ИИ позволит поставить базовые сетевые функции на автопилот, а простые экономические соображения сделают это необходимостью. Как только Интернет вещей начнет осуществлять миллиарды подключений автомобилей, поездов, заводов и больниц, операционные затраты могут взлететь до небес, если сети не будут функционировать с минимальным вмешательством человека.
Чтобы IoT стал реальностью, властям надо будет поддержать развитие передовых сетей, способных передавать данные в более крупных объемах и быстрее. Частотный диапазон для беспроводной связи (радиоволны, с помощью которых данные невидимо перемещаются от и к подключенным устройствам) будет основой для множества цифровых услуг.
Согласно прогнозам Business Insider, умные устройства готовы влиться в каждый сегмент рынка и сделают это через пять лет – к 2023 году:
– на потребительском рынке умные устройства продолжат заполнять дома. Лампочки, колонки и бытовые приборы, которые будут управляться с помощью беспроводного подключения, дополнятся одеждой и обувью;
– для организаций умные устройства продолжат играть роль автоматизации. На офисе и производстве останутся все те же приборы, но они станут умнее и самостоятельнее, сокращая время на работу с ними;
– правительственные организации займутся стимулированием развития «умных городов». Умные камеры слежения, городские фонари и счетчики сделают борьбу с преступностью и управление коммунальными услугами эффективнее.
Термин IoT впервые применен в 1999 году. Его автор – исследователь Массачусетского технологического института Кевин Эштон. Он считал, что вскоре средства радиочастотной идентификации будут широко применяться для взаимодействия физических предметов с внешним окружением. Масштабное внедрение новой технологии началось в 2009 году.
Риски Интернета вещей
Резкое повышение связанности сетей не только обеспечивает их быстродействие и является важнейшей предпосылкой для сбора и обработки больших данных, но и резко повышает риски атак со стороны преступников, террористов и иных злоумышленников.
Не будет преувеличением сказать, что ситуационная среда для преступлений необратимо изменилась. В доцифровом мире мы могли четко различать уличную организованную преступность и высокотехнологичный криминал. В связанном цифровом мире даже незначительное преступление может неожиданно, в том числе и для преступников, привести к целому каскаду негативных последствий.
Под интернетом вещей (IoT) обычно понимаются устройства, за исключением компьютеров, ноутбуков и смартфонов, подключенные к интернету и друг к другу. Устройства IoT взаимодействуют без человека и помимо человека. IoT – масштабируемая гиперсеть, состоящая из беспроводных сетей и подключенных к ним устройств различного уровня автономности с уникально идентифицируемыми точками, которые информационно взаимодействуют между собой в обоих направлениях по IP протоколам без человеческого вмешательства.
Компания Intel – общепризнанный мировой лидер в области IoT – определяет его как «связанные через беспроводные технологии интеллектуальные устройства различного масштаба – от крошечных микросхем до исполинских машин, — которые взаимодействую друг с другом и позволяют извлечь для обработки машиночитаемые данные».
Согласно британской классификации, IoT состоит из нескольких принципиально разных, но взаимосвязанных слоев или компонентов, в том числе:
— имплантированных или подсоединенных к человеческому телу электронных устройств, передающих информацию вовне и получающих извне команды по беспроводным сетям;
-повседневных вещей с управляющими чипами, подсоединенными беспроводными сетями к внешним серверам, в том числе, предметов одежды, обуви, бытовой техники, компонентов управления домом, включая воду, электричество, охранные системы и т.п.;
— специализированных сенсорных систем видео- и иного наблюдения, подсоединенных к оптическим и беспроводным сетям. В их число входят, прежде всего, домашние, районные, коммерческие и городские системы видеонаблюдения, сенсоры аудио и термоконтроля и т.п.;
— частично или полностью автономных транспортных средств любого назначения, управляемых подключенными к двусторонним сетям программно-аппаратными устройствами;
— частично или полностью автономных производственных систем, включающих производственных роботов, частично автоматизированные линии и т.п.;
— все виды инфраструктур любого назначения, управляемых полностью или частично автоматизированными устройствами, подключенными к интернету;
— критических инфраструктур, под которыми понимаются особо важные для национальной безопасности гиперсети и сети, обеспечивающие функционирование государственных, военных и городских объектов и сетей.
Несмотря на все достоинства IoT технологий, людей по-прежнему пугают их возможности. Согласно опросу Genalto, в Великобритании около 90% пользователей не доверяют IoT устройствам или не знают, какие дополнительные плюсы они имеют по сравнению с традиционной бытовой техникой. При этом, согласно данным того же опроса, около 75% британцев хотели бы приобрести бытовую технику, с подключенными IoT технологиями. Это – общая тенденция. Население практически всех развитых стран мира уже давно отдает себе отчет в нарушении приватности и возрастании рисков, но при этом, продолжает все более активно использовать различные гаджеты. Феномен современного мира – это знание об опасностях и рисках и при этом их полное игнорирование населением и отчасти бизнесом. Больше всего респондентов опасаются утечек данных (40%), получения несанкционированного доступа сторонних организаций к личной жизни (19%) и использования IoT криминалом (16%).
Еще в 2016 г. Джеймс Клеппер – тогдашний Директор национальной разведки США – сообщил, что не может исключить «использования спецслужбами – ФБР и полицией – IoT для слежения, наблюдения, определения местоположения и сбора информации о пользователях, попавших под подозрение структур национальных безопасности».
Главные риски и опасности IoT заключены в его масштабах, тотальной связанности, темпах развёртывания и независимости от взаимодействия с людьми. IoT превращает цифровую реальность в сплошную связанную среду, где все устройства и сети взаимодействуют между собой.
Риски в значительной степени порождены тем, что IoT- устройства предназначены для повседневного пользования. Они опираются на весьма простую технологию и соответственно предусматривают лишь элементарные меры безопасности. В то же время IoT устройства с каждым годом все шире используются в критически важной национальной инфраструктуре, системах жизнеобеспечении городов и сфере медицинского обслуживания. Соответственно любое нарушение целостности этих систем может быть предельно опасно для общества.
Департамент Внутренней безопасности США в 2017 г. выявил, что еще в 2012 г. злоумышленники сумели проникнуть в систему термостатов государственного завода в Нью-Джерси, производящего ядерные компоненты, и почти пять лет находились в системе. Согласно данным компании Verizon, в 2016-2017 гг. IT сервера 15 университетов США подверглись атаке со стороны собственных торговых автоматов по продаже напитков и бутербродов, расположенных в кампусах. В Великобритании за этот же период было обнаружено более 1 000 уязвимостей в IoT устройствах, содержащихся в инсулиновых помпах, дефибрилляторах и кардиостимуляторах.
В интервью журналу Vice в конце 2016 г. создатель поисковика по IoT Shodan Джон Мэтерли рассказал, что в течение года ему, используя поисковик, удалось обнаружить уязвимости и подключиться к ускорителю элементарных частиц во Франции, многомегаваттной гидроэлектростанции в Китае, англо-американской единой сети суперкомпьютеров, объединяющей министерства энергетики двух стран, АНБ и британский Центр электронной разведки. Ему удалось выяснить, что эти уязвимости существовали на объектах в течение от 6 месяцев до 2,5 лет, и службы информационной безопасности не обнаружили за этот период уязвимостей и утечек.
Согласно публикации газеты Times три поисковых системы по IoT, в т.ч. Shodan, Censys и Thingful, в 2017 г. обнаружили в Великобритании более 500 тыс. устройств IoT, обладающих критическими уязвимостями, которые позволяют не только получать информацию с этих устройств, но и взять их под управление. Наиболее уязвимыми в Великобритании являются оснащенные IoT камеры видеонаблюдения в частном секторе, домашние системы отопления, бытовые холодильники и гаражные ворота.
ISASA (Ассоциация аудита и контроля информационных систем) недавно провела глобальный опрос о рисках IoT среди специалистов IT Англии и Уэльса. Выяснилось, что 44% отметили, что в 2016-2017 гг. в их организациях уже имели место случаи нарушения безопасности с использованием IoT устройств, 85% уверены, что это случится в ближайшие год-полтора, а 84% отметили, что наиболее опасными для частного бизнеса являются уязвимости, присущие только IoT устройствам.
Исследователи из Университета имени Бен-Гуриона (Израиль) нашли в 2018 году в IoT ошибки, которые можно использовать для того, чтобы управлять системой «умного полива» со стороны. Получив контроль над большим количеством дождевателей, злоумышленник может израсходовать запасы воды в целом городе. По оценкам авторов, 1355 захваченных разбрызгивателей хватит, чтобы опустошить стандартную водонапорную башню в течение часа, а резервуар объемом 400 тысяч кубических метров за ночь могут исчерпать 23866 устройств.
Наша зависимость от технологий растет намного быстрее, чем способность обеспечивать от них защиту при использовании криминалом и террористами. Соответственно, вне зависимости от стараний полиции и спецслужб количество и ущерб от киберпреступлений с использованием IoT будет в ближайшие годы неуклонно нарастать. Однако это – только часть проблемы. Вторая заключается в следующем. Известно, что чем больше устройств в сети, и чем более переплетены сети, тем выше риск случайных отказов, возникновения неисправностей, которые могут привести к веерным отключениям. Специалисты по информационной безопасности полагают, что на горизонте начала двадцатых годов размеры и темпы увеличения сети «интернета всего» будут столь велики, что неизбежно приведут к крупномасштабным катастрофам даже без вмешательства преступников и террористов. Это, кстати, открывает для последних дополнительные лазейки. У них возникает непреодолимый соблазн осуществить злонамеренные действия в сети, маскируя их под технические неисправности.
Производители, особенно импортеры, игнорируют ответственность перед покупателем. Например, китайский производитель игрушек никогда не будет продавать плюшевых мишек с иголками внутри, а корейский производитель автомобилей не выпустит автомобиль без тормозов. Если же на рынок поставляются плюшевые мишки с IoT или автомобили с IoT устройствами, то такая ситуация не просто вероятна, а уже имеет место в реальности. Например, из-за недостаточной информационной безопасности японских автомобилей в Великобритании в 2017 году преступной группе в составе индийских математиков и украинских программистов, действующих по заказу британских преступников, удалось перехватить управление шестью автомобилями. В результате несколько человек были убиты и получили тяжелые травмы. Автомобиль с IoT стал орудием убийства.
Существуют три ключевых триггера наращивания угроз и рисков со стороны «интернета всего» в повседневной человеческой жизнедеятельности, управлении государствами и функционировании бизнеса. Первый, о чем говорилось выше, это – темпы и масштабы наращивания IoT и в целом «интернета всего». Второй – на порядок более худшее, чем в корпоративном и потребительском интернете (привычном нам интернете людей), состояние с информационной безопасностью. Это относится как к программам, встроенным в девайсы IoT, так и к защите коммуникации девайсов с серверами обработки данных. Третий – это синхронизация устройств IoT со смартфонами, которые в свою очередь практически беззащитны перед хакерами, кибрекриминалом и террористами. Девайсы – это распахнутые настежь для деструктивных сил ворота в IoT.
Основные направления использования Интернета вещей криминалом
Эксперты США, Великобритании и ЕС выделяют несколько основных направлений использования IoT преступниками:
— использование IoT уязвимостей для вымогательства и шантажа. Развитие атак на IoT во многом напоминает историю ранних атак на классические компьютеры, сервера и гаджеты. Используются наиболее вопиющие уязвимости, и для атак применяется недорогой покупной софт. Очевидно, что в ближайшее время можно ожидать появления такого неприятного явления, как вымогательское ПО, нацеленное на IoT системы — компоненты умных домов, инфраструктуру умного города, публичного транспорта, робототехнических линий и т.п. Учитывая опыт классических IT систем, атаки с использованием вредоносных программ-вымогателей, действующих через IoT, могут быть весьма прибыльными для киберпреступников;
— использование уязвимостей IoT для промышленного шпионажа и криминальной разведки. Плачевное состояние дел с информационной безопасностью IoT открыло киберпреступникам возможность использования IoT устройств как ворот в «хорошо защищенные корпоративные, муниципальные и федеральные сети».
Наибольшим уровнем уязвимости обладают системы видеонаблюдения и как это ни парадоксально системы охраны периметра предприятия. Эти уязвимости, как правило, используются для проникновения в корпоративные системы и кражи оттуда документации, интеллектуальной собственности, файлов с юридическими и бухгалтерскими документами.
Наличие многочисленных уязвимостей в IoT устройствах делает IoT сети, соединяющие IoT устройства, желанной добычей для киберпреступников. Они превращают такие сети в распределенные зомби-компьютеры. Эти зомби-сетевые компьютеры используются для DDos атак на сайты и платформы в традиционном интернете.
— использование IoT устройств для совершения тяжких криминальных преступлений. Поскольку одной из наиболее насыщенных IoT устройствами сферой является личный транспорт, то преступники используют уязвимости IoT устройств в автомобилях для перехвата управления ими с последующим инициированием катастроф.
Главная опасность бытового IoT – это использование уязвимостей IoT вещей для проникновения в частную жизнь граждан. Согласно создателю поисковика Shodan в 2017 г. при помощи этого поисковика можно было обнаружить уязвимости у родительских видеокамер в более чем 300 тыс. британских семей, подключиться к этим камерам и наблюдать домашнюю жизнь этих семей и их взаимоотношения с детьми.
The New Times в 2018 г. опубликовала отчет о преследованиях и домашнем насилии через устройства, подключенные к интернету. Преследователи или как их еще называют абьюзеры (эмоциональный насильник) используют их не только для слежки за своими жертвами. Они меняют коды дверей, включают и выключают свет и повышают температуру термостата до невыносимого состояния. Их цель – сделать своих жертв максимально несчастными.
Стать жертвами домашнего насилия могут любые обладатели IoT устройств. Согласно статистике McKinsey, в 2017 г. в 29 млн. домов в США было хотя бы одно умное устройство. По данным WomenSY, уже несколько человек, обратившихся за помощью в эту организацию по борьбе с насилием, попали в психиатрические учреждения. Их расстройства связаны с тем, что умными устройствами в их доме кто-то манипулировал. Национальная горячая линия по борьбе с бытовым насилием сообщает: за последние 12 месяцев все больше людей звонят с параноидальными жалобами – кто-то управляет их домом. Люди теряют контроль над дверями, динамиками, термостатами, лампами и камерами.
IoT оказывает все более значительное влияние на бизнес. Наиболее широко используются устройства IoT в авиастроении, энергетики, химической промышленности и в банковском секторе, а также автомобилестроении. По состоянию на сегодняшний день именно автомобилестроение в наибольшей мере страдает от киберпреступности, связанной с IoT. В 2015 г. компания Крайслер объявила о возврате 1, 4 млн автомобилей после того, как пара хакеров продемонстрировали журналу Wired, что используя IoT устройства контроля состояния тормозов, можно удаленно взять под управление автомашины Крайслер. В 2016 г. ФБР выпустило специальное предупреждение, что через IoT устройства может быть перехвачено управление над траками и грузовиками девяти производителей.
Основные направления преступности с использованием IoT в среднесрочной перспективе. 2021-2025
Можно выделить следующие основные направления наиболее опасного использование криминалом IoT в среднесрочной перспективе:
— использование высокотехнологичного криминала в корпоративных войнах. Согласно отчету компании Gartner за 2017 г., до 25% будущих атак на предприятия в период после 2020 г. будут осуществляться через IoT устройства. «Цифровой бизнес размывает границы между виртуальным и физическим мирами. Соответственно цифровые инциденты приводят к физическому ущербу» — заявил Д.Зумерле, директор по прогнозированию в Gartner. По его мнению, в период после 2020 г. до 50% краж интеллектуальной собственности и секретных, а также конфиденциальных данных и документов из корпоративных сетей будут осуществляться хакерами, использующими для проникновения в корпоративные сети IoT. Именно IoT наряду со смартфонами станут двумя главными воротами для преступников в защищенные корпоративные сети бизнес-структур и банков;
— использование IoT для убийств и других тяжких преступлений. В цифровой среде человек будет все чаще прибегать к использованию связанных с интернетом имплантатов, а повседневная жизнь будет проходить в среде IoT. Уже в настоящее время более 3,6% американцев и 1,8% британцев, в основном имеющих кардиологические и эндокринные заболевания, носят в себе имплантаты, соединённые с интернетом (IoT). К 2020 г. доля людей с вживленными чипами возрастет как минимум до 5-7%.
В 2017 г. в Великобритании было зафиксировано два случая использования уязвимостей имплантатов для попытки убийства граждан, ими обладающих. В одном случае убийство произошло, в другом – удалось предотвратить. Полиции Лондона и Глазго по состоянию на март 2017 г. не удалось изобличить преступников, хотя у них есть неопровержимые доказательства использования IoT имплантатов для совершения убийства. Подобные уникальные случаи станут гораздо более распространенными в будущем и постепенно превратятся в повседневность, вытеснив традиционные виды убийств.
В настоящее время 70% новых продаваемых машин в ЕС и Великобритании имеют жизненно важные узлы, связанные с интернетом – IoT устройства. С 2018 г. в Великобритании начнут реализовываться электронные помощники Siri, синхронизированные с системой дистанционного управления автомобилем. Принимая во внимание, что только в прошлом году из-за уязвимостей в системе безопасности и несовершенства электронных компонентов было отозвано более 1,1 млн машин различных производителей, можно предположить, что именно автомобили станут в ближайшем будущем оружием убийства или нанесения физических травм их водителям и пассажирам.
В 2017 г. полиция города Лидса, действуя совместно со Скотланд-Ярдом, смогла раскрыть группу в составе двух программистов с Украины и трех студентов университета Лидса – граждан Великобритании, разрабатывающих софт для перехвата управления автомобилем с помощью приложения к смартфону, использующего помощник Siri. Главная опасность подобных преступлений состоит в том, что по мере роста квалификации преступников, они будут все более походить на несчастные случаи и соответственно оказываться вне полицейских расследований;
— преступления, связанные с подключенным государством на основе подмены реальности. В 2017 г. на Давосском форуме впервые был использован термин «подключенное государство». Подключенное государство – это государство, широко использующее современные ИКТ для поддержания порядка и национальной безопасности. Подключенное государство базируется на широком использовании IoT и почти всегда включает повсеместное использование биометрии, анализа данных биллинга и масштабное видеонаблюдение.
В рамках подключенного государства полиция не только активно использует данные видеонаблюдения, но и с каждым годом все больше доверяет автоматизированным системам распознавания образов на основе анализа поточного видео. Программным обеспечением систем распознавания образов являются обучаемые нейросети. В 2017 г. группа информационной безопасности корпорации Google опубликовала доклад. Из него следует, что команда программистов и инженеров Google смогла найти уязвимости во всех основных наиболее эффективных системах распознавания образов, в том числе выпущенных Google, Amazon и Apple. Удалось экспериментально установить, что используя уязвимости в программах распознавания лиц, можно удаленно и незаметно внести корректировки в алгоритмы обучения нейросети. Более того, оказалось возможным исключить определенных лиц из процесса обучения и сделать невозможным их автоматизированное распознавание системой.
Кроме того, существуют инструменты, позволяющие добиваться от нейросетей строго определенных ошибок. Их итогом становится неправильное распознавание. Программа неточно устанавливает принадлежность и не распознает преступников, и в то же время маркирует благонамеренных граждан, как криминальных элементов. В рамках этого исследования была протестирована система распознавания лиц Amazon Recognition. В результате взлома программы обучения удалось сделать так, что программа среди преступников, которых ей удалось опознать, установила 28 членов Конгресса США. Эти 28 членов были поименованы как преступники, которые были замечены камерами городского наблюдения Вашингтона, Нью-Йорка за совершением преступных действий. Все это происходило, когда Конгресс был на каникулах, и узнанные конгрессмены вообще не могли попасть в поле зрения видеокамер в Вашингтоне и Нью-Йорке, поскольку пребывали в своих округах. Стоимость каждого лжеопознания составила 12,33 долл.
Из приведенного примера видно, что по мере перехода к подключенному государству и все более активному использованию автоматизированных систем анализа видеопотоков, криминал может подменять реальность, делая виновных невиновными, и наоборот. В ближайшие два-три года это, скорее всего, будет доступно лишь для небольшого числа высокопрофессиональных специалистов, однако в последующем окажется под силу квалифицированным хакерам, специализирующимся на преступлениях, связанных с IoT;
— использование IoT для создания криминальных армий. Уязвимости в безопасности IoT уже в настоящее время редко закрываются. В будущем же специалисты прогнозируют, что IoT будет доступен для хакеров даже больше, чем уязвимые смартфоны. В 2016-2017 гг. была разработана вредоносная программа Mirai. Зловред автоматически распознавал и идентифицировал устройства с уязвимостями и подключал их к сети. Mirai удалось собрать и использовать в течение года в криминальных целях армию ботов из более 3 млн незащищенных IP-камер, роутеров и других устройств IoT. Армия использовалась для целенаправленных атак на банки со штаб-квартирами в США и Великобритании, а также для похищения личных данных и платежных реквизитов из розничных сетей в странах ЕС. Вполне очевидно, что с каждым годом масштабы создания криминальных бот-армий из IoT устройств будут возрастать. Поскольку атака армий, включающих миллионы устройств крайне трудна для отражения, то данная опасность должна быть купирована на начальной стадии, иначе будет поздно.
Во второй половине двадцатых годов нынешнего века экспоненциальные темпы развития информационно-коммуникационных технологий в их сегодняшнем виде стали сами по себе создавать угрозы для национальной и глобальной безопасности. В нынешнем конфликтном, все более деструктивном, мире риски неконтролируемого развития ИКТ, включая IoT, накладываются на неуклонный рост могущества небольших и даже малых — в составе пяти-семи человек — деструктивных группировок хакеров, киберкриминала и террористов. К началу двадцатых годов небольшие группы будут способны поставить под угрозу жизнедеятельность не отдельных домов или кварталов, а мегаполисов, а возможно и различного рода критических сетей. Главная проблема состоит в том, что по оценкам большинства «фабрик мысли», специализирующихся на высоких технологиях, например, Центра новой американской безопасности, для того, чтобы полностью защитить свое киберпространство в эпоху «интернета всего», Соединенным Штатам ежегодно надо тратить до 3-5% государственного бюджета, как минимум. В условиях длительного периода низких темпов экономического роста это просто невозможно. К началу двадцатых годов Соединенные Штаты, а также возможно Япония и Великобритания станут крепостями, которые невозможно защитить не только от вражеских киберармий, но и от банд молодых хакеров и небольших киберпреступных группировок, действующих поверх границ, и игнорирующих любые государственные соглашения и договоры.