Спецпроекты

Безопасность Администратору Пользователю Техника

Как бесплатно проверить ПО телефонов, электроники и бытовой техники

CNews совместно с компанией SEC Consult запустил исследовательский проект «Безопасность интернета вещей в России 2019». Читателям CNews предлагается загрузить прошивки устройств для проверки на уязвимость. По итогам исследования будет опубликован подробный аналитический отчет.

CNews и SEC Consult запускают совместное исследование

Защищенность устройств интернета вещей часто остается вне зоны внимания служб информационной безопасности. Но именно эти устройства, имеющие часто неконтролируемый выход в интернет, могут стать дырой, через которую кибермошенникам легко проникнуть во внутреннюю сеть компании или получить доступ к конфиденциальной информации частного пользователя.

Издание CNews совместно с компанией SEC Consult начинает исследовательский проект «Безопасность интернета вещей в России 2019». Цель проекта – определить защищенность подключенных устройств.

Вендорам оборудования и всем желающим читателям CNews предлагается принять участие в исследовании и загрузить прошивки устройств (роутеров, камер, телевизоров, холодильников и всего, что имеет эти прошивки) для проверки на уязвимость с помощью системы IOT Inspector. Заявки принимаются до 31 августа 2019 г.

По итогам анализа будет выпущен подробный аналитический отчет, отражающий текущее состояние дел в сегменте безопасности интернета вещей. В отчет войдет подробная статистика, позволяющая оценить актуальное состояние безопасности современных «умных» устройств.

Интернет вещей под угрозой

Аналитики компании Ericsson предсказывают, что количество ИВ-соединений через мобильные каналы связи в 2023 г. достигнет 3,5 млрд, что соответствует 30-процентному совокупному среднегодовому росту. А аналитическая фирма IDC предрекает к 2022 г. совокупный размер расходов на интернет вещей во всем мире в размере $1,2 трлн.

Защищенность устройств интернета вещей часто остается вне зоны внимания ИБ-служб

По мере усовершенствования технологии, у нее начались проблемы. Например, разработка программных составляющих без учета кибербезопасности. Производители делают акцент на функциональности, спрос на которую выявили маркетологи, в то время как вопрос безопасности кода раз за разом проваливается в списке приоритетов куда-то глубоко вниз. Другая загвоздка в том, что у пользователей сохраняется возможность оставлять без изменений заводские пароли или использовать комбинации в духе 123456 (и они охотно этой возможностью пользуются). По сути дела, это равно отсутствию ограничений на доступ. Еще одна важная проблема – недостаточность обновлений программных оболочек (при условии, что они вообще возможны).

Исследования показывают, что в среднем только чуть более 30% пользователей обновляют прошивки своих ИВ-устройств сразу после их выхода. 40% не обновляли их никогда. За последние годы ботнеты, состоящие из ИВ-устройств, стали не только обычным делом, но и весьма серьезной угрозой: ИВ-ботнет Mirai, например, был использован 21 октября 2016 г. для осуществления DDoS-атаки на инфраструктуру крупного DNS-провайдера Dyn. В результате временно были недоступны такие ресурсы как GitHub, Netflix, Airbnb, Reddit и даже Twitter. Затронуты были и многие другие, включая PayPal, Amazon.com, Mashable, Quora и некоторые игровые серверы.

В 2017-2018 годах по данным различных опросов около 61% компаний сталкивались с нарушениями безопасности ИВ-устройств. 25% опрошенных компаний, переживших инциденты с ИВ, оценили свои потери за тот же период в десятки миллионов долларов. Минимальная сумма потерь составила $34 млн. Исследование Altman Vilandrie & Company в 2017 г. показало, что атаки на ИВ-устройства «съедают» до 13% дохода компаний с оборотами менее $5 млн в год. по прогнозам Gartner, расходы компаний на обеспечение киберзащиты ИВ-систем в 2017 г. достигли $1,17 млрд, а к 2021 г. сумма превысит $3 млрд.

Участие в исследовании CNews и SEC Consult позволяет проверить прошивки самых разных устройств – маршрутизаторов, бытовой техники, систем класса «умный дом», автомобильных гаджетов – на такие уязвимости, как бекдоры, недокументированные возможности, сервисные учетные записи, статические ключи шифрования. Специалисты по ИБ не всегда уделяют должное внимание безопасности таких устройств. Да и сами разработчики в погоне за сроками выпуска очередного продукта часто пренебрегают защищенностью своих продуктов, подчеркивают эксперты SEC Consult. Это приводит к закономерному результату: все чаще такие устройства компрометируются, и в лучшем случае пополняют армии ботнетов, а в худшем – могут нанести ощутимый урон своим владельцам.


Короткая ссылка