Symantec показала обратную сторону Интернет-вещей

18/03/2015

Специалисты продолжают выявлять уязвимости Интернет-вещейНа этой неделе опубликованы результаты нового исследования, которое продемонстрировало уязвимости в мире Интернета.

Symantec Corp. подготовила очередной отчёт, в котором проанализированы различные методы управления учётными данными, используемые производителями подключенных устройств и связанных с ними поставщиками услуг в сегменте Интернет вещей (IoT). Исследование показало, что значительная часть подключенных устройств имеют одни и те же проблемы безопасности.

Исследовательская группа компании Symantec тщательно изучила 50 домашних смарт-устройств, включая «умные» термостаты, замки, лампочки, детекторы дыма, устройства управления энергопотреблением и хабы. Оказалось, что многие из них имеют несколько основных недостатков безопасности, в том числе незащищённую аутентификацию и ненадёжные пароли.

Более того, веб-интерфейс для «умного» дома (облако домашней смарт-системы) имеет несколько уязвимостей, связанных с маршрутизацией данных, неограниченной загрузкой файлов, включением удалённого файла и запуском SQL, что повышает их уязвимость для локальных атак или атак хакеров, которым удалось проникнуть в домашнюю сеть через незащищённое Wi-Fi соединение. К тому же, вредоносные программы могут сделать «умный» дом действительно небезопасным.

Symantec предложила производителям IoT ряд принципов, которые повысят безопасность продуктов и защищённость потребителей:

·         Использование моделей «сильного доверия», таких как аутентификация устройств через SSL;

·         Защитный код с цифровой подписью;

·         Реализация эффективной защиты хоста, включительно с защитой конечных точек и всей системы;

·         Реализация безопасного и эффективного управления, которое включает в себя обновление конфигурации и программного обеспечения;

·         Использование аналитики безопасности для решения новых угроз.

 

Специалисты TrapX сообщили об уязвимостях IoT-устройств

 

TrapX Labs, подразделение TrapX Security, Inc., выпустила свой доклад об особенностях хакерских атак под названием «Интернет вещей (IoT): Скрытая опасность стала явной». В докладе рассматриваются обнаруженные командой конструктивные недостатки в обучаемом термостате Nest. Исследователи смогли использовать «умный» термостат в качестве начальной точки атаки, поразившей всю домашнюю сеть.

Хотя специалистам TrapX удалось взломать Nest, по их словам, компания Google, которая занимается выпуском этого девайса, предложила «относительно надёжную защиту по сравнению с большинством устройств IoT».

TrapX разработала некоторые предложения для производителей, чтобы их устройства стали более защищёнными:

·         Обеспечение полного анализа проекта;

·         Быстрая интеграция и обновление программного обеспечения для исправления выявленных угроз;

·         Выпуск устройств, которые не загружаются через USB-порт;

·         Использование «подписания» программного обеспечения как математического метода проверки его подлинности;

·         Привлечение специализированных компаний для проведения тестового внешнего проникновения, обнаружения уязвимостей и анализа комплектующих;

·         Установка брандмауэров на каждом устройстве;

·         Защита интерфейса канала управления, обеспечивающая ограниченный доступ к серверу управления.

 

Фото: Специалисты продолжают выявлять уязвимости Интернет-вещей (источник: Symantec)