Заключительные DDoS-атаки на российские банки были совершены с помощью конструкций, относящихся к интернету вещей, признал ЦБ. Использовать тостеры и лампочки в киберпреступлениях сделалось проще и дешевле компьютеров
На прошлой неделе сразу несколько крупных российских банков, вводя Сбербанк, банк «Открытие» и Альфа-банк, подверглись необычной хакерской штурму. Согласно оценке «Лаборатории Касперского», в последнюю атаку на российские банки было вовлечено 24 тыс. конструкций. Некоторые банки подверглись атакам неоднократно — компания зарегистрировала серии от двух до четырех штурмов с небольшим интервалом и продолжительностью до 12 часов. «Их мощность достигала 660 тыс. запросов в секунду*, при этом кушать основания считать, что это далеко не предел», — отмечали представители «Лаборатории Касперского». К положительным последствиям в работе финансовых учреждений попытки взлома не повергли, но оказались прецедентными в другом смысле. 10 ноября ЦБ официально подтвердил, что эта DDoS-атака была свершена с помощью устройств, относящихся к интернету вещей. Это первый официально признанный случай в России, когда в криминальных целях могли использоваться «умный» холодильник, smart-TV, охранная система входной двери или даже лампочка.
Тостер вместо компьютера
Как популярно, суть DDoS-атаки (distributed denial of service — распределенная штурм типа «отказ в обслуживании») — вызвать перегрузку на сервере или сайте жертвы с поддержкой большого числа входящих запросов. Для этого хакеры объединяют в одну сеть большенное число компьютеров, которые и создают контролируемую перегрузку.
С недавних пор с этой мишенью используют любые устройства, которые подключены к сети того или другого рода. А поскольку концепция интернета вещей (Internet of Things, IoT) выстроена на принципе подключения окружающих предметов — от личного автомобиля до жалюзи — к интернету и взаимодействию между собой и внешним вселенной практически без участия человека, постольку DDoS-атака может быть организована не традиционными компьютерами, а объединенной сетью «умных» холодильников. Собственно они в итоге и генерируют обращения к серверу банка, совершая попытку взлома.
Еще в прошедшем году американский ученый Винтон Грей Серф, какого называют отцом интернета, заявил об опасности того, что «100 000 холодильников взломают Bank of America». По подсчетам компании Cisco, число подключенных к сети устройств превысило мировую численность народонаселения еще в 2008–2009 годах. Их число, согласно прогнозу американского издания Business Insider, к 2020 году возрастёт до 34 млрд. При этом только 10 млрд из них придется на традиционные смартфоны, компьютеры, планшеты, прочие 24 млрд — это устройства, относящиеся к интернету вещей. Huawei прогнозирует этот рост и вовсе до 100 млрд конструкций.
По оценке Андрея Колесникова, главы Ассоциации IoT, созданной Фондом развития интернет-инициатив, в России сейчас возле 20 млн устройств IoT. В первую очередь это оснащенные сим-картами транспортные оружия, счетчики ЖКХ, указал представитель фонда.
Армия из роутеров и видеокамер
Можно произнести, российским банкам повезло. С помощью интернета вещей можно организовывать гораздо немало мощные нападения. В сентябре этого года с использованием образцово 150 тыс. устройств, в основном камер видеонаблюдения и роутеров, была свершена атака на несколько крупных международных компаний. Среди пострадавших очутились сайт KrebsOnSecurity.com, мощность атак на который составляла 600–700 Гб/с, и французский хостинг-гигант OVH, какому досталось еще больше — 1,5 Тб/с, что стало самой мощной зарегистрированной DDoS-атакой. 21 октября 2016 года из-за мощной DDoS-атаки на компанию Dyn очутились недоступными для пользователей сайты Twitter, PayPal, Netflix, Reddit, Github, Soundcloud, Spotify и иные. На пиках, по данным Dyn, мощность атаки достигала 1,2 Тб/с. Сообразно отчету компании Verisign за второй квартал 2016 года, посредственный пик мощностей DDoS-атак за этот период составил 17,37 Гб/c. Этот показатель вытянулся в 2,14 раза по сравнению с тем же периодом 2015 года. При этом число подобных атак увеличивается на 75% ежегодно.
Как ломались Jeep и лампочки
В августе 2016 года на одной из основных хакерских конференций BlackHat 2016 исследователь и технический директор компании NewAE Technology Колин О’Флинн показал, как можно взломать «неглупую» систему освещения Philips Hue. В результате кибератаки лампочки загорались и тухли по желанию хакера. Кроме того, О’Флинн подтвердил возможность разработки вредоносного ПО, какое могло бы передаваться от одной «зараженной» лампочки к другой. В итоге злоумышленники могли бы управлять электричеством как в отдельном здании, так и в цельном квартале.
Демонстрировать уязвимость умных систем хакеры начали еще несколько лет назад. В 2011 году интернет-разработчик Барнаби Джек продемонстрировал возможность дистанционного взлома инсулиновой помпы, а в 2012-м — кардиостимулятора, какой по команде выдавал смертельный разряд в 830 В. В 2013 году американские эксперты Крис Валасек и Чарли Миллера взломали систему в собственном Jeep Cheeroke и сделали сенсационный доклад о возможности дистанционного управления автомашиной. Следующие три года они занимались тем, что взламывали автомобиль разными способами и в итоге продемонстрировали возможность целого дистанционного захвата управления. Главным достижением Валасека и Миллера сделался отзыв 1,4 млн автомобилей концерна Chrysler для внесения изменений в электронные системы защиты.
Антивирус для холодильника
Поначалу для овладения арсеналом предметов были нужны немалые ресурсы. Однако в последние чету лет DDoS-атаки стали гораздо дешевле и, соответственно, гораздо распространеннее, помечает директор по развитию продуктов ГК InfoWatch Андрей Арефьев. «Вящую роль здесь играют и неправильно сконфигурированные сетевые конструкции, и широкое распространение устройств для интернета вещей. Для снижения рисков необходимо повышать качество защиты продуктов интернета предметов и сетевого оборудования», — говорит эксперт. По оценке экспертов ГК InfoWatch, интернет предметов сегодня — это самый незащищенный сегмент, чем все чаще пользуются злоумышленники: IP-адреса конструкций включаются в общие сети как инструменты для реализации целевых штурмов, в том числе DDoS.
Согласно мнению опрошенных РБК экспертов, самое немощное звено интернета вещей заключается в том, что они, как правило, самостоятельно не обновляют программное обеспечение, то кушать работают на первичных заводских настройках. А потребитель редко задумывается о нужды загрузки или обновления ПО для «умной» зубной щетки или видеокамеры.
«Сделать «навесную» антивирусную защиту для конструкций интернета вещей крайне сложно, — отмечает Юрий Наместников, глава российского исследовательского центра «Лаборатории Касперского». — Один-единственный способ защитить устройство интернета вещей — это сделать его неопасным с самого начала, by-design, то есть оно должно быть произведено с учетом заявок безопасности. Поэтому вендорам необходимо уделять больше внимания безопасности неглупых устройств на этапе производства. Регуляторам же нужно создавать законодательную базу, новоиспеченные стандарты для использования подобных устройств».
Обеспечение безопасности объектов интернета предметов — это большое поле для приложения усилий в области информационной безопасности, соглашается Мария Воронова, глава направления консалтинга, ведущий эксперт по информационной безопасности ГК InfoWatch. «О создании особых средств защиты для сегмента IoT задумываются все больше вендоров, но тут пока рано говорить о полноценных готовых решениях, этот базар только зарождается», — заключила она.
