8.00-18.00 (Пн.-Пт.)
По E-mail в любое время
28.02.2019

Умный протез: взломать, чтобы защитить

Пожалуй, самая избитая шутка последних лет в сфере информационной безопасности: S в аббревиатуре IoT отвечает за Security. Действительно, Интернет вещей уже давно стал всеобщим посмешищем среди экспертов по ИБ, и на любой хакерской конференции обязательно прозвучит доклад, в котором расскажут об очередном «умном» устройстве, взломанном вдоль и поперек. Эти взломы уже давно никого не удивляют — наоборот, гораздо больший интерес вызывают исследования, в результате которых выясняется, что с безопасностью в устройстве все не так уж плохо.

Обычно внимание исследователей сфокусировано на том, чем уязвимости в Internet of Things угрожают пользователям. Однако есть и вторая сторона медали: уязвимости в «умных» устройствах представляют опасность для разрабатывающей их компании, поскольку могут привести к утечке данных, их повреждению, а также выводу из строя самих устройств или инфраструктуры.

На Mobile World Congress наши эксперты представили исследование безопасности умных протезов, разработанных компанией Motorica

На Mobile World Congress эксперты нашего центра реагирования на инциденты в сфере информационной безопасности промышленных объектов (ICS CERT) представили исследование умных протезов, разработанных компанией Motorica.

Для начала — хорошие новости. Во-первых, нашим экспертам не удалось найти уязвимости в прошивке самих протезов. Во-вторых, передача данных в системе Motorica происходит только в одном направлении — от протеза в облако. Так что, к примеру, взломать подключенный протез для того, чтобы удаленно им управлять, не получится — с этой точки зрения все хорошо.

Однако дальнейшее изучение показало, что при разработке облачной инфраструктуры, которая собирает и хранит телеметрические данные, полученные с протезов, были допущены серьезные ошибки. Вот какие возможности они открывают атакующему:

  • Получить доступ к информации всех аккаунтов в системе — как пользовательских, так и администраторских, включая незашифрованные логины и пароли.
  • Читать, удалять, или изменять любые данные телеметрии, хранящиеся в базе, а также добавлять новые.
  • Добавлять новые аккаунты (включая администраторские).
  • Удалять или изменять имеющиеся учетные записи — к примеру, поменять пароль администратора.
  • Запустить DoS-атаку против администратора, препятствующую входу в систему.

Данные уязвимости могли потенциально привести к утечке всех пользовательских данных или их повреждению. Причем последний из пунктов вышеприведенного списка позволил бы значительно увеличить время реакции на взлом.

Разумеется, наши исследователи рассказали обо всех найденных уязвимостях компании Motorica, и на данный момент все проблемы устранены. К сожалению, эта маленькая победа не отменяет того факта, что в целом Интернет вещей продолжает оставаться небезопасным. Вот как это можно изменить:

  • Разработчикам следует иметь представление о наиболее распространенных угрозах и правилах создания безопасного кода. Важно, чтобы это было так на всех этапах разработки — наше исследование очень наглядно иллюстрирует тот факт, что ошибки, допущенные при создании одной из частей системы, могут свести на нет все остальные усилия.
  • Производителям «умных» вещей стоит использовать программы «баг-баунти» — это очень эффективный способ поиска уязвимостей и их устранения.
  • В идеале следует заказывать аудит разрабатываемых продуктов экспертам по информационной безопасности.


Связаться с нами
Телефон
Ваше имя*
Ваш E-mail*
Сообщение*
Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*

*Поля, обязательные для заполнения

Закрыть
Заказ обратного звонка
Телефон*
Сообщение*
Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*

*Поля, обязательные для заполнения

Закрыть
Заказ онлайн демонстрации
Контактное лицо*
УНП*
Наименование организации*
Юридический адрес*
Контактный телефон*
E-mail*
Место проведения демонстрации*
Сообщение*
Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*

*Поля, обязательные для заполнения

Закрыть
Доступ запрещен

Доступ временно заблокирован!


На сервере ведутся работы!


Закрыть
Оформить заявку
Наименование товара
Наименование организации
УНП
Телефон
Ваше имя*
Ваш E-mail*
Сообщение*
Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*

*Поля, обязательные для заполнения

Закрыть
Заполните анкету
Для формирования цены заполните анкету и отправьте по адресу postmaster@softmaster.by

Скачать анкету

Закрыть
Узнать цену
Для формирования цены внесите требуемые ниже данные и отправьте. Наши специалиста проведут расчет и свяжутся с Вами.

Наименование товара
Наименование организации
Количество серверов
Количество рабочих станций
Телефон
Ваше имя*
Ваш E-mail*
Сообщение*
Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*

*Поля, обязательные для заполнения

Закрыть
Заполните анкету
Для формирования цены заполните анкету и отправьте по адресу postmaster@softmaster.by

Скачать анкету

Закрыть
Внедрение 1С
Для формирования цены заполните форму

Телефон
Ваше имя*
Ваш E-mail*
Сообщение*
Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*

*Поля, обязательные для заполнения

Закрыть