Интернет плохих вещей: кто крадет голоса детей и могут ли хакеры остановить сердце или нажать на тормоз автомобиля
Об интернете вещей всё чаще пишут крупные медиа. Его изучают в ведущих университетах мира, а скоро откроются бакалаврские и магистерские программы в России. Реклама пытается продать нам сотни «умных» устройств: ламп, автомобилей, холодильников и пылесосов.
Концепция интернета вещей (Internet of Things, IoT) предполагает объединение техники в единую сеть, что должно сделать нашу жизнь лучше. В Оксфордском словаре этим термином названо множество связанных между собой и обменивающихся информацией «умных» (англ. smart — «умный, способный мыслить») устройств: фитнес-трекер, который считает шаги и следит за сном, заводской станок, управляемый по сети, телевизор с Wi-Fi и т. д.
Кола, тостер, холодильник
Алан Тьюринг в 1950 году предлагал создавать обучающиеся машины, которые могли бы потом преподавать детям английский язык. Маршалл Маклюэн в 1964-м в книге «Понимание медиа» писал, что «все технологии прошлого, включая города, трансформируются в информационные системы».
Первым бытовым устройством, подключенным к сети, стала машина по продаже кока-колы в Школе информатики Университета Карнеги — Меллон.
Аппарат установили в 70-х годах. Колы пили много, а машины отнесли на третий этаж университета. Аспирантам было лень ходить за вожделенным напитком, ведь часто оказывалось, что газировки либо нет, либо она еще не успела охладиться. В 1982 году четверо учащихся установили внутрь машины специальные чипы и подключили ее к сети. Теперь любой студент университета знал, как долго кола охлаждается и осталась ли она в машине. У нее даже существует свой сайт, но он не обновляется с 2008 года, зато там написано, где стоит легендарный аппарат теперь.
В 1990-м интернетом пользовались 3 млн человек (за 10 лет их число вырастет в 100 раз), к нему были подключены 313 000 компьютеров, но об устройствах, управляемых через сеть, тогда речи не шло. Поэтому тостер, который подчинялся «онлайн-командам», представленный посетителям конференции Interop, стал на ней главным «героем». Правда, хлеб всё еще загружался вручную, и на следующей конференции был продемонстрирован маленький кран с такой функцией — и он тоже управлялся через интернет. Джон Ромки, один из создателей тостера, в 2017-м писал, что его детище теперь «ведет тихую частную жизнь» и «время от времени поджаривает хлеб» в Портленде, штат Орегон.
Следующим шагом был проект под названием «Кофейная банка в Trojan Room» — первая камера, подключенная к интернету. Сотрудники лаборатории компьютерных наук в Кембриджском университете в начале 1991 года решили, что люди из других концов здания не должны ходить за кофе впустую, и установили около капельной кофемашины камеру, которая раз в минуту передавала фото размером 128/128 пикселей на сервер. Когда в 1993-м интернет-браузер NCSA Mosaic научился показывать изображения, был открыт сайт кофемашины. Ее отключили от сети в августе 2001 года.
В 1993–1994 годах компания Билла Гейтса пыталась внедрить свои технологии Microsoft at Work (для связи офисной техники с компьютерами) и Cablesoft (для интерактивного телевидения). Проекты не стали коммерчески успешными из-за малого количества устройств, которые поддерживали эти технологии.
Первая беспроводная камера, подключенная к интернету, — WearCam, детище Стива Мэнна, долгое время экспериментировавшего с подобными гаджетами. В начале 1994 года, вдохновившись веб-страницей кофеварки, он решил создать свой проект. Стив ходил в очках, которые автоматически через разные промежутки времени делали фото того, что он видит. Устройство получилось довольно громоздким и выглядело подозрительно, но это была вторая камера в вебе и первый беспроводной девайс, транслировавший изображение в интернет. Проект закрылся осенью 1996 года.
И только в 1999-м на коммерческой презентации прототипа RFID-меток для магазинов (сейчас по этой технологии работают наклейки, которые пищат, если пытаешься что-то украсть) впервые используется термин «интернет вещей». Кевин Эштон назвал так способ обозначения товаров для их учета (он предлагался как альтернатива штрихкоду) только потому, что слово «интернет» было очень популярно.
В 1998 году неутомимый Стив Мэнн изобретает и патентует первые часы под управлением операционной системы (Linux), хотя технология «часов-компьютеров» была известна уже давно. В 2000-м LG выпускает первый холодильник, подключенный к интернету. Тогда же выходит первый смартфон Ericsson R380, а IBM презентует первые коммерческие часы под управлением всё той же Linux. В 2002 году Amazon выводит на рынок Ambient Orb — небольшой овальный девайс, который подключался к компьютеру и подсвечивался разными цветами, когда изменялся один из регулируемых параметров (индекс биржи, погода и любой другой, это указывалось в настройках). New York Times назвала устройство одной из «идей года».
С 2003 по 2004 год термин «интернет вещей» начинает часто упоминаться в СМИ и появляется на передовицах Forbes, The Guardian и Scientific American. В 2005-м Международный союз электросвязи публикует первый отчет об интернете вещей. В 2009 году при поддержке Еврокомиссии впервые проводится конференция Internet of Things, а компания Cisco заявляет о «рождении» интернета вещей — число подключенных к сети устройств превышает население Земли. Количество умных машин (за вычетом компьютеров и смартфонов) достигает миллиарда.
В 2017 году ко всемирной паутине всего было подключено уже 20 млрд устройств, а к интернету вещей — 8,4 млрд. По прогнозам экспертов, к 2020-му эти показатели вырастут до 31 млрд и 20 млрд соответственно, а к 2030-му таких девайсов будет уже 125 млрд.
Тем не менее технология пока далеко не совершенна. Суть концепции IoT в том, чтобы автоматизировать связь между гаджетами, исключить человека из этого процесса. Например, современные умные телевизоры подстраивают тон цвета на экране под интерьер, показывают кратчайший путь до работы и управляют другими устройствами, но им не хватает главного: мы говорим нашим электронным помощникам, что делать.
Телевизоры будущего научатся сами решать, когда включаться и отключаться, что именно вам сейчас лучше показать, и передавать данные другим умным устройствам — например, рассказывать, как долго вы смотрели любимые передачи, фитнес-трекеру, чтобы тот попытался заставить вас бегать.
Умные и уязвимые
О возможных проблемах с безопасностью таких систем эксперты говорили с самого начала. Уже в 2008 году Национальный разведывательный совет США называет интернет вещей одной из шести технологий, потенциально угрожающих интересам страны.
В мире умных устройств уязвимо всё: самолет, ближайшая больница или пылесос.
Специалист по кибербезопасности Микко Хиппонен предостерегает: скоро все девайсы будут выходить в интернет, а пользователи могут даже не замечать этого и не знать, зачем они используют доступ в сеть. Он же называет три главные угрозы — киберпреступники, политические хакеры и правительства.
Сетевого червя (вредоносную программу, которая сама распространяется по всемирной паутине) Stuxnet обнаружили белорусские эксперты в июне 2010 года. Судя по всему, его создали спецслужбы США и Израиля, но он каким-то образом вышел из-под контроля. Червь атаковал автоматизированные системы управления техническим процессом. Они есть почти везде: в аэропортах, в тюрьмах или на атомных станциях. Это первая вредоносная программа, которая могла физически уничтожить умное оборудование.
В 2016 году появился ботнет (сеть зараженных компьютеров) Mirai из умных устройств от разных производителей. Он объединял миллионы девайсов и позволил на несколько недель отключить сайт Брайана Кребса — журналиста, который пишет об информационной безопасности. А потом была проведена самая мощная в истории DDoS-атака (когда очень много устройств пытаются одномоментно зайти на тот или иной ресурс, и он перестает работать), и на время сервисы PayPal, GitHub, The New York Times и Airbnb вышли из строя.
В 2016-м хакеры взломали умные дома в Финляндии и оставили несколько зданий без отопления. В следующем году создан вредонос BrickBot. Он подключался к разным IoT-устройствам, атаковал их и выводил из строя без возможности восстановления.
Одним из главных вызовов умным системам эксперты называют уязвимость медицинского оборудования. Специалисты «Лаборатории Касперского» недавно нашли больше 27 тысяч возможных типов атак на устройства, подключенные к интернету, в том числе — на больничные аппараты по всему миру. И это не только медицинская техника, но еще и, например, системы отопления, освещения и кондиционирования. В последние два года около 90 % организаций здравоохранения столкнулись с проблемами безопасности.
В прошлом году выяснилось, что полмиллиона кардиостимуляторов фирмы St. Jude Medical имеют очень легко эксплуатируемые уязвимости, которые позволяют отключить их или изменить сердечный ритм.
Все они были отозваны из продажи. Почти в это же время вирус WannaCry парализовал работу компьютеров в 16 больницах Великобритании. А в марте нынешнего года исследователи обнаружили, что заражено оборудование азиатских фармацевтических компаний.
Еще одной проблемой остается незащищенность устройств для детей. Носок-трекер для младенцев от Owlet назван «худшим с точки зрения безопасности гаджетом в 2016 году». Он отслеживает дыхание и сердцебиение ребенка и при возникновении проблем издает сигнал тревоги. Впервые уязвимость обнаружил специалист по кибербезопасности Джонатан Здзиарски, обративший внимание на то, что в документации к Owlet был огромный раздел, в котором говорилось об отказе компании от ответственности в случае смерти детей из-за неисправности трекера. Изучив девайс, он выяснил: любой желающий может подключиться к устройству, «снять галочку» в настройках оповещений — и сделать «умный носок» бесполезным или даже опасным.
В прошлом году хакеры украли 800 тыс. аккаунтов и больше 2 млн записей голосов детей и их родителей у компании по производству умных игрушек CloudPets. Уязвимости многих смарт-часов для детей до сих пор позволяют взломать их, а потом следить за ребенком, слушать его разговоры или даже общаться с ним от лица родителей.
Небезопасны и многие другие используемые нами вещи — например, умные автомобили, которыми можно управлять через интернет. Впервые исследователи взломали Jeep Cherokee в 2015 году. Они смогли получить полный доступ к авто — от изменения громкости радио до принудительного увеличения скорости и блокировки тормозной системы.
Через год выяснилось, что приложения для контроля автомобилей имеют уязвимости, позволяющие отключить сигнализацию или завести машину. За год ни один производитель не исправил их, а некоторые даже не обновили софт.
Эксперты говорят: заражения автомобилей не очень масштабны только потому, что злоумышленники еще не придумали, как на этом заработать.
Журналистка издания Daily Mirror Нада Фархоуд бросила вызов этичному хакеру (так называют людей, взламывающих системы, чтобы лучше их защитить) Робу Шепланду. Она писала статью об уязвимостях умных устройств и предложила Робу «вскрыть» ее аккаунт в сервисе British Gas Hive Active Heating, который позволяет удаленно управлять отоплением в доме. Предварительно Нада установила в приложении новый пароль — но хакеру удалось выяснить, что он представляет собой комбинацию старых, уже имевшихся в базах взломщиков. Для получения email Шепланд использовал кнопки «Забыл пароль» в разных сервисах и поиск Google. Из приложения Роб узнал адрес своей «жертвы», дни рождения и историю ее отъездов из дома.
Сайт WikiLeaks опубликовал «слитые» документы ЦРУ, из которых следовало, что спецслужбы использовали телевизоры с доступом к интернету, чтобы следить за людьми по всему миру.
Остаются уязвимыми домашние камеры — за пару десятков долларов злоумышленники продают программы, позволяющие почти мгновенно получить доступ к миллионам таких устройств по всему миру.
В 2017 году количество DDoS-атак на организации возросло почти вдвое — в этом тоже «заслуга» IoT-устройств. На тот момент существовало более 7000 разных вредоносных программ для умных девайсов. Исследование показало, что среди зараженных устройств были не только кассы магазинов и приставки цифрового телевидения, но и промышленные аппараты, системы управления электропитанием и даже центр мониторинга сейсмической станции в Бангкоке.
За последние несколько лет ситуация изменилась и будет продолжать меняться. Если раньше уязвимы были только компьютеры, а потом к ним добавились смартфоны, то теперь потенциально можно взломать сотни разных устройств. А через десять лет к интернету будет подключено почти всё, и счет пойдет на десятки тысяч видов гаджетов.
Безопасность не продашь
Взломщики и вирусы лишь одно из многих зол. О других проблемах интернета вещей и о том, как нам с этим жить, рассказал Микко Хиппонен, эксперт по информационной безопасности, колумнист, спикер TEDxGlobal и автор закона, названного его именем, который гласит: если устройство позиционируется как «умное», значит его можно взломать.