Что включает в себя небезопасное хранение данных
Лучшие практики по безопасности хранилищ данных
В статье рассматриваются ключевые угрозы, связанные с информационными хранилищами
В статье рассматриваются ключевые угрозы, связанные с информационными хранилищами, даются рекомендации по защите и затрагиваются вопросы соответствия законодательству.
Практики по безопасности хранилищ данных подразумевают защиту как инфраструктуры (локальных /внешних датацентров и облаков), так и хранимой информации. Спектр решаемых проблем достаточно широк, начиная от случайной или преднамеренной порчи информации и заканчивая неавторизированным доступом. Тема критически важная, поскольку большинство утечек данных в конечном счете сводятся к проблемам в области безопасности информационных хранилищ.
Хорошо спроектированная система безопасности также предусматривает соответствие разным нормативным положениями, как, например, PCI-DSS (Payment Card Industry Data Security Standard; Стандарт безопасности в индустрии платежных карт) или GDPR (General Data Protection Regulation, Общий регламент по защите данных), используемым в Евросоюзе. Все чаще компании в сфере безопасности стали разрабатывать решения, помогающие соответствовать подобным регламентам. В качестве примера можно привести растущий рынок GDPR решений.
В целом надежная система безопасности хранилища данных минимизирует риск кражи, несанкционированного раскрытия, подделки и случайной / преднамеренной порчи информации. Кроме того, в такой системе как правило внедрены средства, повышающие прозрачность и достоверность данных.
Угрозы безопасности хранилищ данных
Перед реализацией системы безопасности хранилища данных важно понимать типы угроз, с которыми может столкнуться компания.
В целом все факторы делятся на две категории: внешние и внутренние.
Хакеры, кибермошенники, организованные преступные группировки.
Конкуренты, занимающиеся промышленным шпионажем.
Инсайдеры с нечистоплотными помыслами.
Плохо обученный или безответственный персонал.
Пожары, наводнения и другие катастрофы природного характера.
Перебои с электроэнергией.
Принципы безопасности хранилищ данных
На самом высоком уровне система безопасности хранилища данных должна быть построена на трех принципах: конфиденциальности, целостности и доступности.
Конфиденциальность: несанкционированный доступ к данным должен быть исключен как по сети, так и локально. Это ключевой принцип, позволяющий предотвратить утечку информации.
Целостность: этот принцип в контексте безопасности означает, что данные должны быть защищены от подделки и несанкционированных изменений.
Доступность: в контексте безопасности следование этому принципу минимизирует риск выхода из строя или недоступности хранилища как намеренно – например, через DDoS атаку – так и случайно во время стихийного действия, перебоев с электроэнергией или механической поломки.
Как защитить хранилище данных
Стандарт ISO/IEC 27040 в области безопасности информационных хранилищ предусматривает использование физических, технических и административных мер для защиты систем хранения и инфраструктуры вместе с хранимой информацией. По своей природе меры контроля могут быть превентивными, розыскными, корректирующими, сдерживающими, восстанавливающими или компенсирующими.
Согласно SNIA (Storage Networking Industry Association; Ассоциация сетевых технологий хранения), основная суть стандарта ISO/IEC 27040 – наилучшие практики, позволяющие реализовать безопасности систем хранения на базовом уровне.
Меры безопасности на физическом уровне предусматривают защиту инфраструктуры и данных от физического неправомерного доступа и могут включать:
Найм персонала для мониторинга дата центров и хранилищ.
CCTV мониторинг (Сlosed Circuit Television; Система телевидения замкнутого контура) с сохранением видео.
Использование систем доступа на базе биометрии / смарт-карт и турникетов с защитой от проникновения нескольких лиц одновременно и обратного хода, которые разрешают проходить только одному человеку после аутентификации.
Мониторинг внутреннего пространства при помощи датчиков температуры и дыма.
Использование альтернативных источников питания (например, запасного генератора).
Меры безопасности на техническом уровне включают в себя многие процедуры, знакомые ИТ специалистам, как, например, защита сетевого периметра, системы обнаружения вторжений, фаерволы и антивирусы.
В контексте защиты хранилищ данных рекомендуется предпринять следующие меры:
Аутентификация пользователей и контроль доступа: в плане безопасности информационных хранилищ SNIA рекомендует уделять особое внимание аутентификации пользователей и контролю за доступом. Во многих коммерческих системах безопасности реализована защита инфраструктуры и самих данных. Кроме того, лучшие практики предусматривают реализацию следующих мер, при внедрении подобных систем:
Изменение всех стандартных учетных записей.
Избегание совместного использования учетных записей, отследить которые сложно или невозможно.
Назначение ровно таких прав, которые нужны для выполнения роли.
Изменение или снятие прав при увольнении или смены роли пользователя.
Анализ трафика: одна из наиболее действенных мер в контексте безопасности хранилищ – профилирование доступа к данным и отслеживание паттернов поведения с целью детектирования аномальной или подозрительной активности для последующего более тщательного исследования. Эта задача решается при помощи приложений для поведенческого анализа (user and entity behavior analytics; UEBA), которые все чаще становятся частью решений SIEM (security information and event management).
Мониторинг и отчетность: SNIA рекомендует внедрять разные возможности, связанные с мониторингом и отчетностью, включая разные приложения и системные журналы для детектирования и более глубокого понимания нарушений в области безопасности с целью предотвращения подобных инцидентов в будущем.
Защита интерфейсов управления: многие организации внедряют меры по защите инфраструктуры хранилища и данных от неавторизированного доступа, но забывают обезопасить системы управления. Соответственно, злоумышленник может наделить себя нужными правами доступа или расширить уже существующие привилегии для доступна к данным.
Приведенный перечень технических мер ни в коей мере не является исчерпывающим. Также следует внедрять другие средства безопасности, включая:
Надежное шифрование как в стационарных хранилищах, так и во время передачи данных по сети в связке с эффективной системой управления ключами.
Защиту конечных узлов: настольных компьютеров, ноутбуков и других устройств, у которых есть доступ к данным для минимизации риска установки вредоносов, могущих скомпрометировать хранимые данные.
Специальные меры для защиты баз данных, содержащих кредитные карты и другую ценную коммерческую конфиденциальную информацию. Наилучшие практики безопасности включают усиление защиты баз данных, использование фаерволов, заточенных под базы данных, мониторинг активности и другие меры.
Эффективное управление жизненным циклом данных и устройств хранения, включающее в себя безопасное удаление информации (в том числе из облака), в которых нет необходимости. Принцип здесь довольно простой: злоумышленник не сможет скомпрометировать информацию, которой не существует. Кроме того, следует внедрять процедуры безопасной утилизации устаревших носителей.
Административные меры сводятся к трем «П» (Политика, Планирование, Процедуры), каждая из которых играет важную в контексте безопасности хранилищ данных. Если говорить конкретно, то, к примеру, политики безопасности должны определять места хранения для различных типов информации, разграничивать права доступа, типы шифрования и моменты, когда следует удалять ненужные данные.
Учитывать аспекты хранения в политиках безопасности после идентификации наиболее важных и критичных для бизнеса категорий информации и требований к защите.
Интегрирование политик, специфичных для хранилищ, и других регламентов там, где возможно.
Внедрение мер сохранности и защиты данных.
Внедрение мер по удалению информации и утилизации носителей.
Проверка на соответствие, что все элементы инфраструктуры хранения соответствуют политикам безопасности
В зависимости от отрасли и страны, где работает ваша организация, возможно потребуется соответствие одному или нескольким нормативно-правовым регламентам в сфере безопасности хранения информации, включая PCI-DSS, Sarbanes Oxley, HIPAA, GDPR и другим.
Наказание за несоответствие вышеуказанным стандартам и, как следствие, уязвимости в системе безопасности, могут быть суровыми – начиная от штрафов и заканчивая тюремным заключением. Однако в некоторых случаях использование специфических мер безопасности не предписывается.
Например, в стандарте GDPR упоминается шифрование, но использование не является обязательным. Однако в случае серьезного инцидента, последствия неиспользования шифрования могут быть очень серьезными и даже сделано заключение, что реализованных мер недостаточно для соответствия GDPR.
Другие регламенты являются более специфическими. Например, стандарт PCI-DSS предписывает шифрование владельца карты при передаче через публичные сети.
Главное, нужно помнить, что эти регламенты созданы с целью помочь в реализации эффективных мер безопасности. Соответствие регламентам не означает, что система безопасности компании работает эффективно, но очень редко меры, предпринятые для обеспечения соответствия, сделают систему безопасности организации менее эффективной, чем, если бы эти меры не были бы внедрены совсем.
Positive Technologies: небезопасное хранение данных – основной недостаток мобильных приложений
Эксперты протестировали мобильные приложения для iOS и Android и выяснили, что в большинстве приложений данные хранятся небезопасно, а хакеру редко требуется физический доступ к смартфону жертвы для их кражи.
Самой распространенной уязвимостью эксперты назвали небезопасное хранение данных, которое встречается в 76% мобильных приложений: в руках хакеров могут оказаться пароли, финансовая информация, персональные данные и личная переписка.
«Для кражи данных злоумышленникам редко нужен физический доступ к смартфону жертвы: 89% обнаруженных нами уязвимостей могут быть проэксплуатированы с использованием вредоносного ПО, – говорит Яна Авезова, аналитик информационной безопасности Positive Technologies. – Вероятность заражения увеличивается в разы на устройствах с административными привилегиями (root или jailbreak). Но вредоносное ПО может повышать права самостоятельно. Попав на устройство жертвы, вредонос может запрашивать разрешения на доступ к пользовательским данным, а получив разрешение, передавать данные злоумышленникам. Мы рекомендуем пользователям внимательно относиться к уведомлениям от приложений о запросе доступа к каким-либо функциям или данным. Не стоит предоставлять разрешение на доступ, если есть сомнение в его необходимости для нормального функционирования приложения».
Как показали результаты исследования, серверные части не менее уязвимы, чем клиентские: 43% имеют низкий или крайне низкий уровень защищенности, при этом 33% содержат критически опасные уязвимости. Среди самых распространенных недостатков высокого уровня риска в серверных частях – недостаточная авторизация и утечка информации.
ИТ База знаний
Полезно
— Онлайн генератор устойчивых паролей
— Онлайн калькулятор подсетей
— Руководство администратора FreePBX на русском языке
— Руководство администратора Cisco UCM/CME на русском языке
— Руководство администратора по Linux/Unix
Навигация
Серверные решения
Телефония
FreePBX и Asterisk
Настройка программных телефонов
Корпоративные сети
Протоколы и стандарты
IoT: топ – 10 уязвимостей интернета вещей
Чайник против человека
Вопросы безопасности преследовали Интернет вещей (Internet of Things) с самого момента изобретения. Все, от поставщиков до корпоративных пользователей и потребителей, обеспокоены тем, что их модные новые устройства и системы IoT могут быть скомпрометированы. Проблема на самом деле еще хуже, поскольку уязвимые устройства IoT могут быть взломаны и использованы в гигантских ботнетах, которые угрожают даже правильно защищенным сетям.
Онлайн курс по Кибербезопасности
Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии
Но каких именно проблем и уязвимостей следует избегать при создании, развертывании или управлении системами IoT? И, что более важно, что мы можем сделать, чтобы смягчить эти проблемы?
Давайте рассмотрим топ 10 уязвимостей интернета вещей.
1.Слабые, угадываемые или жестко заданные пароли
Использование легко взламываемых, общедоступных или неизменяемых учетных данных, включая бэкдоры во встроенном программном обеспечении или клиентском программном обеспечении, которое предоставляет несанкционированный доступ к развернутым системам.
Эта проблема настолько очевидна, что трудно поверить, что это все еще то, о чем мы должны думать.
2. Небезопасные сетевые сервисы
Ненужные или небезопасные сетевые службы, работающие на самом устройстве, особенно те, которые подключены к Интернету, которые ставят под угрозу конфиденциальность, целостность или подлинность или доступность информации или допускают несанкционированное удаленное управление.
3. Небезопасные экосистемные интерфейсы
Небезопасный веб-интерфейс, API бэкэнда, облачные или мобильные интерфейсы в экосистеме вне устройства, что позволяет компрометировать устройство или связанные с ним компоненты. Общие проблемы включают в себя отсутствие аутентификации или авторизации, отсутствие или слабое шифрование, а также отсутствие фильтрации ввода и вывода.
4. Отсутствие безопасных механизмов обновления
Отсутствие возможности безопасного обновления устройства. Это включает в себя отсутствие проверки прошивки на устройстве, отсутствие безопасной доставки (без шифрования при передаче), отсутствие механизмов предотвращения отката и отсутствие уведомлений об изменениях безопасности из-за обновлений.
5. Использование небезопасных или устаревших компонентов
Использование устаревших или небезопасных программных компонентов или библиотек, которые могут позволить скомпрометировать устройство. Это включает небезопасную настройку платформ операционной системы и использование сторонних программных или аппаратных компонентов из скомпрометированной цепочки поставок.
6. Недостаточная защита конфиденциальности
Личная информация пользователя, хранящаяся на устройстве или в экосистеме, которая используется небезопасно, ненадлежащим образом или без разрешения.
Очевидно, что с личной информацией нужно обращаться соответствующим образом. Но ключом здесь является «разрешение». Вы почти ничего не делаете с личной информацией, если у вас нет на это разрешения.
7. Небезопасная передача и хранение данных
Отсутствие шифрования или контроля доступа к конфиденциальным данным в любой точке экосистемы, в том числе в состоянии покоя, передачи или во время обработки.
В то время как многие поставщики IoT обращают внимание на безопасное хранение, обеспечение безопасности данных во время передачи слишком часто игнорируется.
8. Ограниченное управление устройством
Отсутствие поддержки безопасности на устройствах, развернутых в производстве, включая управление активами, управление обновлениями, безопасный вывод из эксплуатации, мониторинг систем и возможности реагирования.
Устройства IoT могут быть небольшими, недорогими и развернутыми в большом количестве, но это не означает, что вам не нужно ими управлять. Фактически, это делает управление ими более важным, чем когда-либо. Даже если это не всегда легко, дешево или удобно.
9. Небезопасные настройки по умолчанию
Устройства или системы поставляются с небезопасными настройками по умолчанию или не имеют возможности сделать систему более безопасной, ограничивая операторов от изменения конфигурации.
10. Отсутствие физического доступа
Отсутствие мер по физической защите, позволяющих потенциальным злоумышленникам получать конфиденциальную информацию, которая может помочь в будущей удаленной атаке или получить локальный контроль над устройством.
Что из этого следует?
Интернет вещей уже давно стал частью реальности, и с ним нельзя забывать о безопасности. И вопросы безопасности должны ложиться не только на плечи производителей, но и на плечи администраторов и обычных пользователей.
Онлайн курс по Кибербезопасности
Изучи хакерский майндсет и научись защищать свою инфраструктуру! Самые важные и актуальные знания, которые помогут не только войти в ИБ, но и понять реальное положение дел в индустрии
OWASP ТОП-10 уязвимостей IoT-устройств
К концу 2018 года количество подключенных IoT-устройств превысило 22 миллиарда. Из 7,6 миллиардов человек на Земле у 4 миллиардов есть доступ к интернету. Получается, что на каждого человека приходится по 5,5 устройств интернета вещей.
В среднем между временем подключения устройства IoT к сети и временем первой атаки проходит около 5 минут. Причем большая часть атак на «умные» устройства происходит автоматизированно.
Разумеется, такая печальная статистика не могла оставить равнодушными специалистов в области кибербезопасности. Международная некоммерческая организация OWASP (Open Web Application Security Project) озаботилась безопасностью интернета вещей еще в 2014 году, выпустив первую версию «OWASP Top 10 IoT». Обновленная версия «ТОП-10 уязвимостей устройств интернета вещей» с актуализированными угрозами вышла в 2018 году. Этот проект призван помочь производителям, разработчикам и потребителям понять проблемы безопасности IoT и принимать более взвешенные решения в области ИБ при создании экосистем интернета вещей.
10. Недостаточная физическая безопасность
Отсутствие мер по физической защите, позволяющее потенциальным злоумышленникам получить конфиденциальную информацию, которая в будущем может помочь реализовать удаленную атаку или получить локальный контроль над устройством.
Одна из проблем безопасности экосистемы IoT заключается в том, что ее компоненты распределены в пространстве и часто устанавливаются в публичных или незащищенных местах. Это дает возможность злоумышленникам получить доступ к устройству и взять его под контроль локально или использовать для доступа к остальной сети.
Атакующий может скопировать настройки (IP-сеть, MAC-адрес и т.д.) и поставить свое устройство взамен исходного для прослушивания или снижения производительности сети. Он может взломать RFID-считыватель, установить аппаратную закладку, заразить вредоносным ПО, украсть нужные данные или просто физически вывести устройство IoT из строя.
Решение данной проблемы одно – усложнить физический доступ к устройствам. Их можно устанавливать на защищенных площадках, на высоте или использовать антивандальные защищенные шкафы.
9. Небезопасные настройки по умолчанию
Устройства или системы поставляются с небезопасными настройками по умолчанию или не имеют возможности сделать систему более безопасной, ограничивая пользователей в изменении конфигурации.
Любой производитель хочет заработать больше и потратить меньше. В устройстве может быть реализовано много умных функций, но при этом не обеспечена возможность конфигурации безопасности.
Например, не поддерживается проверка паролей на надежность, отсутствует возможность создавать учетные записи с различными правами – администратора и пользователей, нет настройки параметров шифрования, логирования и оповещения пользователей о событиях безопасности.
8. Отсутствие возможности управлять устройством
Отсутствие поддержки безопасности на устройствах, развернутых в производстве, включая управление активами, управление обновлениями, безопасный вывод из эксплуатации, мониторинг систем и реагирование.
Устройства IoT чаще всего представляют собой «черный ящик». В них не реализована возможность следить за состоянием работы, идентифицировать, какие службы запущены и с чем взаимодействуют.
Не все производители дают пользователям IoT-устройств полностью управлять операционной системой и запущенными приложениями, а также проверять целостность и легитимность загруженного ПО или устанавливать патчи обновления на ОС.
Во время атак прошивка устройства может быть переконфигурирована так, что починить его можно будет, только полностью перепрошив устройство. Подобным недостатком воспользовалось, например, вредоносное ПО Silex.
Решением этих проблем может стать использование специализированного ПО для управления устройствами интернета вещей, например, облачных решений AWS, Google, IBM и т.д.
7. Небезопасная передача и хранение данных
Отсутствие шифрования или контроля доступа к конфиденциальным данным в любом месте экосистемы, в том числе при хранении, при передаче или во время обработки.
Устройства интернета вещей собирают и хранят данные об окружающей среде, в том числе различную персональную информацию. Скомпрометированный пароль можно заменить, а украденные данные с биометрического устройства – отпечаток пальцев, сетчатка глаза, биометрия лица – нет.
В то же время IoT-устройства могут не только хранить у себя данные в незашифрованном виде, но также передавать их по сети. Если передачу данных в открытом виде по локальной сети можно хоть как-то объяснить, то в случае беспроводной сети или передачи через интернет они могут стать достоянием кого угодно.
Сам пользователь может использовать безопасные каналы связи для передачи данных, но шифрованием хранимых паролей, биометрических и других важных данных должен озаботиться производитель устройств.
6. Недостаточная защита конфиденциальности
Личная информация пользователя, хранящаяся на устройстве или в экосистеме, которая используется небезопасно, ненадлежащим образом или без разрешения.
Этот пункт ТОП-10 перекликается с предыдущим: все личные данные должны храниться и передаваться в защищенном виде. Но данный пункт рассматривает приватность в более глубоком смысле, а именно с точки зрения защиты тайны частной жизни.
IoT-устройства собирают информацию о том, что и кто их окружает, в том числе это касается и ничего не подозревающих людей. Украденные или неправильно обработанные данные о пользователе могут как ненамеренно дискредитировать человека (например, когда неправильно настроенные дорожные камеры разоблачали неверных супругов), так и использоваться при шантаже.
Для решения проблемы необходимо точно знать, какие данные собираются устройством IoT, мобильным приложением и облачными интерфейсами.
Нужно убедиться, что собираются только необходимые для функционирования устройства данные, проверить, есть ли разрешение на хранение персональных данных и защищены ли они, а также прописаны ли политики хранения данных. Иначе, при несоблюдении этих условий, у пользователя могут возникнуть проблемы с законодательством.
5. Использование небезопасных или устаревших компонентов
Использование устаревших или небезопасных программных компонентов или библиотек, которые могут позволить скомпрометировать устройство. Это включает небезопасную настройку платформ операционной системы и использование сторонних программных или аппаратных компонентов из скомпрометированной цепочки поставок.
Один уязвимый компонент может свести на нет всю настроенную безопасность.
В начале 2019 года эксперт Пол Маррапиз выявил уязвимости в P2P-утилите iLnkP2P, которая установлена более чем на 2 миллионах устройств, подключенных к сети: IP-камерах, радионянях, умных дверных звонках, видеорегистраторах.
Первая уязвимость CVE-2019-11219 позволяет атакующему идентифицировать устройство, вторая – уязвимость аутентификации в iLnkP2P CVE-2019-11220 – перехватывать трафик в открытом виде, включая видеостримы и пароли.
В течение нескольких месяцев Пол трижды обращался к производителю и дважды к разработчику утилиты, но так и не получил ответа от них.
Решение данной проблемы – следить за выходом патчей безопасности и обновлять устройство, а если они не выходят… сменить производителя.
4. Отсутствие безопасных механизмов обновления
Отсутствие возможности безопасного обновления устройства. Это включает в себя отсутствие валидации прошивки на устройстве, отсутствие безопасной доставки (без шифрования при передаче), отсутствие механизмов предотвращения отката и отсутствие уведомлений об изменениях безопасности из-за обновлений.
Отсутствие возможности обновления устройства само по себе является слабым местом безопасности. Невозможность установить обновление означает, что устройства в течение неопределенного времени остаются уязвимыми.
Но кроме того, само обновление и прошивка также могут быть небезопасными. Например, если для получения ПО не используются зашифрованные каналы, файл обновления не зашифрован или не проверен на целостность перед установкой, отсутствует антиоткатная защита (защита от возврата к предыдущей, более уязвимой версии) или отсутствуют уведомления об изменениях безопасности из-за обновлений.
Решение данной проблемы также на стороне производителя. Но вы можете проверить, способно ли ваше устройство вообще обновляться. Убедитесь, что файлы обновления загружаются с проверенного сервера по зашифрованному каналу, и что ваше устройство использует безопасную архитектуру установки обновления.
3. Небезопасные интерфейсы экосистемы
Небезопасный веб-интерфейс, API, облачные или мобильные интерфейсы в экосистеме вне устройства, что позволяет компрометировать устройство или связанные с ним компоненты. Общие проблемы включают в себя отсутствие аутентификации или авторизации, отсутствие или слабое шифрование, а также отсутствие фильтрации ввода и вывода.
Использование небезопасных веб-интерфейсов, API, облачных и мобильных интерфейсов позволяет скомпрометировать устройство или связанные с ним компоненты даже без подключения к нему.
Например, Barracuda Labs провела анализ мобильного приложения и веб-интерфейса одной из «умных» камер и нашла уязвимости, позволяющие получить пароль к устройству интернета вещей:
2. Небезопасные сетевые сервисы
Ненужные или небезопасные сетевые службы, запущенные на самом устройстве, особенно открытые для внешней сети, ставящие под угрозу конфиденциальность, целостность, подлинность, доступность информации или допускающие несанкционированное удаленное управление.
Ненужные или небезопасные сетевые службы ставят под угрозу безопасность устройства, особенно если они имеют доступ к интернету.
Небезопасные сетевые службы могут быть подвержены атакам переполнения буфера и DDoS-атакам. Открытые сетевые порты могут быть просканированы на наличие уязвимостей и небезопасных служб для подключения.
Одними из самых популярных векторов атак и заражения устройств IoT до сих пор являются перебор паролей на не отключённых службах Telnet и на SSH. После получения доступа к этим службам злоумышленники могут загрузить на устройство вредоносное ПО или получить доступ к ценной информации.
1. Слабый, угадываемый или жестко заданный пароль
Использование легко взламываемых, общедоступных или неизменяемых учетных данных, включая бэкдоры во встроенном программном обеспечении или клиентском программном обеспечении, которое предоставляет несанкционированный доступ к развернутым системам.
Удивительно, но до их пор самой большой уязвимостью является использование слабых паролей, паролей по умолчанию или паролей, слитых в сеть.
Несмотря на очевидность необходимости использования сильного пароля, некоторые пользователи до сих пор не меняют пароли по умолчанию. Этим в июне 2019 года воспользовалось вредоносное ПО Silex, которое в течение одного часа превратило в «кирпич» около 2000 устройств интернета вещей.
А до этого известный всем ботнет и червь Mirai успел заразить 600 тысяч устройств интернета вещей, используя базу из 61 стандартных связок логин-пароль.
Решение – менять пароль!
Когда пользователи приобретают устройства интернета вещей, они задумываются прежде всего об их «умных» возможностях, а не о безопасности.
Ведь точно так же, покупая автомобиль или микроволновку, мы надеемся, что устройство «безопасно по дизайну» для использования.
До тех пор, пока безопасность IoT не будет регулироваться законодательством (пока что такие законы только в процессе зарождения), производители не будут тратить на нее лишние деньги.
Получается, единственный способ мотивировать производителя – не покупать уязвимые устройства.
И для этого нам надо… задуматься об их безопасности.