Технологии предоставляют сегодня возможность подключения к Сети практически любой вещи, а из полученного конгломерата датчиков, бытовых приборов и т.п. можно собрать сложную систему, выполняющую команды устройства управления, в качестве которого может выступать компьютер, планшет или смартфон. Все это — Интернет вещей (Internet of Things, IoT), и спецификации данного образования сейчас разрабатываются несколькими международными институтами по стандартизации. Однако насколько надежно в IoT будет обеспечена защита вообще и персональных данных в частности?

Мобильные устройства могут передавать данные на относительно небольшие расстояния, поэтому спецификации стандартов стека Интернета вещей, как правило, относятся к группе стандартов для персональных сетей (Personal Area Network, PAN) — то есть беспроводных сетей небольшого радиуса действия (до десятков метров). Считается, что впервые концепция Интернета вещей была сформулирована для маркетинговой кампании с целью продвижения меток RFID, чтобы стимулировать производителей и продавцов к снабжению всех вещей уникальными идентификаторами, однако постепенно она преобразилась в концепцию создания сети датчиков и исполнительных устройств, каждое из которых обладает собственным интеллектом. Во всяком случае именно такая архитектура предполагается в стандарте IEEE 802.15.4, который планируется использовать для обеспечения беспроводной передачи данных между такими устройствами. Этот стандарт, в частности, делит все устройства на два класса: устройства ограниченной функциональности (Reduced-Function Device, RFD) и устройства полной функциональности (Full-Function Device, FFD), обеспечивающие управление сети из RFD. Все это сильно напоминает технологию Bluetooth, перенесенную на другую технологическую базу.

Вторая сетевая технология из стека Интернета вещей — передача данных по электропроводке (Power Line Communication, PLC). Эта технология используется для подключения к Сети исполнительных устройств из числа бытовых приборов, таких как кофеварки, холодильники, отопители и др., которые сейчас подключаются к сети энергоснабжения. Однако энергетические сети плохо передают данные, что связано с их древовидной структурой, поэтому скорости передачи информации в них невелики. К тому же скачки напряжения при включении и выключении тех или иных устройств могут создать определенные проблемы для передачи данных в режиме реального времени — а именно это нужно для эффективного управления процессом. Конечно, решения всех этих проблем имеются, но пока они еще не достигли уровня коммерческого использования.

Стандартом высокого уровня для Интернета вещей считается проект IETF, получивший название 6LoWPAN (IPv6 over Low power WPAN, Wireless personal area network, WPAN) и предлагающий использовать протокол IPv6 для устройств, управляемых через радиосеть или через PLC. Особенность этого протокола — встроенное шифрование и огромное адресное пространство, необходимое для идентификации каждого отдельного устройства и датчика. Проблема в том, что эффективно маршрутизировать по IPv6 сложнее, чем по IPv4, — необходимость работы с длинными именами приводит к усложнению таблиц маршрутизации и проблемам с прокладкой маршрутов. Преодоление сложности маршрутизации при работе с устройствами класса RFD, имеющими ограниченные интеллектуальные возможности, и является основной задачей проекта 6LoWPAN.

Технологии IoT еще только формируются, но архитектурно беспроводная технология очень похожа на Bluetooth, поэтому и проблемы безопасности могут быть схожи. В частности, для Bluetooth оказалось, что ограничение по расстоянию не критично, и с помощью специальных антенн можно значительно (до сотен метров) увеличить дальность передачи между центральным устройством и «периферийным». В то же время предполагается, что пользователь устройства может визуально контролировать безопасность в радиусе лишь нескольких десятков метров, не допуская в него недоверенные устройства. В реальности все оказалось не так — при движении в толпе контролировать устройства, которые пытаются установить связь с устройством пользователя, практически невозможно, поэтому и возникла рекомендация в людных местах выключать Bluetooth. Однако, и находясь дома, никто не имеет гарантии, что злоумышленник не сможет с помощью специальной направленной антенны подключиться извне к датчикам или центральному устройству сбора данных. Визуальный контроль для PAN — иллюзия.

Другой проблемой безопасности беспроводной связи является разделение на активные и пассивные устройства — базовую станцию и клиентское оборудование. Понятно, что устройство злоумышленника всегда может прикинуться пассивным и слабоинтеллектуальным устройством, являясь при этом достаточно производительным, например, для взлома слабых алгоритмов шифрования. Вполне вероятно, что поставщики электронных компонентов для Интернета вещей будут вынуждены для совместимости использовать старые протоколы с известными уязвимостями, что приведет к возможности взлома. В частности, устройство злоумышленника может объявить, что ему доступны только достаточно слабые с точки зрения защиты алгоритмы шифрования, которые вполне можно вскрыть в режиме реального времени, а базовая станция соглашается использовать такие слабозащищенные протоколы, чтобы не потерять связь с устройством. В результате у постороннего человека появляется возможность вмешаться в работу беспроводной сети.

Впрочем, злоумышленники могут зайти и с другой стороны — перехватив контроль за RFD-компонентами, прикидываясь для них легальным управляющим устройством. Скорее всего, взаимная аутентификация устройств будет основана на сертификатах, по аналогии с SSL, и, получив доступ к доверенному сертификату или другим образом обманув выстроенную инфраструктуру PKI, можно будет подключиться к устройству и перепрограммировать его без ведома хозяина. В частности, злоумышленник может использовать устройство для дальнейшего нападения на центральную систему управления. Сегодня, применительно к IoT, не совсем понятно, какое из двух типов устройств будет более уязвимым — RFD или FFD, это зависит как от разрабатываемых сейчас стандартов на них, так и от их реализации производителями.

Основным методом защиты от большинства атак на беспроводные системы передачи данных является шифрование, причем с акцентом на несимметричную криптографию, позволяющую защититься от вмешательства посторонних устройств. Однако именно она является наиболее ресурсоемкой, поэтому при ее реализации в аппаратуре с небольшим количеством вычислительных и энергетических ресурсов придется идти на компромиссы.

Проводная часть IoT, которая базируется на PLC, также далеко не безопасна. Дело в том, что передачу данных по электрическим сетям легко отследить, поскольку сама по себе разветвленная энергетическая сеть является хорошей антенной. Побочное излучение от передачи данных по ней, скорее всего, можно перехватить и за пределами квартиры или офиса. И хотя квартирные счетчики электроэнергии являются хорошими изоляторами, не выпускающими информационные сигналы вовне, тем не менее проблематично удержать в квартире наводки от энергетической сети. Правда, вмешаться в эту передачу будет сложно, однако не исключено, что получив какую-то ценную информацию от силовой сети, злоумышленник сможет получить доступ к системе через традиционные компьютерные подключения.

Следует отметить, что основной целью IoT является создание инфраструктуры для взаимодействия автоматических устройств, обеспечивающей считывание данных с различных датчиков освещенности, температуры, движения для управления исполнительными устройствами — освещением, нагревателем, кофеваркой и т.п. Такое взаимодействие сейчас называют межмашинным (machine-2-machine, M2M), предполагая отсутствие человека при принятии решения. Персональный компьютер, планшет или смартфон в этом случае выступает как универсальный пульт управления различными бытовыми приборами, которые, получив исходную команду от человека, действуют затем самостоятельно. Установленные во всех этих устройствах процессоры для работы со стеком протоколов TCP/IP обеспечивают передачу команд по единой шине обмена информацией внутри дома, салона автомобиля или набора собственных гаджетов.

Для обмена управляющими командами сейчас предлагается использовать стандарт XML, однако для систем, управляемых с его помощью, имеется специальный тип атак — инъекция XML-объектов, когда в поток сообщений злоумышленник может вставить свои дополнительные XML-объекты и навязать исполнительным устройствам выполнение определенной последовательности команд. Поэтому разрабатываемые протоколы для M2M должны предусматривать защиту и от этих относительно новых технологий нападения.

Развитие концепции Интернета вещей привело к другой концепции — туманных вычислений (fog computing), предлагающей использование облачных сервисов для обслуживания сети датчиков и исполнительных устройств. Приложения для поддержки таких сервисов контролируются не пользователем, а некоторой сервисной компанией. Естественно, это удобно пользователю, которому не хочется устанавливать приложение для управления кофеваркой — пусть этим займется специальный облачный оператор кофеварок. В этой цепочке появляется дополнительное звено — облачный оператор, а для него существует свой набор угроз, которые напрямую относятся к облакам, а не к IoT. Именно на этом уровне, по мнению аналитиков, сконцентрирован максимальный риск «туманных вычислений» (см. рисунок).

Уровни риска безопасности для IoT
Уровни риска безопасности для IoT

 

***

В отчете Национального разведывательного совета США от 2008 года Интернет вещей указывается как одна из потенциально опасных технологий относительно ближайшего будущего (2025 год). В качестве угроз называется опасность терроризма, проблемы обеспечения приватности и защиты различных секретов. Правда, в том же отчете указывается, что при постепенном и эволюционном развитии концепции IoT индустрия, скорее всего, сможет выработать решения всех проблем безопасности. При этом указывается срок такого всеобщего безопасного использования IoT — 2035 год. Впрочем, безопасным будет и внедрение этой технологии уже сейчас, но в отдельных индустриях, где технологии межмашинного взаимодействия приходят на смену морально стареющим системам SCADA; однако для этого потребуется обеспечить такой же, как сейчас или даже больший уровень безопасности новых технологий.