Логика безопасности
Основные принципы защиты персональной информации и домашних интернет-устройств
Интернет давно стал неотъемлемой частью нашей жизни и с каждым годом проникает в нее все глубже. Все большее распространение получает интернет вещей. В пандемию COVID-19 миллионы людей по всему миру перешли на удаленный режим работы, не стали исключением и сотрудники предприятий Росатома. Однако использование интернета влечет за собой опасность проникновения злоумышленников в домашнюю сеть. Рассказываем, какие базовые принципы должен знать каждый пользователь, чтобы обеспечить собственную кибербезопасность, уменьшить риск утечки персональных данных и защитить умные домашние системы.
Сидя на работе и наблюдая за ребенком с помощью веб-камеры или снимая с охранной сигнализации квартиру через мобильное приложение, мы не подозреваем, что это может сделать и другой человек. Вы уверены, что знаете правила информационной безопасности для домашних устройств и вам ничего не грозит? Всех правил не знает никто, но мы поделимся известными способами атак и мерами по защите домашних интернет-устройств. Надеемся, что это поможет вам выбрать подходящие меры защиты.
Возможные угрозы: безопасен ли «Умный дом»?
Что такое IoT (Internet of Things — интернет вещей)? По сути, это сеть, в которой люди могут общаться с устройствами, а устройства могут общаться между собой, реагировать на изменения и принимать решения без участия человека. IoT-устройства функционируют самостоятельно, хотя люди могут настраивать их или предоставлять доступ к данным, например к регулируемому диапазону температур, интернету для обновления и удаленного подключения.
Стоит ли покупать б/у систему «Умный дом» (это может стать актуальным даже для обеспеченных людей в новых экономических условиях)? В этом случае, даже если вы поменяете пароли на оборудовании, существует риск, что хакер, зная серийный номер и данные IP-контроллера, вышлет ему файл с конфигурацией с новым логином и паролем и контроллер его примет. Кроме того, неизвестно, как изменена прошивка контроллера и других элементов системы, а это повышает риск взлома. Также в б/у системе может стоять старая прошивка, которая может быть более уязвима к хакингу.
Азбука безопасности
Разработчики прикладывают максимум усилий для обеспечения безопасности и комфорта пользователя, но это достигается за счет высокой степени автоматизации (например, наличия почти полного управления автоматикой систем автомобиля), а там, где есть автоматизация, — есть хакеры, которые действуют ради профессионального интереса или хотят заработать деньги.
Зачастую разработчики устройств не вкладывают достаточно средств в обеспечение безопасности, стремясь быстрее внедрить новые технологии. При этом могут пострадать потребители. Давайте посмотрим, насколько опасно применение домашних устройств и как повысить свою личную защищенность при их использовании.
Итак, представим, что вы приезжаете домой, где у вас имеется система «Умный дом». Она считывает RFID-метку вашего автомобиля, автоматически открывает ворота, свет в доме уже горит. Вы вводите пароль в мобильном приложении для отключения сигнализации в доме. Внутри комфортная температура. Система полива газона включается в нужное время. Утром вы уезжаете на работу, и система автоматически закрывает ворота и входную дверь. Температура в доме понижается — для экономии газа или электроэнергии. И вам кажется, что так будет всегда.
Но! Если пароль от вашего Wi-Fi-роутера известен хакерам (например, от мастера, который настраивал систему) или если вы не изменили пароль администратора по умолчанию, то хакеры могут перехватить логин и пароль для снятия с сигнализации, которые вы вводите на своем мобильном телефоне. Вашу RFID-метку могут подделать, и ворота откроются не вам.
Как происходит получение доступа к вашим данным и почему это не всегда можно обнаружить?
Вы управляете устройствами, системой сигнализации, видеосистемой с домашнего компьютера? Тогда пароль может быть получен хакерами, если вы случайно откроете фишинговое письмо, например якобы с обновлением вашей охранной системы или антивируса. При запуске программы обновления ничего не произойдет, но вредоносная программа по перехвату паролей будет находиться на вашем компьютере. Если вы — известная личность, то хакерам будет интересно подключиться к системе домашнего видеонаблюдения. Если у вас телевизор или ноутбук с камерой, то риск наблюдения через них также имеется.
Разработчики систем часто оставляют так называемый backdoor — средство для удаленной отладки, обновления, что удобно разработчику, но повышает риски с точки зрения информационной безопасности.
Допустим, вам приходит письмо о необходимости обновления охранной системы или антивируса. Или просьба заполнить опросную анкету в файле или на сайте. Вы верите, что производитель присылает письмо с обновлением? Нет, он обновляет программу через интерфейс. Опросная анкета в файле? Сейчас неудобно обрабатывать данные таким образом, гораздо проще заполнять ее на сайте. Но сайт может быть поддельным, и при его запуске (запуском сайта вы запускаете вредоносный код) на вашем компьютере запускается сканер ваших файлов и программа поиска логинов и паролей Mimikatz (логины и пароли находятся в оперативной памяти, и Mimikatz их может найти).
Рассмотрим другой сценарий атаки. Вы открыли файл в формате doc, rtf, xls. Если в файле содержатся макросы (это мини-программы для автоматизации работы файлов, например улучшения обработки данных анкет, суммирования, формирования вопросов), то Word или Excel предложат их запустить. Если вы нажмете «Да», то макрос формирует команду запуска файла с хакерского сайта и запускает программу сканирования.
Что могут сделать злоумышленники, получив доступ к системе или устройству?
1. Подключиться могут, чтобы взломать. В этом случае вы ничего не узнаете, но пароли могут быть слиты в Даркнет, прошивки могут быть изменены, и это будет являться причиной следующего взлома.
В названии вашей сети Wi-Fi есть номер вашей квартиры, дома, ваши имя или фамилия? Поздравляем, вы облегчаете злоумышленникам работу по поиску именно вашего Wi-Fi. Используете старый роутер МГТС, в котором в пароле указываются только цифры? Это тоже облегчит задачу злоумышленникам.
Азбука безопасности
2. С вашей системой могут поиграть без злого умысла — включать ночью свет или сирену охранной сигнализации. Вариантов много. Если на вашу игровую приставку установят ботнет для DDoS-атак на банки, вы скорее всего этого не заметите.
3. Из системы или отдельных устройств могут получать данные. Используя видео, могут узнать, когда вас обычно нет дома, из аудиозаписей можно получить информацию, если вы дома ведете конфиденциальные переговоры. Из охранной системы можно получить логин для входа, из компьютера — ваши файлы, почтовую переписку, логины и пароли, если вы их записываете в файлы. Если вы публикуете посты в соцсетях, то, зная ваши интересы, вам проще будет направить фишинговое письмо.
4. Злоумышленники могут отключить систему охранной сигнализации. Им может помочь то, что вы используете одинаковый логин и пароль на всех ресурсах, и взломав один из ваших аккаунтов, они смогут овладеть и остальными.
Не всегда хакеры, взломав систему ради интереса, могут оставить вас в покое. Если через видеокамеру они при подключении получат компрометирующую информацию, то ее могут использовать против вас. При наличии интересной информации на компьютере — запустят шифровальщик и попросят деньги как за расшифровку, так и за покупку ваших файлов на площадке Даркнета первым.
Как могут действовать начинающие хакеры? Например, они могут сканировать IP-адреса и определять видеокамеры, контроллеры. Если в их названии есть ваши идентификационные данные, то это упростит определение их местоположения. Если вы не поменяли пароль по умолчанию, то эти пароли обычно известны для каждой марки оборудования и смогут использоваться злоумышленниками. Продавец в магазине не всегда посоветует вам сделать пароль посложнее — его задача продать, а не напугать вас атакой хакеров, в этом случае вы можете передумать покупать устройство.
Только продвинутые хакеры могут находиться на шаг впереди существующих технологий, особенно это касается уязвимости охранных систем, поэтому не надо заранее паниковать. Тем не менее давайте защитимся получше, это не сложно, но значительно снизит риск компрометации вашей информации, ваших домашних устройств, включая компьютер и телефон, и позволит быть более спокойным.
От простого к сложному: как защититься паролями?
Самый простой способ — поменяйте пароли после установки охранной системы, сделайте сложные и разные пароли для своих устройств, почты, соцсетей, логинов в разных сервисах. Мы не призываем делать везде разные пароли, хотя если вы забыли пароль, вы всегда можете попросить новый. Целесообразно сделать группы паролей: первую, например, для сервисов, не связанных напрямую с вашими банковскими картами или не содержащими персональную информацию о вас. Вторую, более защищенную, — для ваших социальных сетей. Для каждой сети в пароль можете добавлять один-два знака, имеющих отношение к сети, например пароль к сети vk.com — FaG1PqB$vk (а к вашей сети Wi-Fi — FaG1PqB$WF). Третью группу, еще более сложную, рекомендуется сделать для почты и сервисов, в которых хранятся ваши банковские карты.
Как распознать фишинговые письма?
В браузерах часто появляется реклама тех направлений, которые вы недавно искали, также может быть и с фишингом, в вотсап могут приходить ссылки на интересные вам направления, чтобы загрузить вредоносное ПО на ваши гаджеты и устройства. Как узнать, что письмо на вашей почте фишинговое, то есть его цель — взломать ваш компьютер или систему?
Если вы не хотите делать сложнозапоминаемые пароли, вы можете использовать разную, доступную только вам, логику их формирования. Например, жирные буквы фразы Самолет 2 Августа в Милан вы набираете в английской раскладке — fvj2FdVbk. В любом случае не используйте очевидные и простые слова, фразы, устойчивые выражения и наборы символов, которые легко подобрать (password, parol, abcd, qwerty, asdfg, 1234567). Пароль должен содержать не менее восьми символов, в том числе заглавные и строчные буквы, цифры, пробелы и специальные символы, например oNQZnz$Hx2. Никому не сообщайте и не отправляйте свои пароли, не оставляйте в доступном месте пароли, записанные на бумаге. И иногда их меняйте.
Азбука безопасности
Типовые признаки фишинговых писем:
— неизвестный e-mail и/или mail server;
— измененные один-два символа в mail server или имени;
— подозрительная ссылка;
— запрос идентификационных данных, каких-либо документов;
— привлечение к диалогу;
— наличие эмоциональной составляющей (страх, сострадание, сочувствие, альтруизм, тревога, готовность поддержать, доверчивость, жалость, желание испытать новое, быть в тренде и т.п.);
— необычные названия вложенных файлов.
В любом случае не открывайте никаких файлов, не только exe-файлы, но и архивы, особенно если внутри еще архивы, файлы в формате doc, rtf. Почему? MS Word поддерживает старые библиотеки (для старых расширений), но не выпускает для них обновления. В файлах могут быть макросы, исполнение которых может привести к сканированию вашей системы и определению установленных систем, а следовательно, и определению уязвимостей вашей системы.
Как защититься от социальной инженерии?
Социальная инженерия — это способ получения информации о вас и формирование воздействия через различные средства коммуникации: телефон, почта, разговор на конференции. Представьте: вы на отдыхе или уехали в гости (а злоумышленники знают, что вас нет дома).
Используйте двухфакторную аутентификацию. Например, при снятии дома с охраны через мобильное или веб-приложение, вам приходит сообщение на телефон с просьбой ввести полученный код. При использовании мобильного приложения лучше указывать номер другого телефона, так как при похищении у вас данного телефона сообщение придет к злоумышленнику.
Азбука безопасности
Раздается звонок, это может происходить ночью, к вам обращаются по имени-отчеству, называют фирму, которая ставила вам сигнализацию, и говорят, что сейчас нужно срочно поменять пароль, но просят сообщить текущий. Когда вы спите, отдыхаете и расслаблены, у вас сняты защитные рефлексы, и вы можете назвать пароль. Вполне возможно, что они спросят номер вашей банковской карты, чтобы защитить на ней деньги, представившись сотрудниками банка. Человек спросонья начинает диктовать информацию. Тут мер защиты нет, вы должны просто знать, что такие методы существуют, и при их инициации понимать, что это злоумышленники, которые действуют быстро — используя ваши эмоции (чувство страха). При этом они могут позвонить и вашему ребенку, который может знать пароль или пин-код кодового замка. А почему злоумышленники могут знать, что вы не дома? Потому что вы сами рассказываете в соцсетях, что уехали в отпуск.
Как минимизировать передачу персональных данных?
Вы публикуете фотографии с отдыха в соцсетях? Элементы новой охранной системы попали в кадр? Вы размещаете номера ваших телефонов на каких-либо сайтах, чтобы что-то продать? Вы отмечали день рождения в кафе и давали свой паспорт для снятия копии? Или даже фотографировались с паспортом в руках, когда заказывали кредитную карту онлайн? Как обезопасить себя?
Если вы опасаетесь, что злоумышленники могут проникнуть в ваш дом, перед отъездом смените пароли доступа к охранной системе, пин-коды замков. Публикуйте фотографии после возвращения из отпуска.
Используйте разделение потоков информации. Фирмы — установщики охранных систем, банки должны знать номер телефона, которого нет в соцсетях. Вы не знаете человека, которому даете паспорт для копии: снимет ли он цветную копию, снимет он одну или все страницы. Чтобы на ваше имя не взяли кредит по фотографии паспорта (а это сейчас происходит часто), достаточно предъявить черно-белую копию паспорта с затертой подписью и с надписью «Для кредита», «Для гостиницы».
Алгоритм действий
1. Проводим инвентаризацию «умных» (компьютерных) устройств в доме. При покупке новых устройств не обязательно ориентироваться только на дорогих топовых производителей, но желательно выбирать популярные марки.
2. Читаем в интернете, есть ли у них уязвимости. Проводим обновление при возможности, даже на новых устройствах. Объяснение простое: для старых прошивок уже могут быть известны уязвимости и методы взлома, для новых риск ниже.
3. Задаем пароли в соответствии с вашей парольной политикой для всех устройств. Помним: одно незащищенное устройство может послужить входом на другие для злоумышленников.
4. Особо важные устройства, например компьютер, на котором хранится конфиденциальная информация, изолируем от интернета (данные при необходимости переносим с использованием флэшки).
5. Соблюдаем правила защиты от фишинга, применяем при необходимости двухфакторную аутентификацию и другие меры.
6. Проводим настройку систем и их систем безопасности (антивирус, VPN и т.д.).
7. Определяем устройства, в безопасности которых мы сомневаемся. Высок ли риск утечки информации через них, нарушения нашей безопасности? Как много времени (и средств) уйдет на замену устройств, безопасность которых обеспечить не удается? Не забываем, что если не соблюдать все вышеуказанные рекомендации, то смена системы не принесет нужного уровня безопасности.
8. Не забываем, что жизнью тоже нужно успевать наслаждаться, и обеспечение безопасности информации не должно занимать много времени.
