Обнаруженные на этой неделе критические уязвимости в роботах компании Yarbo — модульных газонокосилках, снегоуборщиках и триммерах с дистанционным управлением — заставили экспертов вернуться к системной проблеме: пользователи подключают к сети «умные» устройства, не всегда осознавая, что внутри каждого из них — полноценный компьютер. Владислав Шелепов, аналитик угроз GSOC компании «Газинформсервис», предупреждает: главная опасность таких гаджетов в их потенциале стать мишенью для кибератак.

«Эта история хорошо показывает, почему "умные" устройства нельзя оценивать только по удобству. Пользователь видит робота, который стрижёт газон, а атакующий — Linux-хост в чужой сети, облачный API, камеры и канал управления. И это касается не только газонокосилок. Камеры, замки, кофемашины, датчики — всё это часто опрометчиво подключают к сети почти на автомате, не думая, что внутри стоит полноценный компьютер, который ходит в интернет, принимает команды, общается с облаком и при плохой защите может стать удобной точкой входа. Исследователь как раз описывает такой набор рисков: от удалённого контроля до использования устройства как плацдарма для атак на сеть», — поясняет эксперт.

Особенно опасна иллюзия, считает Владислав Шелепов, что для защиты достаточно лишь своевременно исправлять уязвимости в прошивке. На практике пользователям эксперт рекомендует:

— перед подключением «умного» устройства проверять, зачем ему нужен интернет и какие разрешения оно запрашивает (возможно, устройство прекрасно справляется со своими функциями и без подключения);
— поискать в интернете информацию о модели — возможно, подобные инциденты уже случались, и способы защиты описаны;
— если устройство уже подключено к сети, не забывать о нём: как минимум периодически проверять наличие обновлений прошивки;
— если техника не используется длительное время, отключать её от сети и подключать только по необходимости.

Продвинутые пользователи и компании способны выявить атаку на ранней стадии — по косвенным признакам в сети.

«С такими сценариями компаниям помогает справляться центр мониторинга, например GSOC компании "Газинформсервис". SOC не обязан видеть саму уязвимость в прошивке, чтобы быть полезным, — часто хватает следов: странные DNS-запросы, постоянные соединения наружу, попытки сканировать внутреннюю сеть, обращения к непривычным протоколам, ночные всплески трафика. Даже если "умная" техника не заведена в мониторинг как полноценный актив, её поведение всё равно видно по инфраструктурным логам. Именно по этим следам можно поймать атаку до того, как она развернётся во что-то серьёзное», — добавляет аналитик.

Напомним, исследователь Андреас Макрис обнаружил, что более 11 тысяч роботов Yarbo по всему миру имели одинаковый неуправляемый root-пароль. Это позволяло злоумышленнику удалённо перехватывать управление, получать доступ к камерам и GPS-координатам домовладельцев.