Текст книги "Риски цифровизации: виды, характеристика, уголовно-правовая оценка"

Контроль условий выращивания потомства в животноводческих хозяйствах необходим для обеспечения его выживания и здоровья. Применима эта технология также для установления расположения и для идентификации животных на открытых пастбищах или в больших конюшнях.

Проблематика безопасности интернета вещей. По мере роста популярности интернета вещей (IoT) усиливается обеспокоенность по поводу безопасности этой технологии. Только в 2018 г. «Лаборатории Касперского» выявили более 105 млн атак на интеллектуальные устройства, а в 2020 году рост целевых атак составил 20 %. Использование подключенных к интернету автомобилей, камер, колонок, дронов, медицинских приборов, систем климат-контроля и подобного оборудования становится все более массовым. В качестве яркого примера нарушений безопасности IoT можно привести домашние устройства, подслушивающие и манипулирующие людьми. Умные помощники, например, Google Home и Amazon Alexa, все чаще становятся частью жизни людей. Однако, способность технологии слушать (записывать) и задавать вопросы делает эти устройства привлекательной целью для хакеров. Кроме такой очевидной угрозы, как подслушивание, уже к 2018 г. исследователи обнаружили проблемы кибербезопасности, которые позволили злоумышленникам получать конфиденциальную информацию, в частности, пароли и номера кредитных карт пользователей.

Большинство цифровых устройств (колонки, камеры, маршрутизаторы, накопители данных (устройства NAS) обычно применяют в домашних условиях и в небольших офисах, и это означает, что хакеры могут с относительной легкостью использовать известные недостатки безопасности IoT для достижения своих целей.

Делает эту проблему особенно важной фактически непрерывный процесс написания глобальным сообществом хакеров нового вредоносного ПО, реализующего угрозы безопасности. Это ПО (эксплойты) наносит вред и потребителям, и предприятиям, если они не осуществляют базовую проверку безопасности своих устройств IoT на регулярной основе.

Широко распространены сетевые атаки, когда злоумышленники перехватывают управление (компрометируют) сетевые устройства. Атака на «умный дом» или «умное здание» в целях перехвата удаленного управления и дальнейшей вредоносной эксплуатации. Атака начинается с компрометации маршрутизатора для того, чтобы сделать домашние устройства доступными через интернет. Кроме перехвата управления злоумышленники могут отследить любую информацию, проходящую через эти устройства, что создает риск получения личных или конфиденциальных данных хакерами или киберворами.

Уязвимости инфраструктуры и устройств интернета вещей.

Слабые пароли. Эксперты по информационной безопасности установили, что наибольшее количество успешных атак на устройства IoT были рассчитаны на применение пользователями слабых паролей, паролей производителем предустановленных (в том числе на устройства, пароли для которых невозможно изменить) и на устройства которые имеют не декларированные или оставленные в результате ошибок разработчиков «черные ходы».

Пароль называют слабым, если его легко т. е. быстро и без затрат ресурсов подобрать. Это относится и к легко угадываемым человеком паролям, и к тем, которые подбирают посредством программ-взломщиков. Взломщики – специальные компьютерные программы, созданные для подбора паролей. Взломщики паролей могут работать по-разному, но наиболее распространенной является атака по словарю. При такой атаке программа-взломщик последовательно перебирает словарь паролей, сформированный по данным статистики, собранной с других систем. Программа начинает с самых популярных, пробуя каждый пароль в словаре для каждой известной учетной записи (или для каждого имени пользователя), пока не войдет в систему. Таким образом, если пароль содержится в словаре какой-нибудь программы взломщика, то это слабый пароль. Очевидно, что все пароли, представляющие собой русские и английские слова слабые. Название топонимов, спортивных команд, числа и даты тоже подбираются очень быстро. Быстро подбираются устойчивые клавиатурные сочетания, например 12345 или qwerty, qwe123, их подбирают в течение нескольких секунд. Личные имена также являются крайне слабыми паролями.

Практически все слабые паролей находятся в свободном доступе в интернете. Их список – файлы-словари – можно найти в заранее подготовленном формате, который поддерживают популярные программы для взлома паролей. При подборе программа проверяет не только слова целиком, но и их произвольные сочетания с другими слабыми паролями. При публикации данных о количестве подобного рода успешных атак эксперты выражали недоумение, поскольку проблема слабых паролей освещалась на протяжении нескольких десятилетий, но результаты 2019 г. мало чем отличались от обзора уязвимостей 2017 г.

Предустановленные пароли (hard-coded passwords). Использование предустановленных паролей имеет много негативных последствий. На многих устройствах по умолчанию существует учетная запись администратора, для которой установлен простой пароль, изначально заданный в программе или устройстве.

Предустановленный пароль одинаков для всех устройств и систем этого типа. Владельцем оборудования он зачастую не меняется, а заводская учетная запись не отключается. Если злоумышленник сталкивается с устройством такого типа, ему достаточно просто найти пароль по умолчанию (который свободно доступен в интернете на сайте производителя оборудования) и войти в систему управления устройством и получить неограниченные права доступа.

В системах, которые аутентифицируются при помощи сервисов программно-аппаратной части (back end), предустановленные пароли зачастую хранятся в формате, из которого пароль можно восстановить. Это приводит к тому, что злоумышленники находят пароль, который прописан в определенном месте памяти устройства. Системы с предустановленными паролями на пользовательском интерфейсе представляют собой еще большую угрозу, поскольку извлечь пароль из файла чрезвычайно просто.

В целом все механизмы аутентификации, которые полагаются на память человека, запоминание человеком определенного секрета – пароля, ключевого слова, набора цифр и т. п., слабы. Конкретные требования к сложности пароля зависят от типа защищаемой системы. Выбор правильных требований к паролям и их применение имеют решающее значение для успешной аутентификации.

К данной категории уязвимостей систем IoT эксперты относят также использование оборудования, в котором невозможно изменить исходный пароль, или с бэкдором, который производители встроили в системное или клиентское ПО, которое предоставляет возможность несанкционированного доступа к устройствам и механизмам IoT.

Использование небезопасных сетевых сервисов. Во многих устройствах IoT, например, в умной розетке или смарт-часах, предусмотрены сетевые сервисы, которые позволяют устройству обращаться к инфраструктуре IoT, а к ним – из IoT. Некоторые из этих сервисов небезопасны, не редки случаи, когда эти сервисы в принципе не нужны для функционирования устройства. Особую опасность представляют сетевые сервисы, которые доступны через интернет. Такие сервисы ставят под угрозу конфиденциальность, целостность, подлинность и доступность данных на устройстве, а в некоторых случаях допускают перехват и несанкционированное удаленное управление самим устройством. Такой перехват используется для дальнейших атак на приватные сегменты сети IoT. Таким образом, злоумышленники используют уязвимые сетевые службы для атаки на само устройство или компрометируют его как промежуточную точку взлома. Такие атаки могут проводить как внешние так внутренние пользователи сети IoT. В числе прочих, небезопасные сетевые службы подвергаются атакам:

– вызывающим переполнение буфера;

– приводящим к отказу в обслуживании;

– на уязвимые сценарии.

В первом случае, службы, подключенные к определенным портам с 0 по 1023, должны работать с правами администратора. Если в службе произойдет переполнение буфера, нападающий сможет получить доступ к системе с правами администратора, запустившего этот сервис. Поскольку переполнения буфера нередки, взломщики применяют автоматические программы для выявления систем с такими уязвимостями и, получив к ним доступ, создают себе скрытые доступы на устройство с неограниченными правами запуская инструменты скрытого управления (rootkits) для сохранения этого доступа.

При атаке второго типа (Denial of Service Attacks – DoS) служба искусственно загружается большим количеством запросов и устройство может прекратить функционирование, пытаясь обработать все запросы и ответить на них. В случае с медицинским оборудованием такой отказ это может привести к нанесению вреда здоровью человека.

Атаки третьего типа происходят следующим образом: если сервер выполняет на своей стороне специальный программный код (сценарии, как правило, делают веб-серверы), взломщик проводит атаку на сценарии написанные с ошибками. Это приводит к переполнению буфера или позволяет взломщику изменить файлы на компьютере.

Небезопасные сетевые службы нередко могут обнаруживаться автоматическими инструментами: сканерами портов, фаззерами и др. Небезопасные сетевые службы могут привести к потере или повреждению данных, отказу в обслуживании, облегчению атак на другие устройства.

Уязвимый веб-интерфейс. В IoT широко распространен подход, при котором для управления гаджетами и устройствами IoT в них встраивают специальный веб-сервер на котором размещено веб-приложение. Как и у любого веб-сервера и веб-приложения в исходном коде могут быть недостатки, которые делают интерфейс уязвимым для кибератак. Такого рода атаки могут исходить и от внешних и от внутренних пользователей сегмента сети IoT. Безопасность веб-интерфейса нарушается при отсутствии блокировки учетных записей, установленных производителем, слабых паролях, отсутствии защиты от подбора учетных данных и при наличии других уязвимостей.

Небезопасные веб-интерфейсы широко распространены поскольку предполагается, что эти интерфейсы будут доступны только во внутренних сетях, однако угрозы со стороны внутренних пользователей могут быть такими же значительными, как и угрозы со стороны внешних пользователей. Проблемы с веб-интерфейсом легко обнаружить при исследовании интерфейса посредством инструментов автоматического тестирования. Такие веб-интерфейсы могут привести к потере или повреждению данных, отказу в доступе, к полному захвату устройства, отказу пользователей от ответственности за выполненные операции.

Одними из самых уязвимых являются веб-сервисы видеоустройств. Взлом веб-сервера видеокамеры и перехват ее управления приводил к большому количеству ситуаций, когда был нанесен моральный, финансовый вред, создавались угрозы для здоровья и жизни людей. Например, приватные записи с частных камер, установленных в личном помещении, злоумышленники используют для вымогательства. Благодаря доступу к камерам, наблюдающим за периметром дома, дачи, офиса, преступники качественно улучшают планирование кражи имущества.

Отказ в обслуживании камер в момент кражи также облегчает совершение преступления, создавая в обычное время иллюзию защищенности. Для этой же цели используют модификацию и перенаправление видеопотоков, чтобы служба охраны в режиме реального времени не заметила преступления.

Взлом камер на торговых точках и использование записей для недобросовестной и фактически противоправной конкурентной борьбы может привести к серьезному финансовому ущербу. Особенно значимы такие атаки, когда конкурент проводит подготовку и запуск дорогостоящей рекламной кампании или другие специальные мероприятия.

Наибольшую опасность представляют организации фашистского, расистского толка, ксенофобы и люди с психическими расстройствами, преследующие других людей за их сексуальные предпочтения или религиозные убеждения. Используя записи и трансляции видеокамер, злоумышленники получают подтверждения принадлежности жертвы к ненавистным им группам и координируют свои действия. Сам по себе факт публикации видеозаписи частной жизни людей может является нанесением тяжкого морального вреда, а также может быть использован для доведения до самоубийства.

Ненадежный облачный интерфейс. Существенное количество устройств IoT для обмена данными и управляющими командами имеет возможность подключаться к облачным сервисам. Чаще всего это облачный сервис, реализованный на ресурсах производителя IoT-устройства. Например, практически все умные браслеты и умные часы обмениваются данными через серверы их производителей на протяжении всего жизненного цикла своей работы. Эти механизмы передачи данных имеют характер массового использования поскольку для использования не требуется дополнительная оплата. Цена подобного сервиса входит в стоимость устройства.

При недостаточно квалифицированном или безответственном подходе облачный интерфейс управления становится еще одной потенциальной уязвимостью. Атаковать непосредственно устройство сложно, потому что, например, браслеты находятся в домашней сети, за домашним маршрутизатором или межсетевым экраном, удаленному злоумышленнику сложно получить доступ к интерфейсу управления на устройстве. Тогда как облачные сервисы доступны всем владельцам устройств данного производителя через интернет. В связи с чем атакующий выбирает следующие уязвимости для взлома облачного сервиса: недостаточно надежную аутентификацию, отсутствие шифрования при обмене данными и слабую защиту от подбора данных учетных записей. Посредством атаки происходит перехват доступа к данным и элементам управления через облачный веб-сайт. Атака чаще всего осуществляется через интернет. Небезопасные облачные интерфейсы легко обнаружить, проверив соединение с облачным интерфейсом и определив, используется специальный, защищенный посредством криптографии протокол SSL или шифрование не применяется. Запуская механизм восстановления паролей и давая ему на вход списки адресов электронной почты, можно определить, какие пользователи зарегистрированы в атакуемой системе, а впоследствии предпринять атаку подбором паролей.

Небезопасный облачный интерфейс приводит к компрометации пользовательских данных и перехвату управления устройством. В случае, например, браслетов это позволит злоумышленникам увидеть типовые маршруты и время перемещения детей, спрогнозировать отсутствие владельцев в квартире, на даче. Такая информация дает возможность усилить моральное давление на лиц с другой национальностью, верой, сексуальными предпочтениями, политическими взглядами, вести шантаж посредством угроз жизни, в частности детей, и выслеживание, чтобы нанести физический вред.

Ненадежный мобильный интерфейс. В настоящее время мобильные телефоны и смартфоны есть у подавляющего числа граждан России и мира. В связи с чем устройства IoT также имеют мобильный интерфейс, в том числе с голосовым управлением. Наличие дополнительно интерфейса является для злоумышленника еще одной возможностью проникнуть в инфраструктуру IoT.

Известны несколько векторов атак: слабая аутентификация в мобильном приложении, отсутствие шифрования при обмене данными посредством Wi-Fi, Blootooth, GPRS, подбор данных учетных записей и др. Небезопасные мобильные интерфейсы легко обнаружить при помощи программ-сканеров, позволяющих проверить надежность подключения к беспроводным сетям, установить, используются или нет безопасные механизмы регистрации в сети, например WEP2 или более надежные, определить, используется ли шифрование при обмене данными.

Повышает риски успешной атаки применение открытых небезопасных Wi-Fi-соединений в общественных местах. Возможна также атака посредством подделки доверенной точки доступа, когда злоумышленники выдают свою точку доступа, чтобы перехватить обмен данными, в ручном режиме определить надежность механизма восстановления или сброса пароля. При выявлении слабости злоумышленники определяют используемые учетные записи и использую специальное программное обеспечение подбирают к ним пароль. Возможные последствия перехвата управления мобильным устройством имеют разнообразные формы: несанкционированное списание денег посредством системы «клиент-банк», кража конфиденциальной корпоративной информации, представляющей коммерческую тайну, похищение данных для авторизации на корпоративных ресурсах, благодаря которым можно временно вывести из строя ИТ-инфраструктуру организации и государственной службы, уничтожить критические данные пользователей, в том числе без возможности восстановления.

Незащищенные патчи и обновления. Написание ПО – сложный и трудоемкий процесс. В связи с чем практически любое ПО содержит ошибки. При разработке жизненного цикла программного продукта всегда закладывается механизм обновлений – изменений в программе, расширяющих или изменяющих ее функционал и механизм установки заплаток (патчей, patch), что устраняет выявленные недостатки текущего функционала, стабильности работы или безопасности. Если механизма обновлений нет вообще, это само по себе является слабой стороной безопасности устройства. Однако сами обновления могут быть небезопасны, если файлы обновлений или сетевое подключение, по которому они доставляются, уязвимы. Уязвимости патчей и обновлений это, в частности, отсутствие:

– автоматической актуализации версии ПО, в результате чего пользователь не знает, насколько адекватна защита устройства возникшим угрозам и была ли выпущена «заплатка», убирающая выявленную с момента начала эксплуатации уязвимость;

– возможности проверить прошивку на устройстве пользователем самостоятельно;

– защиты канала передачи обновления (без шифрования при передаче);

– механизмов предотвращения отката, когда нет возможности отменить обновление, которое само содержало уязвимости;

– уведомлений об изменениях свойств безопасности из-за обновлений

– изначально интегрированной в исходное ПО и прошивку конфиденциальной информации, например данные учетных записей для авторизации устройства.

Такого рода уязвимости порождают угрозы подмены обновления, в силу чего ПО или устройство получает недокументированные возможности, созданные злоумышленниками. Актуальной становится угроза перехвата управления или выведение устройства из строя в результате использования выявленных уязвимостей, о которых пользователь не узнал или которые он не смог устранить корректным обновлением.

Из-за регулярного внесения изменений в ПО устройств IoT существует несколько векторов атак:

– захват файлов обновлений через незашифрованные соединения;

– внесение изменений в файл обновлений;

– подмена обновлений в доверенном источнике на обновления, содержащие вредоносный код.

Кроме того, злоумышленники могут присылать электронную почту с сообщением о выходе нового обновления и предлагать его установить. В результате мобильное устройство оказывается под управлением зловредной программы. Распространены случаи, когда любители вносить изменения в мобильные устройства на системном уровне скачивают с публичных серверов установочные файлы для операционной системы, изначально имеющей «черные ходы» и возможности перехвата управления или кражи данных.

В зависимости от способа обновления и от конфигурации устройства атаки возможны из локальной сети или интернета при помощи социальной инженерии.

Проблемы безопасности ПО / встроенного ПО можно выявить проверив сетевой трафик во время обновления на наличие шифрования или используя низкоуровневый редактор шестнадцатеричного кода, чтобы проверить сам файл обновления на наличие легко извлекаемой чувствительной информации. Небезопасное ПО/прошивка может привести к компрометации пользовательских данных, перехвату контроля над устройством и атакам через него на другие устройства.

Отсутствие шифрования при передаче данных. Если устройство IoT отправляет личные или другие критичные данные по небезопасному сетевому протоколу, они передаются в незашифрованном, незачищенном виде. В результате на любом участке передачи его можно перехватить, прочитать и исказить. В силу того, что межкорпоративная стандартизация протоколов обмена в IoT все еще на этапе развития, а государственного регулирования практически нет, уязвимость представляет серьезную угрозу для пользователей IoT.

Атакующий использует отсутствие шифрования как возможность для просмотра данных. Отсутствие шифрования позволяет просматривать данные во время их перемещения и по локальной сети, и через интернет. Отсутствие транспортного шифрования широко распространено в локальных сетях, поскольку разработчики основываются на предположении о том, что трафик локальной сети не будет широко доступен, однако в случае локальной беспроводной сети ее неправильная конфигурация может сделать трафик видимым для любого подключившегося к ней посредством беспроводной сети. Уязвимости домашних роутеров и точек доступа позволяют злоумышленникам проникать в эти сети. Таким образом, круг потенциальных нарушителей фактически существенно шире – он ограничен уже диапазоном беспроводной сети, что создает гораздо больше угроз, чем предполагали разработчики сетевых транспортных технологий IoT.

Многие проблемы с транспортным шифрованием легко обнаружить, сканируя и анализируя сетевой трафик и выполняя автоматизированный поиск в сетевых пакетах открытых данных. Отсутствие транспортного шифрования может вызвать потерю информации и, в зависимости от перехваченных данных, полную компрометацию устройства или учетных записей пользователей.

Кроме прочих, цель атак – привести датчики аварийных служб к состоянию отказа в обслуживании или отключению, что увеличивает ущерб в случае, например, пожара; к блокированию датчиков охранных устройств, что не позволит вызвать полицию, к сокрытию подтопления и другим аномальным событиям, которые могли бы быть выявлены при штатной работе датчиков и устройств IoT.

Недостатки физической безопасности устройств. В том случае, если устройство IoT попадает непосредственно в руки злоумышленников, они могут совершить атаку через USB-порты, SD-карты или другие средства хранения данных. Цель подобных атак – получить доступ к управлению операционной системой, в частности к любым данным, хранящимся на устройстве. Скомпрометированное устройство зачастую содержит пароли и доступы к внешним сервисам, что позволит использовать устройство IoT как точку входа в другие узлы инфраструктуры IoT.

Устройство считается ненадежным, если злоумышленник может разобрать устройство и легко получить доступ к носителю данных и любым данным, хранящимся на нем. Это касается всех устройств, где не применяется шифрование носителей. Устройство признается уязвимым и в том случае, когда при помощи USB или других внешних портов можно получить доступ в специальном режиме и использовать функции, предназначенные для конфигурации и обслуживания устройства. При перехвате управления операционной системой даже шифрование носителя – недостаточная мера, поскольку посредством операционной системы обращение к зашифрованной памяти устройства будет считаться штатным. При такой атаке данные могут быть украдены или изменены.

Отказ от функций безопасности. Одна из глобальных проблем IoT состоит в том, что даже если разработчики инфраструктуры IoT корректно оценили риски и реализовали функции защиты, пользователи устройств, администраторы инфраструктур IoT не эксплуатируют их должным образом. Поскольку недостатки управления настройками безопасности являются относительно типовыми, это создает еще одно направление для массовых автоматизированных атак.

Еще один пример угроз инфраструктуре IoT – прямой обман производителя. Производитель декларирует определенные свойства безопасности устройств или ПО, но в целях экономии и упрощения производства не реализует их. Иными словами, устройства IoT могут вовсе не иметь встроенных механизмов безопасности, как это утверждается производителем. В результате отсутствует возможность шифрования, нет средства обнаружения и мониторинга потенциальных кибератак. В независимости от того, по какой причине интегрированные средства безопасности не функционируют (их нет, они не активированы или не настроены должным образом), атакующие используют это для доступа к данным или элементам управления на устройстве. Злоумышленникам также на руку отсутствие параметров шифрования и параметров пароля для атак на другие устройства, в которых применяется эта схема защиты, что приводит к компрометации не только ненадежного устройства и/или данных, но и его окружения. Атака может исходить от любого пользователя устройства преднамеренно или случайно.

К уязвимостям относят и состояние, когда пользователям устройства ограничивают или вовсе не предоставляют возможности менять настройки безопасности. Например, в веб-интерфейсе устройства нет параметров для создания детализированных пользовательских разрешений или функции принудительного использования надежных паролей. Усиливает риски фактор масштабного производства однотипных устройств: из-за тиражирования уязвимой технологии изучение хотя бы одного устройств из класса позволяет выявить недостатки всего класса оборудования или версии ПО. При помощи одной зловредной программы, которая эксплуатирует этот недостаток, можно управлять и другими классами устройств с уязвимой технологией.

Недостаточная компетенция при конфигурации функций безопасности также может привести к случайной компрометации устройства. В частности, многие устройства IoT имеют возможность входа в локальную беспроводную сеть посредством стандарта WPS (Wi-Fi Protected Setup), разработанного производителями Wi-Fi-оборудования, что упрощающего подключение к беспроводной сети. Проблема в том, что, во-первых, этот стандарт WPS крайне ненадежный, во-вторых, это зачастую единственный способ подключения. Если функции WPS на роутере не отключены, беспроводная сеть гарантированно может быть взломана. Преступники смогут перехватить управление роутером, получат доступ в локальную сеть и к домашнему ПК с приватной информацией, возможностями управлять банковскими счетами и другими активами жертвы.

Недостатки стандартизации и регулирования. Уязвимости технологии порождают проблемы не только для частных лиц. Например, управляющие структуры умных городов сталкиваются с теми же угрозами, но в гораздо большем масштабе. Вероятный ущерб для муниципальных, государственных инфраструктур существенно выше, требования к безопасности должны быть более строгими. В условиях высоких рисков для имущества, жизни и здоровья людей, в целом для государственных и муниципальных систем очень востребованными становятся стандарты безопасности. Традиционно стандарты формируются естественным образом и крупные компании создают альянсы в целях стандартизации. Однако в случае с IoT в силу многообразия устройств, подходов к реализации и производителей в ближайшее время ожидать стандартизации со стороны органов корпоративного регулирования не приходится. В таких случаях роль органа по стандартизации могут брать на себя службы государственного управления.

Однако, как показывает опыт, это крайне плохая практика, поскольку государственное регулирование практически всегда технологически отстает от инноваций, появляется коррупционная, протекционистская составляющая. Однако при узкой фокусировке только на значимых для здоровья и физической безопасности граждан задачах регулирование может принести больше пользы, чем неизбежного вреда. К проблемам, которые в настоящее время недостаточно проработаны на уровне государственного или муниципального регулирования, можно отнести отсутствие:

– системы сертификации для продуктов IoT с прозрачными критериями их квалификации как безопасных;

– контроля, мониторинга рынка на наличие в продаже продукции с уязвимостями, известными на момент продажи и не имеющими обязательного механизма обновления;

– ответственности для производителей, разработчиков, дистрибьюторов, которые продают и распространяют уязвимую продукцию;

– требования к разработчикам обновлять продукцию на протяжении всего жизненного цикла и ответственности, обязанности явно уведомлять потребителей о наличиях уязвимостей, в том числе если уязвимость неустранима;

– обязательного требования в явной форме информировать пользователей о том, какие данные собираются и как они обрабатываются, каков их жизненный цикл;

– требования прозрачного управления своими данными, даже если они переданы третьей организации;

– требования обеспечить владельца данных полной достоверной информацией о миграции его данных между системами, особенно в случае передачи данных третьей стороне.

Уязвимости API. Некоторые устройства позволяют подключаться к ним не только при помощи пользовательского интерфейса, но и при помощи управляющего кода, который отрабатывают специальные сервисные службы. Обычный пользователь может даже не знать о таком функционале и не понимать, как им управлять. Однако злоумышленники подключаются к этим сервисам и перехватывают данные, обрабатываемые скомпрометированным устройством.

Небезопасные или устаревшие компоненты. Использование небезопасных или устаревших программных компонентов/библиотек может позволить скомпрометировать устройство. Это небезопасная настройка платформ операционной системы и сторонние программные или аппаратные компоненты из скомпрометированных источников. Свободно распространяемые библиотеки для разработчиков ПО для устройств IoT зачастую содержат «черные ходы». При недостаточной осмотрительности можно интегрировать в свое ПО эти «черные ходы», если не было проявлено должное внимание при выборе источника, из которого разработчик скачивает библиотеки, или при выборе библиотеки, которая не прошла независимый аудит.

Недостаточная защита конфиденциальности. Производители устройств IoT предоставляют свои сервисы по управлению устройствами через облако условно бесплатно, однако при регистрации пользователей на этих сервисах производители собирают сведения о покупателе. Нередко это такая персональная информация пользователя, как имя, фамилия, состояние здоровья, место проживания, данные банковской карты. Устройство впоследствии передает данные геолокации, фотографии и прочую информацию с устройства в облачную экосистему. У пользователя нет гарантий того, что данные никуда не утекут, не будут переданы третьей стороне или проданы. Зачастую сам процесс такой передачи проходит небезопасно, ненадлежащим образом и без разрешения.

Угрозы безопасности интернета вещей. Наличие уязвимостей приводит к возникновению угроз информационной безопасности. К самым распространенным угрозам эксперты относят следующие атаки.