Недавно компьютеры одного из европейских нефтехимических заводов заразились вирусом-вымогателем WannaCry. Диспетчер пожаловался, что все компьютеры, занимающиеся мониторингом сети, парализованы, несмотря на то что они были подключены к изолированной локальной сети. Для пропустивших масштабную атаку напомню: WannaCry — это эксплойт, с помощью которого происходит заражение и распространение компьютерного червя, шифрующего файлы на компьютере и требующего «выкуп» за их расшифровку. Отличительная особенность эксплойта в том, что даже опытный пользователь может легко им заразиться.

Инженеров предприятия не спасла даже переустановка операционной системы MS Windows XP. В процессе изучения инцидента выяснилось, что виновницей заражения стала «умная» кофемашина, ранее подключенная к изолированной Wi-Fi-сети предприятия и локальной сети диспетчерского пункта.

Звучит футуристично, если не сказать фантастически — восстание кофемашин. Но это только на первый взгляд. Такие новости станут привычными уже завтра, потому что эра IoT — интернета вещей — наступает семимильными шагами.

Согласно данным Positive Technologies, в 2016 году количество устройств IoT в мире выросло до 6,5 миллиардов, а к 2020 году на каждого жителя планеты будет приходиться несколько таких девайсов. То есть речь идет о десятках миллиардов подобных устройств: от «умных» кофеварок до «умных» холодильников, обогревателей и микроволновок.

Для взлома 10 процентов всех доступных в онлайне «умных» устройств достаточно знать всего пять простых паролей

Как нетрудно догадаться, производители IoT ставят целью получить максимальную прибыль, экономя на всем, в том числе на системах безопасности. Поэтому прошивка IoT зачастую выглядит как решето: уязвимости мобильных устройств накладываются на недостатки «гейтвеев», собирающих информацию и взаимодействующих с конечными устройствами. Добавьте к этому минусы облачных сервисов, содержащих учетные записи пользователей. Однако главной уязвимостью стала слабая прошивка «интернета вещей» и, в связи с этим, доступ к устройствам IoT. То есть ваш сосед при желании может подключиться к вашим «умным» пылесосам и соковыжималкам, будильникам и кондиционерам, которые на практике оказываются не такими «умными».

В другом исследовании той же компании отмечается, что для взлома 10 процентов всех доступных в онлайне IoT-девайсов достаточно знать всего пять простых паролей — типовых ключей, которые устанавливаются производителями по умолчанию: support/support, admin/admin, admin/0000, user/user, root/12345. Пользователи зачастую не думают об этом и даже не знают, что заводские установки стоит менять. IoT-устройства не блокируют пользователей при переборе паролей, поэтому злоумышленник легко может настроить автоматический подбор паролей и чуть-чуть подождать.

Конечно, далеко не в каждой квартире сегодня есть «умные» устройства, которые по сигналу сделают кофе или почистят ковер. Зато едва ли не в каждом доме в Москве установлены роутеры. Их много и стоят они дешево. А вот взломать такие девайсы совсем не трудно.

В качестве примера расскажу историю, которая случилась с одним крупным интернет-провайдером, по совместительству предоставляющим и услуги мобильной связи. Это была фирма полного цикла: и звонки, и СМС, и, конечно, интернет «в коробочке» — провайдер предлагал устанавливать свои роутеры. Роутеры компания закупала у другого известного производителя, выпускавшего дешевые, но приемлемые модели, которые худо-бедно, но справлялись с подключением к интернету и раздачей Wi-Fi для домашних устройств.

Безопасность в интернете начинается со смены заводского пароля вашего роутера

Но тут объявились предприимчивые ребята, охочие до быстрых денег. Они написали простой скрипт, легко вскрывающий дыры в программном обеспечении роутеров. Вирус подключался удаленно и получал полный контроль над устройством, заменяя валидные DNS-сервера в настройках на фейковые. Мошенники ударили по самому больному месту интернет-пользователей — социальным сетям. Когда клиент провайдера пытался зайти в сети «Вконтакте», Facebook или «Одноклассники», он попадал на фейковые страницы популярных сайтов, сделанных точь-в-точь как детища Цукерберга и Дурова. Стоило пользователю ввести свои учетные данные, как на экране всплывало сообщение о блокировке ресурса. Чтобы «разморозить» страницу и попасть в группы с любимыми мемами, пользователю предлагали отправить СМС на короткий номер.

Не чувствуя подвоха, они отсылали одну, две, пять эсэмэсок стоимостью 250 рублей, но ничего не происходило. После этого пользователи начинали звонить в службу поддержки — в итоге вал звонков парализовал провайдера. Специалисты компании узнали о массовой атаке через час после ее начала. В процессе исследования выяснилось, что скрипт использует около 5-7 разных DNS-серверов, расположенных за границей, куда переправлялись запросы пользователей.

В сети провайдера работало около 250 тысяч роутеров такой же модели, за несколько часов «инфицированными» оказались около 170 тысяч устройств. Масштаб атаки оказался катастрофическим. Отозвать все роутеры и «перепрошить» их было невозможно, заблокировать скрипт или уничтожить его — тоже. Киберспециалистам пришлось пойти на радикальный шаг: они написали похожий скрипт, который использовал ту же уязвимость — он «стучался» ко всем зараженным устройствам, изменял фейковые DNS-сервера на DNS-сервера провайдера. Но и этого оказалось недостаточно: инженерам пришлось настроить внутри сети провайдера DNS-сервера с IP-адресами фейковых DNS, чтобы запросы от всех зараженных устройств уходили на DNS-сервера внутри сети. Это позволило вернуть «блудных сынов» к валидным, «чистым» серверам.

После происшествия сотрудники провайдера обратились к производителю роутеров, но тот заявил, что никаких брешей в системе безопасности нет. Вот только скрипт, парализовавший устройства, был в итоге выложен в открытом доступе в интернете. Производитель сдался и отправился дорабатывать прошивку, а мошенники — купаться в деньгах: грубый подсчет показывает, что за эту атаку они заработали не меньше 2,5 миллионов рублей.

Тут должна быть какая-то мораль. Но ее не будет. Вместо этого сходите и поменяйте заводской пароль от роутера. Поверьте — это первое, с чего начинается безопасность в интернете.