Мои устройства умного дома шпионят за мной?

Некоторые, да, намеренно. Умные колонки прослушивают слова пробуждения и при срабатывании отправляют образцы звука в облако. Умные камеры могут передавать видео в облачное хранилище. Средства управления конфиденциальностью различаются в зависимости от поставщика; Apple, Amazon и Google публикуют подробные политики конфиденциальности, но история их реализации неравномерна. Перед покупкой проверьте настройки устройства и политику поставщика.

Можно ли использовать мое интеллектуальное устройство для атаки на другие сайты?

Да, если он скомпрометирован. Скомпрометированное IoT-устройство присоединяется к ботнету, арендованному для DDoS-атак. Вы не заметите эту активность, за исключением, возможно, медленного Интернета во время окон атак. Паттерн Mirai продолжает работать сегодня против многих потребительских устройств.

Стоит ли размещать устройства Интернета вещей в отдельной сети?

Да. Многие потребительские маршрутизаторы предлагают гостевые сети, которые предотвращают доступ устройств IoT к другим вашим устройствам локальной сети. Некоторые поддерживают правильные VLAN или выделенные сегменты IoT. Сегментация сети снижает ущерб в случае взлома устройства — оно может атаковать Интернет, но не ваш ноутбук.

Как долго устройства Интернета вещей должны получать обновления безопасности?

Передовой практикой в отрасли является, по крайней мере, ожидаемый срок службы устройства — 5+ лет для таких продуктов, как камеры, 7+ для маршрутизаторов и крупной бытовой техники. Большинство продавцов терпят неудачу. Ищите письменное обязательство в спецификациях продукта; отсутствие обязательств является желтым флагом.

Является ли прошивка с открытым исходным кодом безопаснее?

Иногда. OpenWrt, Tasmota, Home Assistant ESPHome предоставляют альтернативы с долгосрочной поддержкой для некоторых категорий устройств. Безопасность примерно такая же, как и у вышестоящих разработчиков — в целом лучше, чем у заброшенной прошивки поставщика, но это не волшебство. В списках совместимого оборудования указано, какие устройства поддерживают замену встроенного ПО.

Объяснение безопасности Интернета вещей: почему ваша умная камера присоединилась к ботнету

Устройства Интернета вещей поставляются с паролями по умолчанию, никогда не получают обновлений прошивки и остаются в сети в течение многих лет после того, как производитель перестает заботиться об этом. В совокупности эти свойства создали крупнейшие армии ботнетов, которые когда-либо видел Интернет — Mirai, Mozi и их преемников. История безопасности Интернета вещей — это история о том, как масштаб и безопасность не смогли найти друг друга.

Полный текст статьи на английском языке представлен ниже.

Безопасность

IoT (Интернет вещей) обеспечивает защиту подключенных к сети устройств, которые не являются ноутбуками, телефонами или традиционными серверами, — камеры, маршрутизаторы, интеллектуальные колонки, термостаты, дверные звонки, лампочки, радионяни, промышленные датчики. Эта категория выросла с нескольких сотен миллионов устройств в 2015 году до более чем 25 миллиардов в 2026 году, а уровень безопасности не поспевает за ней.

Почему безопасность IoT исключительно плоха

Четыре структурные причины:

Маленькая прибыль. IP-камера за 20 долларов конкурирует по цене; у производителя нет бюджета на разработку безопасности или долгосрочную поддержку.
Учетные данные по умолчанию. Большинство устройств поставляются с настройками администратора/администратора, администратора/пароля или задокументированными настройками по умолчанию для каждого поставщика. Многие пользователи никогда их не меняют.
Механизм обновления отсутствует или сломан. Многие устройства не имеют автоматического обновления; у некоторых есть обновления, требующие загрузки и установки вручную; у некоторых есть обновления, которые производитель прекращает выпускать через 1–2 года.
Подключается по умолчанию. Многие устройства Интернета вещей обращаются к облачным сервисам без запроса, требуя входящие пути или постоянные исходящие соединения в обход NAT.

История Mirai

В 2016 году Ботнет Mirai скомпрометировал сотни тысяч устройств IoT — в первую очередь видеорегистраторов и IP-камер — и использовал их в рекордных DDoS-атаках на Krebs on Security, OVH и DNS-провайдера Dyn (который на несколько часов отключил половину пользовательского Интернета).

Подход Mirai был простым: сканировать Интернет на наличие telnet/SSH на порту 23/22, попробуйте небольшой список пар имени пользователя и пароля по умолчанию, в случае успеха установите бота. Не было ни эксплойтов, ни нулевых дней, ни хитрых трюков. Уязвимость заключалась в том, что «устройство поставляется с правами администратора/администратора и находится в общедоступном Интернете». Одного этого было достаточно для сотен тысяч заражений. Исходный код

Mirai стал достоянием общественности в конце 2016 года. За ним последовали десятки производных — Hajime, Persirai, Reaper, Mozi, IZ1H9. Та же схема атаки работает и в 2026 году; развиваются только целевые устройства и списки учетных данных.

Основные классы уязвимостей Интернета вещей

Учетные данные по умолчанию или жестко закодированные. По-прежнему наиболее распространены.
Открытые интерфейсы управления в Интернете. Панели администрирования Telnet, SSH, HTTP доступен из любого места.
Устаревшее программное обеспечение. Встроенные дистрибутивы Linux, выпущенные годами позже обновлений безопасности ядра.
Уязвимости, вызывающие повреждение памяти. Встроенный код C и C++ без современных средств защиты (без ASLR, без стековых канарейок на некоторых платформы).
Небезопасные облачные службы. Мобильные приложения, которые взаимодействуют с облаком поставщика через API без аутентификации, раскрывая устройства других пользователей.
Поверхности физических атак. Заголовки отладки, JTAG, открытый последовательный порт, незашифрованная флэш-память хранилище.

Проблема жизненного цикла

A Типичная камера видеонаблюдения, которую вы покупаете в 2026 году, имеет:

1–3 года обновлений встроенного ПО от производителя (если таковые имеются)
A Срок полезного использования вашей камеры составляет 5–10 лет. сеть
Нет механизма оповещения об остановке обновлений

После остановки обновлений устройство продолжает работать, но накапливает неисправленные уязвимости. У пользователя нет сигнала, что что-то не так. Устройство успешно взломано и доступно через Интернет в течение многих лет.

Что делают регулирующие органы

Начались ответные меры политики:

Закон ЕС о киберустойчивости (вступает в силу в 2026 г.) устанавливает требования безопасности, обработку уязвимостей и обязательства по обновлению безопасности для подключенных продуктов, продаваемых в EU.
UK Закон о безопасности продуктов и телекоммуникационной инфраструктуре. (2022 г.) запрещает устройства с учетными данными по умолчанию и требует раскрытия периодов поддержки. пароли.
FCC Cyber Trust Mark (США, внедрение в 2024–2026 гг.) — добровольная маркировка совместимых устройств.

Эффект на рынке медленный, но заметный: крупные производители (TP-Link, Netgear, Eufy) начали поставлять устройства с уникальными случайными начальными паролями и наименее анонсированное обновление Windows.

Что вы можете сделать как пользователь

Изменить пароль по умолчанию. Шаг первый для каждого устройства.
Отключить доступ интерфейсов управления к Интернету. Если камера не должна быть доступна извне, не перенаправляйте порты на it.
Сегментируйте сеть. Отдельная VLAN/SSID для устройств Интернета вещей, изолированная от ваших ноутбуков и телефонов. Большинство потребительских маршрутизаторов теперь поддерживают гостевые сети; некоторые поддерживают полную сегментацию VLAN.
Обновление встроенного ПО. Периодически проверяйте; многие поставщики не продвигают автоматически.
Предпочитайте устройства с документированными обязательствами по обновлению. Бренды, которые публикуют график поддержки, более надежны, чем те, которые этого не делают.
Покупайте у крупных поставщиков, когда это возможно. Безымянная камера за 7 долларов на Amazon почти наверняка менее безопасна, чем Eufy за 40 долларов. или Кольцо продукта. Не всегда, но в среднем.
Заменить заброшенные устройства. Когда обновления прекращаются, устройство следует удалить, а не продолжать работать.

Часто задаваемые вопросы

Мои устройства умного дома шпионят за мной?: Некоторые, да, намеренно. Умные колонки прослушивают слова пробуждения и при срабатывании отправляют образцы звука в облако. Умные камеры могут передавать видео в облачное хранилище. Средства управления конфиденциальностью различаются в зависимости от поставщика; Apple, Amazon и Google публикуют подробные политики конфиденциальности, но история их реализации неравномерна. Перед покупкой проверьте настройки устройства и политику поставщика.
Можно ли использовать мое интеллектуальное устройство для атаки на другие сайты?: Да, если он скомпрометирован. Скомпрометированное IoT-устройство присоединяется к ботнету, арендованному для DDoS-атак. Вы не заметите эту активность, за исключением, возможно, медленного Интернета во время окон атак. Паттерн Mirai продолжает работать сегодня против многих потребительских устройств.
Стоит ли размещать устройства Интернета вещей в отдельной сети?: Да. Многие потребительские маршрутизаторы предлагают гостевые сети, которые предотвращают доступ устройств IoT к другим вашим устройствам локальной сети. Некоторые поддерживают правильные VLAN или выделенные сегменты IoT. Сегментация сети снижает ущерб в случае взлома устройства — оно может атаковать Интернет, но не ваш ноутбук.
Как долго устройства Интернета вещей должны получать обновления безопасности?: Передовой практикой в отрасли является, по крайней мере, ожидаемый срок службы устройства — 5+ лет для таких продуктов, как камеры, 7+ для маршрутизаторов и крупной бытовой техники. Большинство продавцов терпят неудачу. Ищите письменное обязательство в спецификациях продукта; отсутствие обязательств является желтым флагом.
Является ли прошивка с открытым исходным кодом безопаснее?: Иногда. OpenWrt, Tasmota, Home Assistant ESPHome предоставляют альтернативы с долгосрочной поддержкой для некоторых категорий устройств. Безопасность примерно такая же, как и у вышестоящих разработчиков — в целом лучше, чем у заброшенной прошивки поставщика, но это не волшебство. В списках совместимого оборудования указано, какие устройства поддерживают замену встроенного ПО.