Файл: Проблемы безопасности Интернета вещей Е. А. Верещагина И. О. Капецкий А. С. Ярмонов.pdf

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
61 анонимность не учитывается в процессе передачи. В этом случае может произойти утечка информации об участниках, которые были вовлечены в данную ситуацию, но не участвовали в операции.
Более того, решение должно запрашивать согласие стороннего пользователя
(механизм 6) во время контекстного сбора данных, поскольку это согласие необходимо проверять на остальных этапах разными способами. Это означает не только информировать пользователя, но также иметь возможность получить согласие остальных участников (то есть свидетелей). Разрешения должны проверяться на протяжении всего процесса.
Механизм 7 обеспечивает не только гарантированную невозможность отказа при операциях с данными, но и соблюдение конфиденциальности во время проведения этих операций. Следовательно, этот механизм может применяться не только на этапе сбора данных, но и в процессе обмена информацией между различными объектами и на этапе проверки правильности выполнения операций. Кроме того, обратите внимание, что в таблице 4 все механизмы снижения рисков влияют на этап сбора контекстной информации. Происходит так потому, что на этом этапе цифровой свидетель впервые сталкивается с данными третьих лиц.
Таким образом, это важная характеристика, которая влияет на принципы конфиденциальности в данном решении.
Наконец, гарантии отчуждения (механизм 8) должны быть предоставлены всем пользователям на этапе сбора данных и реализованы после завершения этапа рассмотрения.
Важно уточнить, что список механизмов снижения рисков, представленный в этом разделе, не является исчерпывающим. Наша цель – продемонстрировать уже существующие механизмы, которые могут справиться с проблемами конфиденциальности, возникающими в контексте цифрового свидетельства, и варианты их использования на различных этапах.
Очевидно, что существует много технологий и в будущем их появится еще больше, их выбор будет зависеть от функций и требований платформы на момент реализации конкретного механизма снижения рисков.
Социальная вредоносная программа
Рассмотрим вариант расследования хакерской атаки, в котором используется ЦС, чтобы проиллюстрировать, как применяется цифровая экспертиза на этапах, следующих за подготовительным. Данный вариант представляет сценарий заражения вредоносным ПО.
На его примере покажем, как в цифровой экспертизе можно добиться идеального баланса между расследованием и конфиденциальностью данных.
У Марка есть ЦС, соответствующий требованиям цифровой экспертизы с учетом конфиденциальности данных. Марк находится в известном ресторане «Тарелка и ложка», в котором используется ряд инновационных технологий для создания эксклюзивной обстановки, контроля поставок ингредиентов и напитков, повышения безопасности и контроля различных зон ресторана, а также улучшения управления запросами клиентов.
Ресторан предлагает своим клиентам приложение iSpoon для получения информации о бронировании столика и желательной обстановке на вечер. Приложение iSpoon использует технологию Bluetooth для предоставления клиенту соответствующей информации (например, имя официанта, обслуживающего столик, наличие любимых вин, время подачи и т. д.). Все это сделало ресторан одним из самых популярных в городе.
В ресторане сосуществуют как персональные, так и неперсональные устройства IoT.
Ответственный за работу устройств в ресторане – метрдотель (то есть старший официант и менеджер). Он следит за правильной работой устройств, чтобы гарантировать клиентам

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
62 наилучшие впечатления во время ужина. Во время ужина цифровой свидетель Марка (ЦС1) обнаруживает попытку заражения, инициированную устройством, находящимся рядом. Это заставляет ЦС1 сохранить всю связанную с ним информацию (например, дамп памяти, сетевые подключения, доступ к файлам и запуск приложений) в последние минуты. Кроме того, ЦС вычисляет криптографический хэш из только что собранных цифровых доказательств и оповещает Марка, который решает запросить расследование. С этой целью
Марк отправляет доказательства, сохраненные (и подписанные) в ЦС1 к следователю – специалисту по цифровой экспертизе, таким образом инициируя цифровое судебное расследование (фаза 2, рисунок 3.7).
Рисунок 3.7 – Запрос на начало цифрового расследования
Назначается эксперт-криминалист, который анализирует предоставленные данные
(фаза 3) и подтверждает, что это локально запущенная атака. В данном случае похоже, что устройство, находящееся в ресторане, заражено и пытается распространить червя, используя уязвимость в приложении iSpoon, которая кроется в модуле Bluetooth, используемом приложением.
Однако эксперту этого недостаточно для раскрытия дела, и он предлагает ЦС1 собрать новые данные от других устройств, находящихся рядом и желающих сотрудничать (возврат к фазе 2). Следуя методологии цифровой экспертизы, ЦС1 сначала запрашивает неперсональные устройства и ищет ответственного за них. В данном сценарии таким ответственным является метрдотель, который приносит другого цифрового свидетеля (ЦС2).

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
63
ЦС1 инициирует диалог с ЦС2, чтобы получить разрешение от метрдотеля на получение любых данных, относящихся к данной цифровой экспертизе. Рисунок 3.8 показывает этапы описанной части процесса.
Рисунок 3.8 – Сбор соответствующей информации от свидетелей (третьих лиц)
Когда ЦС1 просит ЦС2 о сотрудничестве, он прикрепляет соответствующую информацию, которая может помочь ЦС2 решить: сотрудничать или нет, при этом ЦС2 основывается на своей политике конфиденциальности. Запрос на сотрудничество включает информацию о возможностях устройства Марка и краткое изложение предварительного анализа, проведенного следователем-экспертом. В частности, ЦС1 подтверждает, что он является цифровым свидетелем, соответствующим стандарту цифровой экспертизы с учетом конфиденциальности. Это означает, что платформа основана на защищенном от взлома аппаратном ядре доверия и гарантирует конфиденциальность внешних цифровых свидетелей.
Анализ показывает, что в сети существует угроза распространения вредоносного ПО, которое распространяется с помощью уязвимости в Bluetooth.
После проверки учетных данных, отправленных ЦС1 (например, учетных данных и сертификата отчета, выданных следователем-экспертом, и разрешений, предоставленных метрдотелем), ЦС2 соглашается сотрудничать, но только при соблюдении следующих условий:
• поделиться информацией могут только устройства, находившиеся в пределах 100 м от Марка (максимальный радиус действия Bluetooth составляет около 100 м) во время инцидента;

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
64
• при этом исключаются устройства, содержащие личные данные или финансовую информацию (например, кассовые аппараты);
• передаваемые данные будут использоваться только для этого расследования, и как только они будут удалены, ресторан и метрдотель будут сразу поставлены в известность;
• собранные цифровые доказательства будут отправлены с помощью ЦС1 в качестве посредника.
Данные, предоставленные устройствами ресторана, шифруются, подписываются и отправляются в ЦС1, который, в свою очередь, отправляет данные эксперту-криминалисту.
Кроме того, метрдотель получает цифровую квитанцию, подтверждающую, что цифровые доказательства были отправлены удаленному эксперту-криминалисту. Метрдотель может использовать эту квитанцию для создания запроса, чтобы эксперт-криминалист проверил содержание данных, предоставленных ЦС1, и/или отказаться от своих показаний и потребовать их удаления. При этом способ сбора данных зависит от политики конфиденциальности, определенной владельцами или лицом, ответственным за внешнего цифрового свидетеля. Таким образом, этот процесс может быть очень сложным в зависимости от контекста.
После получения экспертом-криминалистом новых цифровых доказательств, предоставленных метрдотелем (этап 3), результаты исследования позволяют предположить, что одно из устройств в ресторане (например, умный винный погреб) заражено той же вредоносной программой, которая пыталась контролировать устройство Марка (ЦС1).

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
65
К сожалению, хотя зараженные элементы определены и можно было бы остановить заражение и минимизировать потенциальный ущерб для других клиентов, источник кибератаки не идентифицирован. Следовательно, следующий этап – обмен информацией
(этап 4) – призван решить эту проблему. Марк дает согласие на передачу своих данных для будущего судебного расследования. Он надеется, что это поможет идентифицировать личность человека, ответственного за нападение. На рисунке 3.9 показан процесс обмена информацией для этого сценария в соответствии с методологией цифровой экспертизы.
Через некоторое время усовершенствованная версия вредоносной программы повреждает другие IoT-устройства. К счастью, система цифровой экспертизы сохранила информацию о начале атаки в базе данных, а также о вредоносном ПО, которое было названо вредоносной программой iSpoon. Эти данные, соотнесенные с другими наборами цифровых доказательств из внешних систем, позволяют определить происхождение вредоносного ПО и арестовать подозреваемого. Затем часть данных, предоставленных Марком и другими устройствами, используется для подготовки финального отчета (этап 5), который в итоге принимается к рассмотрению в суде. Наконец, по делу принято решение, и спустя некоторое время после его закрытия данные, предоставленные участниками, удаляются из системы цифровых доказательств (этап 6) (рисунки 3.10, 3.11).
Рисунок 3.10 – Расследование в ресторане «Тарелка и ложка»

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
66
Рисунок 3.11 – Опрос свидетелей
Хотя это гипотетический сценарий, и атака (а также приложение iSpoon) вымышлены, вполне разумно думать, что атаки такого типа могут происходить – или происходят – незаметно для пользователя [69].

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
67
3.4. Примеры сценариев атак на устройства Интернета вещей
Кибератаки могут производиться в течение всего процесса работы устройств IoT.
Уровень опасности каждого сценария атаки варьируется от низкого и среднего до высокого и критического, отражая уровень негативного воздействия, которое эти атаки могут оказать в реальной ситуации. В таблице 5 определена оценка уровня опасности возможных атак на системы IoT.
Таблица 5. Оценка уровня возможных атак на системы IoT [15]
Сценарий атаки
Уровень опасности
Атака на сетевое соединение между контроллером и исполнительным механизмом
Высокий – критический
Атака на датчики, изменение считываемых ими значений или их пороговых значений и настроек
Высокий – критический
Атака на исполнительные механизмы, изменение или саботаж их обычных настроек
Высокий – критический
Атака на системы администрирования IoT
Высокий – критический
Использование уязвимостей протокола
Высокий
Атака на устройства путем ввода команд в системную консоль
Высокий – критический
Ступенчатые атаки
Средний – высокий
Манипуляции с источником питания и использование уязвимостей при чтении данных
Средний – высокий
Вымогательство с использованием вредоносных программ
Средний критический
DDoS-атака с использованием ботнета IoT
Критический
Атака на сетевое соединение между контроллером и исполнительным механизмом
Подслушивание
– это атака, позволяющая злоумышленнику извлечь конфиденциальную и оперативную информацию, которая может быть использована для злонамеренных действий, включая последующие атаки на IoT-системы. Часто подслушивание и сбор информации являются начальным этапом кибератак, с их помощью выявляются слабые места и потенциальные точки входа атаки.
Воздействие: основной результат – утечка данных. В зависимости от среды, степень угрозы может быть ниже или выше, подслушивание может сигнализировать о готовящейся более масштабной атаке.
Связанные угрозы: прослушивание и утечка конфиденциальных данных.
Степень опасности атаки: высокая – критическая.
Атака на датчики, изменение считываемых ими значений или их пороговых значений
и настроек
Атакующий манипулирует конфигурацией датчиков, изменяя установленные на них пороговые значения, чтобы разрешить принимать значения, выходящие за пределы допустимого диапазона, что представляет серьезную угрозу для системы и устройств.
Поскольку в более крупных устройствах обычно используется множество дублирующих друг

Проблемы безопасности Интернета вещей
Е.А. Верещагина
И.О. Капецкий
А.С. Ярмонов
http://izd-mn.com/
68 друга датчиков, чтобы атака была эффективной, злоумышленнику необходимо скомпрометировать несколько датчиков: если бы был скомпрометирован только один, показания за пределами диапазона могли бы быть приняты. Показания могут быть скомпрометированы с помощью данных, полученных от остальных датчиков.
Воздействие: разрешение датчикам сообщать и принимать неверные значения подвергает риску IoT-среду; неисправный датчик может пропустить скачок напряжения, что приведет к физическому повреждению системы.
Связанные угрозы: атака на конфиденциальность, утечка конфиденциальных данных, изменение информации.
Степень опасности атаки: высокая – критическая.
Атака на исполнительные механизмы, изменение или саботаж их обычных настроек
Манипуляции с конфигурацией или параметрами исполнительных механизмов, заставляющие их использовать неправильные конфигурации, пороговые значения или данные, влияют на их нормальное поведение, сбивают их нормальные рабочие настройки.
Воздействие: варьируется в зависимости от задействованных механизмов. Это может повлиять на производственные процессы.
Связанные угрозы: отключение сети и компрометация вредоносными устройствами.
Атака на системы администрирования IoT
Злоумышленник пытается получить полный контроль над системой администрирования IoT-системы или IoT-устройства, что может поставить под угрозу всю среду. Реализовать подобную атаку несложно, если используются слабые пароли или пароли по умолчанию. Этот тип атаки состоит из нескольких этапов и обычно проводится скрытно.
Следует отметить, что к этому типу атаки нужно быть готовым на протяжении всего жизненного цикла устройства.
Воздействие: компрометация, манипулирование или прерывание работы определенных систем IoT могут затронуть многих людей, вызвать экологические проблемы и даже распространиться на другие системы, влияя на их коммуникации или даже отключая их.
Связанные угрозы: слабые пароли, наборы эксплойтов, атаки на конфиденциальность, вредоносные программы и DDoS-атаки.
Использование уязвимостей протокола
Этот тип обычно является промежуточным звеном при запуске других типов атак.
Эксплойты
(уязвимости) используются для получения привилегированного несанкционированного доступа к системе, что может привести к установке другого вредоносного контента или бэкдоров. Они используются как часть атаки, независимо от того, является ли целью отдельная система, устройство или целая сеть. Обнаружить эксплойты сложно, легче обнаружить действия, выполненные после того, как эксплойт был успешно реализован.
Воздействие: в случае успеха эксплойт создает точку входа в систему, в некоторых случаях с повышенными привилегиями; в противном случае система может выйти из строя или стать нестабильной. Эта атака всегда используется как часть более крупной атаки, которая может быть простой кражей данных.
Связанные угрозы: наборы эксплойтов, вредоносные программы.