Хотя некоторые ставят под сомнение возможность надежной защиты «Интернета вещей», РАФАЛЬ ХАН (Rafal Han) и СИМОН ЖАДКОШ (Simon Rzadkosz) утверждают, что выбор подходящих тактик и протоколов обеспечит по-настоящему безопасное «умное» освещение.
Безопасность, очевидно, является одной из самых обсуждаемых тем в области «Интернета вещей» (IoT) на сегодняшний день. Многочисленные сообщения в СМИ о слабых местах в системах безопасности самых разных «умных» устройств подливают масла в огонь, до такой степени, что некоторые заявляют, будто распространение «Интернета вещей» спровоцирует волну киберпреступности, которая может коснуться каждого из нас. Впрочем, не стоит поддаваться панике. Апокалиптические сценарии всегда пользуются популярностью, в отличие от постепенной, кропотливой работы, которой изо дня в день занимаются наши эксперты по безопасности. Однако следует понимать, что в сфере технологий, связанных с «Интернетом вещей», мы еще в самом начале пути. Нынешние сложности схожи с теми, с которыми столкнулась индустрия высоких технологий с появлением сетей. Сначала безопасность сетей обеспечивалась кое-как, однако, в конце концов были разработаны эффективные механизмы, и теперь мы можем каждый день пользоваться Интернетом и всевозможными электронными устройствами для обработки платежей и управления конфиденциальной информацией. Пока мы, конечные пользователи, руководствуемся здравым смыслом, сегодняшние информационные технологии можно считать безопасными. «Интернет вещей» тоже станет безопасным, в том числе и «умное» освещение.
При этом, разумеется, к угрозам безопасности следует относиться крайне серьезно, особенно сейчас, в самом начале внедрения этой технологии. «Интернет вещей» неизбежно связан с угрозами безопасности нового уровня, и «умное» освещение – отличный тому пример. В эпоху традиционных проводных систем освещения проблемы безопасности вообще не существовало. Защита в таких системах была попросту не нужна, поэтому «проводные» протоколы, такие как BACnet, DALI или KNX не предусматривали буквально никаких защитных механизмов. Кабели были спрятаны в стены, что считалось достаточно безопасным. Хотя теоретически получить контроль над такой системой было возможно, потенциальная выгода не стоила затраченных усилий. Если у преступника и была возможность пробраться в здание и просверлить стены, то система освещения все равно интересовала бы его в последнюю очередь.
Но с «умным» освещением все обстоит иначе. Подключенными светодиодными светильниками, где есть проблемы с обеспечением безопасности, может удаленно управлять любой человек, даже не находясь в здании. Более того, при этом злоумышленник может получить доступ не только к освещению. Изобилие данных, собираемых сетями датчиков, представляет собой оно из главных преимуществ коммерческих систем «умного» освещения, но эти данные могут привлечь внимание киберпреступников. В некоторых случаях, данные о конфигурации, полученные от «умных» светодиодов, могут даже предоставить им доступ к внутренним сетям компании. Правда, для этого нужно, чтобы при разработке и внедрении системы «умного» освещения было допущено множество ошибок, но и такое возможно в определенных обстоятельствах. Наконец, немало рисков появляется по мере «взросления» решений, использующих «Интернет вещей». Новые технологии быстро внедряются в современные здания, и можно ожидать, что системы «умного» освещения будут все больше интегрироваться в инфраструктуру управления зданием и другие службы, такие как системы ОВК. Это означает, что в перспективе системы светодиодов станут еще более заманчивой целью для киберпреступников.
Поэтому обеспечение безопасности абсолютно необходимо для беспроводных систем. Это одно из ключевых различий между проводными и беспроводными системами управления освещением. И одной из причин, по которой мы так часто слышим о проблемах безопасности, является сама природа связанных устройств, которым свойственна ограниченность ресурсов, это усложняет разработку системы безопасности. Невозможно получить безупречные меры и гарантии безопасности, просто скопировав решения и методы для традиционных ИТ-систем, потому что у «умных» устройств обычно очень мало памяти для хранения данных и низкая вычислительная мощность. А еще разработчики вынуждены искать компромисс между безопасностью и простотой использования. Если та или иная схема безопасности отнимает слишком много времени или слишком сложна в использовании, покупатели просто будут избегать продуктов, в которых эта схема используется.
Под безопасностью нередко, зачастую ошибочно, понимается только шифрование. Система считается безопасной, если никто не может узнать, что в ней происходит, например, какими командами обмениваются отдельные устройства. Шифрование играет значительную роль в архитектуре безопасности, однако обеспечение безопасности заключается не только в шифровании. Обмен данными между беспроводным выключателем и светильником обычно не требует никакого шифрования. Если кто-то сможет перехватить сигнал между ними, полученная информация будет, скорее всего, бесполезна. Чтобы догадаться, какой сигнал переключатель отправляет светодиоду, не нужны сложные техники шифрования. Просто посмотрев на помещение или в окно офиса, можно понять, какие типы команд используются в тот или иной промежуток времени. Однако данные с датчиков связаны с куда большими рисками. Хотя некоторые датчики передают общедоступные данные, другие могут собирать более или менее коммерчески важную информацию. В таких случаях, очевидно, необходимо применение надлежащих механизмов шифрования.
Но если шифрование не играет решающую роль в обеспечении безопасности, что же важнее него? Аутентификация. Она позволяет предотвратить несанкционированный доступ к инфраструктуре управления освещением. «Умный» светильник должен убедиться, что получает команды от авторизованного источника, будь то смартфон или беспроводной выключатель на стене. Кроме того, необходимо гарантировать целостность передаваемых данных, чтобы никто не мог изменить сообщение прежде, чем оно достигнет устройство-получатель. Аутентификация крайне важна и при подключении новых устройств – она не даст злоумышленникам или «троянским коням» проникнуть в систему, когда к сети подключается новое устройство.
Перед тем, как обмен данными будет подтвержден и обработан, для начала должен произойти обмен ключами аутентификации между устройствами. Здесь ключевую роль играет безопасная передача этих ключей. Если этот процесс будет нарушен, стороннее лицо может получить несанкционированный доступ к важной информации о системе безопасности. Именно это вызвало печально известные проблемы безопасности в устройствах ZigBee, что было продемонстрировано на конференции Black Hat USA в 2015 году. Несмотря на то, что протокол использовал 128-битный алгоритм AES для шифрования данных и три типа ключей для аутентификации, было продемонстрировано, что данные, которыми обмениваются устройства ZigBee, могут быть легко похищены из-за уязвимости процедуры сопряжения устройств. Эта уязвимость позволяла сторонним лицам заполучить передаваемый ключ сети.
Сейчас, когда речь идет о шифровании данных, вышеупомянутый стандарт AES-128 используется во всех наиболее распространенных протоколах беспроводного обмена данными с низким энергопотреблением. Он применяется уже довольно давно, поэтому стоит задуматься, достаточно ли он безопасен против атак, где используется метод подбора ключа. В конце концов, технологии взлома распространенных механизмов безопасности быстро развиваются, как и сами технологии обеспечения безопасности. Но есть веская причина, по которой государственные органы и частные компании так доверяют AES-128. Этот стандарт остается нерушимым. Все дело в том, что на сегодняшний день не существует эффективного метода вычислить, каким образом можно его взломать. Для такого взлома потребовалось бы чрезмерно много времени, даже если злоумышленники использовали бы несколько суперкомпьютеров. Речь идет о тысячах и даже миллионах лет. Даже если взлом AES-128 станет технически возможным в обозримом будущем, в нем все равно не будет смысла, ведь попытка взлома все равно обойдется намного дороже, чем любая информация, которую может защищать такой ключ. В настоящее время Национальный институт стандартов и технологий США (NIST) утверждает, что AES-128 останется полностью безопасным методом шифрования по меньшей мере до 2030 года. Можно сказать наверняка, что к тому времени станут доступны более дешевые и эффективные технологии с низким энергопотреблением, что позволит применять более устойчивые методы шифрования, такие как AES-256, который потребляет слишком много энергии для нынешнего поколения «умных» устройств.
Все это говорит о том, что на сегодняшний день шифрование не создает уязвимости в системах безопасности «умного» освещения. Распространенные технологии достаточно надежны, чтобы гарантировать, что зашифрованные данные не могут быть расшифрованы. Как мы уже сказали, процесс аутентификации куда более уязвим, а значит, куда более важен. При этом аутентификация представляет собой единственную эффективную меру защиты против так называемой атаки повторного воспроизведения, или повторной передачи, которая сможет с легкостью обойти даже самые устойчивые механизмы шифрования, которые мы когда-либо придумаем.
В двух словах, атака повторного воспроизведения заключается в записи определенных пакетов данных и повторном их воспроизведении впоследствии для достижения желаемого результата. Перехваченное сообщение не обязательно расшифровывать. Оно повторно передается в такой же форме, в которой было отправлено, и приводит к точно такому же результату. Если шифрование не защитит от такой атаки, как же ее предотвратить? Здесь снова помогут надлежащие механизмы аутентификации. Как только мы применим такие механизмы, сеть, из которой были перехвачены пакеты данных, не допустит исполнения таких переданных повторно сообщений. Кроме того, аутентификация – единственный эффективный инструмент против атак посредников («man-in-the-middle», или MITM), когда стороннее лицо тайно отслеживает данные, которыми обмениваются устройства, и перехватывает или изменяет такие данные.
Однако аутентификация бессильна против так называемых «атак из мусорного бака» (trashcan attack). Управляющие зданиями должны отдавать себе отчет в том, что в каждом «умном» устройстве хранятся важные данные для доступа к сети, например, сетевые ключи. Поэтому разумно будет внедрить тщательно продуманный порядок для списания и дальнейших действий со сломанными или отслужившими свой век устройствами. Необходимо исключить возможность доступа посторонних лиц к устройствам вроде выброшенных лампочек и извлечения из этих устройств ключей безопасности вручную, такие попытки могут быть весьма успешны, если энергонезависимая память таких устройств защищена плохо. Что производители могут сделать для решения этой проблемы? Можно использовать только интегрированную память вместо отдельных микросхем памяти и отключить интерфейс отладки, при этом позаботившись о том, чтобы попытки извлечь ключи безопасности приводили к повреждению микросхемы памяти и уничтожению всех содержащихся на ней данных. Все ли продавцы «умных» светодиодов прибегают к таким мерам безопасности? К сожалению, лишь некоторые.
И, наконец, если вы действительно хотите сделать систему безопасной, лучше выбрать открытые стандарты, отказавшись от собственных разработок компаний. Такая разработка едва ли будет настолько же безопасной, как решение, разработанное рядом крупнейших компаний с обменом опытом в процессе; кроме того, прозрачность открытых стандартов гарантирует, что потенциальные уязвимости будут обнаружены и устранены до того, как кто-то решит ими воспользоваться. Что касается собственных разработок компаний, практически невозможно сказать наверняка, насколько безопасно то или иное решение. В лучшем случае, можно утверждать, что оно не было взломано до сих пор. Однако только открытые стандарты получают достаточно внимания и подвергаются критическому изучению, необходимому для подлинной безопасности.
Это одна из причин, по которым мы в Silvair почти два года назад решили присоединиться к рабочей группе Mesh Working Group в рамках Bluetooth Special Interest Group и поделиться своим опытом и знаниями для дальнейшего развития протокола Bluetooth Mesh. На тот момент мы были вполне удовлетворены работой масштабируемых сетей с использованием нашего собственного протокола, основанного на Bluetooth Low Energy; кроме того, мы успешно работали над продвинутыми моделями приложений для интеграции систем освещения в нашу передовую архитектуру сети с ячеистой топологией. Однако при этом мы хорошо осознавали, что не сможем самостоятельно справиться с двумя главными сложностями: обеспечение безопасности и совместимости. И того, и другого можно было добиться лишь при помощи полностью открытых стандартов.
Теперь, накануне введения стандарта Bluetooth Mesh
(ожидается, что он будет представлен в середине 2017 года), мы уверены, что поступили абсолютно верно. Пока мы не можем рассказать об этом стандарте подробнее, но уже готовы заявить, что архитектура безопасности Bluetooth Mesh впечатляет. Нам доводилось слышать мнение даже о том, что внедрение таких эффективных механизмов безопасности невозможно для технологий с низким энергопотреблением. Однако Bluetooth Mesh делает это возможным. Этот новый протокол связи с низким энергопотреблением стал первым протоколом, разработанным с учетом возможности применения в коммерческих системах освещения, и позволит установить новые стандарты безопасности для «умного» освещения. Пока вам придется поверить Silvair на слово, однако вскоре весь рынок сможет увидеть все своими глазами.