Понимай и защищай: как работают угрозы в IoT и что с ними делать

Когда в сеть выходит новая умная колонка, термостат или трекер для собаки — мало кто задумывается, что за этим стоит не просто удобство, а потенциальный бэкдор в частную жизнь, корпоративную сеть или критическую инфраструктуру. Интернет вещей обещал комфорт, автоматизацию и «умное» будущее, но к 2025 году стал самым тихим фронтом цифровой войны. Пока пользователи не замечают, как чайники становятся прокси, камеры — шпионами, а промышленные датчики — инструментами саботажа, киберпреступники уже перестроили стратегии под взлом не серверов, а вещей. Что сделало IoT главным полем битвы — и почему эта угроза глубже, чем кажется на первый взгляд?

IoT-системы сегодня — главная цель киберпреступников?

Пока компании инвестируют в шифрование, EDR и защиту облаков, хакеры все чаще выбирают обходной путь — через «умные» вещи. IoT больше не воспринимается как второстепенная угроза. Это полноценная поверхность атаки, с которой всё чаще и начинается проникновение. Камеры, датчики, умные замки, зарядные станции — всё это подключено, плохо защищено и зачастую никем не мониторится.

По данным Forrester и Microsoft, к 2024 году каждая четвертая атака на инфраструктуру начиналась с IoT-устройства. Особенно это заметно в розничной торговле, логистике и медицине. Причина проста: эти устройства работают в сетях вместе с критичными системами, но не защищаются так же тщательно. Их не интегрируют в SIEM, не сегментируют, не обновляют. Они висят в сети — и доступны всем, кто знает, как постучаться.

• Типовой сценарий: взлом открытого MQTT-брокера, дефолтный Telnet-доступ на IP-камеру, или обход авторизации на Zigbee-шлюзе. Атака даже не требует эксплойта — достаточно заводской прошивки и пароля «admin/admin». Так формируются IoT-ботнеты нового поколения. Пример — Mozi: в 2023 году он управлял более чем 1,5 миллионами устройств, включая роутеры и камеры, и выполнял DDoS-атаки без установки вредоносного ПО.
• Важно понимать: IoT всё чаще используется не как цель, а как точка входа. Взломанное устройство — это узел в периметре. Через него можно сканировать сеть, развернуть туннель, атаковать внутренние сервисы. Такие действия незаметны, особенно если устройство не логирует события и никак не сигнализирует об аномалиях.

Для злоумышленника это идеальный канал: дешёвый, массовый и тихий. Уровень защиты этих устройств отстает от стандартов минимум на 5-7 лет. И пока IoT остаётся «невидимкой» для корпоративных систем ИБ, он будет использоваться — снова и снова.

Основные угрозы и уязвимости IoT

Уязвимости IoT не просто многочисленны — они разнородны, многослойны и часто незаметны. Это не классический «пробитый порт» или «вирусный файл» — тут речь о просроченных прошивках, нешифрованных протоколах и цепочках доверия, которые никто не проверяет. Самое опасное в IoT — не масштаб, а то, что уязвимости встроены в саму логику работы устройств.

• Первая и самая распространенная проблема — отсутствие актуального механизма обновления. Большинство IoT-девайсов живёт на одной и той же прошивке с момента выпуска. Некоторые вообще не поддерживают обновление «по воздуху» (OTA), другие зависят от веб-интерфейсов, которые давно не существуют. Производитель исчез, поддержка прекращена — а устройство продолжает висеть в сети. И становится мишенью.
• Второй пласт — использование слабых или вообще отсутствующих механизмов аутентификации. Пароли по умолчанию, открытые Telnet-доступы, базовая HTTP-авторизация без шифрования — классика. Даже при наличии панели администратора, зачастую отсутствует защита от перебора паролей или многократных попыток входа. Это не баг — это типовая архитектура устройств за $20.
• Дальше — протоколы. Такие как MQTT, CoAP, UPnP — они разработаны для легкости и скорости, но не для безопасности. Многие не шифруют трафик, не проверяют подлинность отправителя и не могут различить легитимный запрос от поддельного. Хакеры легко перехватывают или подменяют сообщения, особенно если устройства обмениваются телеметрией через публичные брокеры.
• Отдельная головная боль — жёстко зашитые параметры в прошивке: логины, ключи, IP-адреса серверов обновлений. Менять их нельзя, обновить — нельзя, выключить — нельзя. Если такие параметры скомпрометированы, весь парк устройств оказывается уязвим. Причём одновременно.

Немало угроз кроется в отсутствии сегментации сети. Устройство, изначально рассчитанное на работу в изолированной среде, может случайно оказаться в одной подсети с внутренними корпоративными сервисами. Это дает злоумышленнику шанс на lateral movement — перемещение внутри сети с одного узла на другой, уже после первоначального взлома.

И наконец, сами цепочки поставок. Многие устройства собираются из компонентов от десятков поставщиков. Прошивка может включать библиотеки с открытым исходным кодом, в которых уже годами живет известная CVE. А производитель даже не знает, что она там есть. Или знает, но не считает нужным исправить.

IoT сегодня — это слой за слоем уязвимостей, заложенных не в результате атаки, а изначально. Слишком легкий вход, слишком слабый контроль, слишком редкое обновление. Именно эта комбинация делает IoT настолько привлекательной целью.

Ошибки при разработке и внедрении IoT-систем

Один из самых опасных парадоксов Интернета вещей в том, что большинство его уязвимостей не появляются в процессе эксплуатации — они заложены ещё до того, как устройство покидает сборочную линию. Всё начинается с проектирования: попытка сделать дешёвое, энергоэффективное, сетевое устройство без избыточной логики приводит к упрощениям, которые ставят под угрозу безопасность с самого начала.

• Главная ошибка — игнорирование принципа «безопасность по умолчанию». Большинство IoT-устройств поставляются с открытыми сервисами, базовой авторизацией или вовсе без неё. Многие девайсы встраиваются в сеть без начального экрана настройки безопасности. Примеров масса: роутеры с активированным Telnet, камеры, вещающие RTSP-поток в локалку без логина, термостаты с открытыми REST API. Всё это — следствие подхода «включи и работай», где безопасность не только не приоритет, а даже не входит в список требований.
• Вторая ключевая ошибка — стремление к совместимости любой ценой. Разработчики массово используют универсальные протоколы (UPnP, MQTT, HTTP), но часто без ограничения доступа, без шифрования и без фильтрации трафика. Главное — чтобы работало «из коробки» в любой сети. Последствия очевидны: устройство не различает внутренний и внешний трафик, принимает команды из любой точки, а значит — из интернета тоже.
• Нельзя забывать и о компонентной зависимости. Многие производители используют SDK и прошивки, которые не контролируют полностью. Встраиваются сторонние библиотеки, драйверы, фрагменты кода с GitHub, в которых могут скрываться устаревшие или небезопасные элементы. Когда в 2023 году была раскрыта уязвимость в одной из версий open-source TCP/IP-стека, оказалось, что она присутствует более чем в сотне моделей устройств от разных брендов. Причина — копипаста без аудита.

На уровне внедрения проблема обостряется. Интеграторы часто не проверяют конфигурации, не изолируют IoT-устройства в отдельные VLAN, не ограничивают им выход в интернет. А пользователи не меняют пароли, не отключают ненужные службы, не обновляют прошивки. Всё это создаёт ситуации, когда IoT становится «серой зоной» внутри сети — вроде бы работает, вроде бы безопасно, но на самом деле открыт со всех сторон.

Корень проблем — в культуре разработки, где безопасность воспринимается как лишняя статья расходов, а не как базовая характеристика продукта. Пока это не изменится, масштаб уязвимостей будет расти.