Журнал "Information Security/ Информационная безопасность" #5, 2025

Практическая сторона безопасности IoT, включая и затронутую в этой стать- ей тему, обсуждалась на OFFZONE – международной конференции по прак- тической кибербезопасности, сосредо- точенной не на общих концепциях, а на конкретных технических подходах. В этом году мероприятие объединило несколько тысяч участников и более сотни экспертов, которые представили результаты своих исследований и поде- лились опытом из реальных проектов. Три кита IoT Большинство IoT-систем используют протокол MQTT – это легкий способ передавать данные по принципу pub- lish–subscribe. Можно представить его как корпоративную рассылку: брокер – это почтовый сервер, а темы (топики) – списки рассылки. Одни устройства публикуют данные в теме, другие – подписываются и получают обновле- ния. Загвоздка в том, что MQTT изна- чально проектировался для доверенных сетей, где безопасность считалась вто- ростепенной. В результате – минимум встроенных ограничений и обилие оши- бок конфигурации. Например, если под- писаться на универсальный топик #, брокер будет передавать все сообще- ния подряд, включая служебные. И если администратор не настроил аутенти- фикацию, злоумышленник может под- слушать весь массив передаваемых данных. Когда устройств становится слишком много, часть обработки переносят ближе к источнику данных. Это и есть edge – программный слой или устрой- ство, которое принимает данные с сен- соров, фильтрует их, агрегирует и пере- дает дальше: в хранилище, облако или управляющие системы. Edge часто вос- принимают как внутренний компонент, работающий в доверенной сети. Поэто- му веб-интерфейсы, API и менеджеры правил в таких решениях редко прохо- дят полноценный аудит безопасности. На практике edge – это мини-сервер с доступом ко всей телеметрии и логике управления, и его компрометация равна потере контроля над производственным процессом. Модель угроз и потоки данных Чтобы понять, как единичная ошибка в системе интернета вещей превраща- ется в полноценную атаку, достаточно взглянуть на то, как в ней движутся данные (рис. 1). На принципиальной схеме все выглядит просто: сенсор собирает информацию, отправляет ее брокеру, брокер пересылает сообщения на edge-платформу, а та уже решает, что делать дальше – сохранить, обра- ботать или передать в облако. Именно здесь чаще всего прячутся классиче- ские веб-уязвимости – SQL-инъекции, XSS, обходы авторизации, уязвимости вроде SSRF, встроенные в логику при- ложения. Если изобразить эту архитектуру в виде диаграммы потоков данных, окажется, что самые опасные зоны – там, где пересекаются доверие и гра- ницы. Между сенсором и брокером нет шифрования, между брокером и edge нет строгой авторизации, а между edge и облаком часто устанавливается нена- дежный канал внешней связи, через который данные могут утечь. Любая из этих точек может стать входом в систе- му, а вместе они формируют цепочку, которая ломается при первом же зло- намеренном воздействии. Система, задуманная как автономная и безопасная, в реальности живет на доверии и предположениях. А доверие в кибербезопасности, как известно, работает до первого инцидента. Три ключевые поверхности атаки Важно понять: уязвимость в любом из этих трех мест IoT-цепочки – уже не локальная беда. Компрометация дат- чика позволяет подслушивать и фаль- сифицировать данные; компрометация брокера раскрывает карту взаимодей- ствий и дает широкую панораму систе- мы; компрометация edge превращает его в инструмент управления. Вместе они образуют не просто набор точек риска, а единую поверхность атаки, где одна ошибка умножает эффект другой. Именно поэтому безопасность IoT – это не только про устройства или только про сеть, это про целостность архитектуры и строгость контроля на каждом стыке. Проще всего понять угрозу на при- мере: возьмем типовую edge-платфор- му, работающую с MQTT-брокером и набором сенсоров. Сцена привычна: датчики шлют телеметрию, брокер маршрутизирует сообщения, edge при- нимает поток, применяет правила и решает, куда дальше уйдет инфор- мация или команда. В этой, на первый взгляд, банальной цепочке несколько распространенных мисконфигураций превращают информационную пробле- му в инструмент, с помощью которого можно управлять уже не только данны- ми, но и физикой процесса. Первый шаг злоумышленника зача- стую начинается с классики – SQL- инъекции. Здесь нет никакой магии: в поле ввода, в котором не фильтруют- ся значения, попадает SQL-запрос – и вы получаете доступ к конфигурации, спискам сущностей, внутренним иден- тификаторам. В изолированном веб- приложении это неприятно, а на edge- платформе это – дверь в администра- тивные сущности: параметры правил, маршруты данных, привязки к устрой- ствам. С помощью одной инъекции можно увидеть страницу конфигурации и найти, где расположены секреты и узлы управления – а это отправная точка для эскалации. Второй распространенный вектор – path traversal. Проще говоря, приложе- ние принимает от пользователя часть пути к файлу и без должной нормали- зации склеивает его с системным путем. В результате атакующий может добраться до файлов за пределами директорий, допустимых для внешних пользователей: прочитать закрытые ключи и конфиги или перезаписать скрипт и положить туда свою команду. 54 • СПЕЦПРОЕКТ Хрупкое звено интернета вещей нтернет вещей давно перестал быть экзотикой: тысячи устройств собирают данные, анализируют их и взаимодей- ствуют между собой без участия человека. Но за внешней простотой IoT скрывается архитектура, где уязвимость в одном элементе способна обрушить всю систему. Чтобы понять, где именно появляются риски, достаточно рас- смотреть три базовых узла: устройство, брокер и edge- платформу. И Алексей Космачев, ведущий специалист по тестированию приложений, BI.ZONE Фото: BI.ZONE