Nowości w branży bezpieczeństwa

Inteligentne, ale czy bezpieczne?

Michal Salát, 28 września 2017

Na ile bezpieczne są urządzenia IoT? Czy można złamać ich zabezpieczenia? Dział Zabezpieczeń Avast przyjrzał się tej kwestii z bliska.

W dzisiejszym świecie, jesteśmy otoczeni urządzeniami IoT, czasami nawet nie zdając sobie sprawy, że z takimi mamy do czynienia. Producenci zabawek, mebli, samochodów i urządzeń medycznych zwiększają atrakcyjność swoich produktów, dodając do nich „inteligentne” funkcje. W sprzedaży są już nawet inteligentne butelki na wodę połączone z aplikacjami! Niestety, w pędzie do wprowadzania na rynek inteligentnych urządzeń zbyt często zapomina się o bezpieczeństwie.

Dlaczego urządzenia IoT mają braki w zabezpieczeniach?

Ponieważ nie istnieją osobne przepisy dotyczące zabezpieczeń urządzeń inteligentnych, producenci tworzą własne, zastrzeżone standardy komunikacji. Konsekwencje są łatwe do przewidzenia. Wyobraźmy sobie producenta, który wypuszcza na rynek „inteligentne” tostery. To świetnie, że za pomocą urządzenia mobilnego można dostosować poziom opiekania, ale czy producent zastanowił się też, jak chronić toster przed hakerami? Większość zapomina lub nie ma wystarczającej wiedzy jak zapewnić wyprodukowanym urządzeniom nowoczesne zabezpieczenia. Konsumenci oczekują coraz to wymyślniejszych gadżetów podłączonych do sieci, w rezultacie nowe, niezabezpieczone produkty trafiają do sprzedaży.

Czy urządzenia IoT są łatwym łupem dla hakerów?

Ponieważ urządzenia inteligentne nie są wystarczająco dobrze zabezpieczone, mogą paść ofiarą ataku hakerów korzystających z wielu istniejących metod — począwszy od uzyskania dostępu do poświadczeń na drodze ataku siłowego, skończywszy na bardziej zaawansowanych technikach wykorzystujących luki w zabezpieczeniach (takich jak odtwarzanie kodu źródłowego oprogramowania sprzętowego lub systemów operacyjnych w celu odnalezienia luk typu zero-day). Usługi i exploity wykorzystywane do łamania zabezpieczeń urządzeń IoT, sprzedawane w darknecie, są łatwo dostępne dla cyberprzestępców. Hakerzy cały czas starają się spenetrować nowe rodzaje sieci i standardy komunikacji używane przez urządzenia IoT.

Jak trudne jest złamanie zabezpieczeń urządzenia IoT?

Najprostszym sposobem na złamanie zabezpieczeń urządzenia inteligentnego jest przeprowadzenie ataku siłowego na hasła lub użycie domyślnych danych logowania. Botnety, które można wynająć w darknecie, umożliwiają zainfekowanie tysięcy urządzeń naraz za pomocą metody „script kiddie”, która polega na użyciu napisanych przez innych użytkowników złośliwych programów do własnych celów.

W chwili obecnej ataki są bardzo proste, ponieważ wielu producentów stara się zaoszczędzić i używa tych samych domyślnych danych logowania na wszystkich urządzeniach, zamiast tworzyć niepowtarzalne hasła. W ubiegłym roku jednym z największych zagrożeń dla urządzeń IoT był botnet Mirai, który zainfekował tysiące urządzeń, wykorzystując domyślne poświadczenia logowania w celu przeprowadzania szeroko zakrojonych ataków DDoS. Ponieważ kod źródłowy Mirai został opublikowany, niemal każdy może uruchomić własny botnet IoT lub skorzystać z kodu w inny sposób. W rezultacie światło dzienne ujrzało wiele mutacji botnetu Mirai.

Choć istnieją inne sposoby na zainfekowanie urządzenia IoT, nie cieszą się one tak dużą popularnością z racji większej złożoności i wyższych kosztów. Na przykład odtwarzanie kodu źródłowego oprogramowania sprzętowego lub systemu operacyjnego wymaga zaawansowanej wiedzy technicznej i zabiera sporo czasu. Exploity wykorzystujące luki typu „zero-day” także kosztują tysiące dolarów. 

Jak zwiększyć bezpieczeństwo urządzeń IoT?

Możliwym do zastosowania i zarazem skutecznym sposobem na znaczną poprawę bezpieczeństwa urządzeń IoT jest zaoferowanie klientom opcji łatwej zmiany danych logowania. Co więcej, producenci mogliby wymagać od swoich użytkowników, by ci tworzyli niepowtarzalne i silne hasła już podczas początkowej konfiguracji urządzenia. O ile takie rozwiązanie nie sprawdzi się w każdym przypadku, zmiana domyślnych danych logowania znacznie zmniejszyłaby liczbę niezabezpieczonych urządzeń. Utrudniłaby także dostęp do urządzeń IoT „skryptowym dzieciakom”, domorosłym hakerom i prostym botom wyszukującym. Producenci urządzeń IoT mogliby również nadać każdemu urządzeniu niepowtarzalne, wybrane losowo hasło, które otrzymywałby wyłącznie klient.

Regularne aktualizacje oprogramowania w celu usuwania luk w zabezpieczeniach pozwoliłyby ochronić inteligentne urządzenia także przed exploitami. Obecnie producenci często korzystają z przestarzałych wersji różnorodnych bibliotek i systemów operacyjnych, dla których istnieje ogromna liczba exploitów o potężnych możliwościach, przez co urządzenia są podatne na ataki. Na rynku jest też dostępnych wiele urządzeń, których oprogramowania sprzętowego nie da się zaktualizować. Jedyną radą na wykorzystanie przez hakera luki w zabezpieczeniach takiego urządzenia jest zatem odłączenie go od sieci i wymiana na bezpieczniejszy model.

Zabezpieczenie inteligentnych urządzeń nie tylko ochroni prywatność osób, ale też pozwoli zapobiec atakom DDoS i uniknąć znacznie poważniejszych konsekwencji. W celu potwierdzenia tej teorii przeprowadzono kontrolowane ataki, które wykazały, że całe sieci IoT mogą zostać zainfekowane w następstwie ataku na jedno urządzenie, takie jak żarówka czy czujnik ruchu. Ataki te pokazały, że inteligentne urządzenia podatne na ataki mogą stanowić potężny problem i powodować ogromne szkody, jeśli kontrolę nad nimi przejmą niewłaściwe osoby. Wystarczy wyobrazić sobie hakerów, którzy kontrolują ruch drogowy lub wyłączają światła w całym mieście. Producenci inteligentnych urządzeń powinni we współpracy z ekspertami ds. bezpieczeństwa zadbać o to, by w ich urządzeniach wdrożono warstwę zabezpieczeń. Powinni także regularnie poddawać swoje produkty testom penetracyjnym.

Ścigając się we wprowadzaniu coraz to nowych produktów na rynek, producenci zapominają o wielu podstawowych zasadach bezpieczeństwa. Dopóki urządzenia inteligentne nie będą lepiej chronione, warto zadać sobie następujące pytanie:

Czy naprawdę opłaca się wydać tyle na nowiutki gadżet, biorąc pod uwagę jego możliwości — ale i potencjalne koszty?.