Ciemna strona Internetu rzeczy

Urządzenia kojarzone z trendem "Internet rzeczy" mają zapewniać wyższy komfort życia. Nie są jednak dostatecznie zabezpieczone. Przekonał się o tym pewien właściciel inteligentnej lodówki. A to dopiero początek zagrożeń.

Internet rzeczy to coraz popularniejszy trend. Idea jest prosta: umieścić komputery w różnego rodzaju sprzętach - pralkach, lodówkach, termostatach - które tradycyjnie nie były skomputeryzowane, a następnie sprawić, by te komunikowały się wzajemnie w Internecie.

Drzwi, które otworzysz smartfonem, urządzenia AGD obsługiwane zdalnie przez mobilną aplikację, czy też ubrania dla dzieci z czujnikami, które powiadomią rodziców, gdy maluch jest głodny, to właśnie urządzenia Internetu rzeczy, które w dodatku już istnieją. Dzięki nim można liczyć na wyższy komfort życia. Co innego mają jednak do powiedzenia specjaliści ds. bezpieczeństwa.

- Wiele nowych domów jest wyposażonych w zintegrowany aktywny system obsługi, dzięki któremu można sprawdzić, czy w pośpiechu nie pozostawiło się włączonej kuchenki bądź zamknąć zewnętrzne rolety za pomocą smartfona. To duże udogodnienie. Pamiętajmy jednak, że osoba, która przejmie kontrolę nad naszym systemem, może wykonać zupełnie inne operacje - wywołać pożar lub otworzyć dom i wyłączyć system alarmowy - ostrzega Michał Klein, konsultant IT w Zespole Systemów Zarządzania i Bezpieczeństwa z BCC.

- Urządzenia z kręgu Internet rzeczy najczęściej nie są odpowiednio chronione - mówi Łukasz Nowatkowski, dyrektor IT w G Data Software. - Przykładem może być krytyczna luka w oprogramowaniu pieców firmy Vaillant, która została odkryta w zeszłym roku i pozwalała na uzyskanie zdalnego dostępu do konsoli zarządzającej ogrzewaniem przez przeglądarkę internetową. Atakujący uzyskiwał pełną kontrolę nad urządzeniem, mógł wyłączyć ofierze ogrzewanie w samym środku zimy, żądając odpowiedniego okupu za jego ponowne uruchomienie - dodaje.

 

Spam z lodówki

W styczniu Proofpoint, kalifornijska firma specjalizująca się w bezpieczeństwie, poinformowała o przeprowadzeniu kampanii spamerskiej z użyciem Internetu rzeczy. W cyber ataku wykorzystano ponad 450 tys. unikalnych adresów IP, z czego ponad 100 tys. pochodziło z urządzeń kojarzonych z Internetem rzeczy. Eksperci Proofpoint wyjawili, że ponad 750 tys. wiadomości spamerskich i phishingowych wysłano z urządzeń innych niż komputery stacjonarne czy laptopy - w ataku wykorzystano m.in. routery, systemy antywłamaniowe, kamery, a nawet lodówkę.

- Urządzenia tworzące Internet rzeczy stanowią atrakcyjny cel, ponieważ z reguły posiadają ograniczony interfejs użytkownika lub też mają ograniczenia dotyczące ingerowania w ich systemy operacyjne i uruchomione programy - mówi Maurycy Prodeus, specjalista z firmy ISEC, dostawcy usług i rozwiązań informatycznych, które obejmują zagadnienia bezpieczeństwa systemów IT. - Sprawia to, że projektanci tych urządzeń często nie wprowadzają efektywnych mechanizmów bezpieczeństwa, jedynie ukrywając bądź wręcz pozostawiając pewne wrażliwe elementy rozwiązań - dodaje.

W przypadku urządzeń Internetu rzeczy często trudno zaktualizować oprogramowanie. A jeżeli dodatkowo weźmiemy pod uwagę, że większość sprzętu ma system operacyjny, który może zawierać luki w zabezpieczeniach, szybko okazuje się, że łatwo można zainfekować lodówkę czy telewizor. Wtedy posiadany sprzęt może przestać działać poprawnie. - Kiedy w urządzeniu zainstalowane zostanie złośliwe oprogramowanie, atakujący może zrobić z nim prawie wszystko, oczywiście w zależności od możliwości danego sprzętu - tłumaczy Maik Morgenstern, CTO z AV-TEST.

AV-TEST przeprowadziło testy na różnych smart urządzeniach, aby sprawdzić ich poziom bezpieczeństwa. - Odkryliśmy, że wiele sprzętów jest podatnych na ataki - mówi Maik Morgenstern. - Jednym z przykładów są smart TV. Badania nad bezpieczeństwem nowoczesnych telewizorów wykazały, że niektóre z nich przesyłają niezaszyfrowane wrażliwe dane użytkowników i atakujący mogą wykraść przykładowo loginy i hasła do usług wideo na żądanie - tłumaczy przedstawiciel AV-TEST.

 

Nowoczesny Internetfot. Eris Stassi

 

Ataków będzie coraz więcej

- Proszę przypomnieć sobie lata 2001-2006. Przeciętny użytkownik, który instalował system Windows XP na swoim komputerze podłączonym do internetu, od razu padał ofiarą ataku robaka internetowego. Dopiero wprowadzenie specjalnych mechanizmów "utwardzających" domyślną konfigurację systemów operacyjnych przyniosły skutek - mówi Maurycy Prodeus. Do sytuacji, gdy podłączymy lodówkę lub telewizor do prądu i po paru chwilach będą one zawirusowane jeszcze dużo brakuje. Ale eksperci są zgodni, że należy spodziewać się większej ilości ataków na urządzenia Internetu rzeczy. - To kolejne miejsce, w którym cyberprzestępcy, w zależności od pomysłowości, możliwości i dostępności tych urządzeń, będą chcieli się znaleźć - mówi Maciej Iwanicki, ekspert ds. bezpieczeństwa w firmie Symantec.

Na początku tego roku Internet rzeczy tworzyło prawie 2 mld urządzeń, za 4 lata ma być ich nawet 9 mld - wynika z danych firmy Business Insider Inteligence, która oparła swoje analizy na wyliczeniach firm analitycznych Gartner i IDC. Im popularniejszy będzie stawać się Internet rzeczy i im więcej urządzeń zagości w naszych domach, tym częściej cyberprzestępcy będą przeprowadzać swoje ataki.

- Jednym z najważniejszych czynników dla atakujących jest to, czy dane urządzenie lub system operacyjny są wystarczająco popularne, tak, aby atak faktycznie się opłacił. To jest powód, dlaczego Windows jest najczęściej na celowniku cyberprzestępców - tłumaczy Maik Morgenstern z AV-TEST. I dodaje, że w przypadku Internetu rzeczy nie można jeszcze mówić o tak dużej popularności i zainteresowaniu intruzów. Dlatego wielu cyberprzestępców póki co odpuszcza sobie ataki. Ta sytuacja będzie się jednak zmieniać. - Prawdopodobnie nie stanie się to w ciągu roku czy dwóch lat, ale wraz ze wzrostem popularności urządzeń tworzących Internet rzeczy ataków będzie przybywać - mówi Maciej Ziarek, ekspert ds. bezpieczeństwa IT z Kaspersky Lab Polska.

 

Domowy smart szpieg

Smart urządzenia mogą nas szpiegować i takie sytuacje już się zdarzają. - Wystarczy przytoczyć historię opisywaną na jednym z blogów o tematyce bezpieczeństwa IT. Użytkownik postanowił sprawdzić, czy i ewentualnie jakie dane są zbierane bądź przesyłane przez jego nowy smart TV. Okazało się, że nawet gdy użytkownik wyłączy w menu telewizora opcję kolekcji danych, urządzenie przesyła przez internet do producenta drogą nieszyfrowaną (HTTP) dane takie jak: oglądany kanał, ID urządzenia, a co najgorsze, próbuje nawet wysyłać informacje o nazwach plików z nośników USB, które do niego podłączamy - mówi Michał Klein z BCC.

 

Sony Corp.'s trinitron color TV, the KV-1310, launched in October 1968, is seen in this undated handout image released by Sony Corp. REUTERS/Sony Corp./Handout (JAPAN - Tags: SCIENCE TECHNOLOGY) NO SALES. NO ARCHIVES. FOR EDITORIAL USE ONLY. NOT FOR SALE FOR MARKETING OR ADVERTISING CAMPAIGNS. THIS IMAGE HAS BEEN SUPPLIED BY A THIRD PARTY. IT IS DISTRIBUTED, EXACTLY AS RECEIVED BY REUTERS, AS A SERVICE TO CLIENTS. JAPAN OUT. NO COMMERCIAL OR EDITORIAL SALES IN JAPAN. MANDATORY CREDITFot. HANDOUT REUTERS

 

Prywatność i bezpieczeństwo będzie zdaniem ekspertów jednym z największych wyzwań stawianych przed Internetem rzeczy. Użytkownicy często nie będą mogli sprawdzić, co dzieje się z danymi, które są gromadzone przez smart urządzenia. - Już teraz szkodliwe oprogramowanie jest w stanie aktywować kamerę czy mikrofon w laptopie. Szpiegowanie w najbliższych latach może zatem nabrać nowego znaczenia - dodaje Maciej Ziarek z Kaspersky Lab Polska.

Czy można coś zrobić, abyś nie musiał się obawiać, że nowo zakupiony inteligentny telewizor jest również smart szpiegiem? - Zanim Internet rzeczy spowszednieje, powinny go wyprzedzić odpowiednie zmiany legislacyjne. Te z kolei mogłyby być połączone z kampaniami społecznymi, promującymi wiedzę na temat bezpieczeństwa internetowego. Zrzucenie odpowiedzialności za ochronę danych i prywatności na producentów urządzeń to scenariusz, który się nie uda, tak, jak nie udaje się to obecnie w odniesieniu do dostawców usług i treści - wyjaśnia Maurycy Prodeus. - Użytkownik, który na przykład chce kupić piekarnik z dostępem do internetu powinien mieć możliwość sprawdzenia, czy dane urządzenie spełnia wymogi bezpieczeństwa teleinformatycznego - dodaje.

Obecnie użytkownicy praktycznie nie są w stanie sprawdzić, czy smart sprzęt jest również odpowiednio bezpieczny. Eksperci sugerują, że powinien zostać wprowadzony wyspecjalizowany system certyfikacji i kontroli jakości, podobnie jak w przypadku produktów z innych branż. - Rynek z czasem też z pewnością będzie podlegał samoregulacji. Na produkty niebezpieczne będzie zwyczajnie mniejszy popyt - komentuje Maurycy Prodeus.

 

Szczepionki w drodze

Kupując dziś smart TV lub pralkę korzystającą z Wi-Fi nie możemy liczyć na tak dobre zabezpieczenia jak dla komputerów.

- Na chwilę obecną nie mamy oprogramowania chroniącego telewizory czy inne tego typu urządzenia. Jeżeli jednak zajdzie taka potrzeba, z pewnością nie pozostawimy naszych użytkowników bez ochrony - mówi Maciej Ziarek z Kaspersky Lab Polska.

Przedstawiciel G Data Software wyraził podobną opinię. - Na dzień dzisiejszy wspieramy użytkowników mobilnego systemu Android i obecnie nie prowadzimy prac nad antywirusem dedykowanym dla konkretnych urządzeń domowych łączących się z siecią. Decyzja ta jest spowodowana różnorodnością stosowanych rozwiązań - tłumaczy Łukasz Nowatkowski.

Symantec z kolei już pracuje nad narzędziami zabezpieczającymi. - Trwają intensywne prace nad stworzeniem odpowiedniego rozwiązania dla zapewnienia ochrony zarówno od strony samych urządzeń, jak i od strony ich użytkowników - zapewnia Maciej Iwanicki.

Jeśli w najbliższej przyszłości masz zamiar kupić sprzęt z kręgu Internetu rzeczy, zwróć uwagę nie tylko na dostępne funkcje, ale też poziom zabezpieczeń. Obecnie wiele osób tego nie robi. - Być może w idealnym świecie przyszłości będziemy zwracać uwagę na kwestie swojej prywatności i bezpieczeństwa sieciowego dokładnie tak, jak przy korzystaniu z piekarnika zwracamy uwagę na to, aby się nie poparzyć - mówi Maurycy Prodeus.

Pozostaje mieć nadzieję, że tak właśnie będzie.

Więcej o:
Komentarze (9)
Ciemna strona Internetu rzeczy
Zaloguj się
  • harbourfront

    Oceniono 25 razy 21

    Moja stara lodowka nie jest podalczona to internetu ale ... wczoraj zwrocilem uwage ze jakos tak na mnie spoglada..dziwnie.Chyba mnie cholera szpieguje.

  • gosc-km

    Oceniono 18 razy 14

    Eee.. tam... ;-)

    ----
    Wysłane z mojego piekarnika przez router z nocnika

  • awers99

    Oceniono 12 razy 4

    "Internet rzeczy" ? Kto to coś wymyślił ? Można prosić o pisanie po polsku ?

  • ssamiec

    Oceniono 1 raz 1

    Jasne że zabezpieczam tak samo jak komputer:
    - blokuję wszystkie porty poza ssh w iptables
    - wymuszam używanie skomplikowanych haseł przez członków rodziny
    - loguję nieudane połączenia i blokuję script kiddies w fail2ban

  • ada.marecka27

    Oceniono 2 razy 0

    wszystko super tylko czemu ala musi tak d oraz dlaczego tylko 8

  • mille666

    Oceniono 2 razy 0

    symantec sobie może pracować: albo blokujemy całkowicie dostęp do internetu, albo pozwalamy na min aktualizacje oprogramowania, poza tym w dobie szajsbooku szpiegowanie to absurd: ludzie klepią co tylko mogą na cały Świat...

Aby ocenić zaloguj się lub zarejestrujX