Internet rzeczy to coraz popularniejszy trend. Idea jest prosta: umieścić komputery w różnego rodzaju sprzętach - pralkach, lodówkach, termostatach - które tradycyjnie nie były skomputeryzowane, a następnie sprawić, by te komunikowały się wzajemnie w Internecie.
Drzwi, które otworzysz smartfonem, urządzenia AGD obsługiwane zdalnie przez mobilną aplikację, czy też ubrania dla dzieci z czujnikami, które powiadomią rodziców, gdy maluch jest głodny, to właśnie urządzenia Internetu rzeczy, które w dodatku już istnieją. Dzięki nim można liczyć na wyższy komfort życia. Co innego mają jednak do powiedzenia specjaliści ds. bezpieczeństwa.
- Wiele nowych domów jest wyposażonych w zintegrowany aktywny system obsługi, dzięki któremu można sprawdzić, czy w pośpiechu nie pozostawiło się włączonej kuchenki bądź zamknąć zewnętrzne rolety za pomocą smartfona. To duże udogodnienie. Pamiętajmy jednak, że osoba, która przejmie kontrolę nad naszym systemem, może wykonać zupełnie inne operacje - wywołać pożar lub otworzyć dom i wyłączyć system alarmowy - ostrzega Michał Klein, konsultant IT w Zespole Systemów Zarządzania i Bezpieczeństwa z BCC.
- Urządzenia z kręgu Internet rzeczy najczęściej nie są odpowiednio chronione - mówi Łukasz Nowatkowski, dyrektor IT w G Data Software. - Przykładem może być krytyczna luka w oprogramowaniu pieców firmy Vaillant, która została odkryta w zeszłym roku i pozwalała na uzyskanie zdalnego dostępu do konsoli zarządzającej ogrzewaniem przez przeglądarkę internetową. Atakujący uzyskiwał pełną kontrolę nad urządzeniem, mógł wyłączyć ofierze ogrzewanie w samym środku zimy, żądając odpowiedniego okupu za jego ponowne uruchomienie - dodaje.
Spam z lodówki
W styczniu Proofpoint, kalifornijska firma specjalizująca się w bezpieczeństwie, poinformowała o przeprowadzeniu kampanii spamerskiej z użyciem Internetu rzeczy. W cyber ataku wykorzystano ponad 450 tys. unikalnych adresów IP, z czego ponad 100 tys. pochodziło z urządzeń kojarzonych z Internetem rzeczy. Eksperci Proofpoint wyjawili, że ponad 750 tys. wiadomości spamerskich i phishingowych wysłano z urządzeń innych niż komputery stacjonarne czy laptopy - w ataku wykorzystano m.in. routery, systemy antywłamaniowe, kamery, a nawet lodówkę.
- Urządzenia tworzące Internet rzeczy stanowią atrakcyjny cel, ponieważ z reguły posiadają ograniczony interfejs użytkownika lub też mają ograniczenia dotyczące ingerowania w ich systemy operacyjne i uruchomione programy - mówi Maurycy Prodeus, specjalista z firmy ISEC, dostawcy usług i rozwiązań informatycznych, które obejmują zagadnienia bezpieczeństwa systemów IT. - Sprawia to, że projektanci tych urządzeń często nie wprowadzają efektywnych mechanizmów bezpieczeństwa, jedynie ukrywając bądź wręcz pozostawiając pewne wrażliwe elementy rozwiązań - dodaje.
W przypadku urządzeń Internetu rzeczy często trudno zaktualizować oprogramowanie. A jeżeli dodatkowo weźmiemy pod uwagę, że większość sprzętu ma system operacyjny, który może zawierać luki w zabezpieczeniach, szybko okazuje się, że łatwo można zainfekować lodówkę czy telewizor. Wtedy posiadany sprzęt może przestać działać poprawnie. - Kiedy w urządzeniu zainstalowane zostanie złośliwe oprogramowanie, atakujący może zrobić z nim prawie wszystko, oczywiście w zależności od możliwości danego sprzętu - tłumaczy Maik Morgenstern, CTO z AV-TEST.
AV-TEST przeprowadziło testy na różnych smart urządzeniach, aby sprawdzić ich poziom bezpieczeństwa. - Odkryliśmy, że wiele sprzętów jest podatnych na ataki - mówi Maik Morgenstern. - Jednym z przykładów są smart TV. Badania nad bezpieczeństwem nowoczesnych telewizorów wykazały, że niektóre z nich przesyłają niezaszyfrowane wrażliwe dane użytkowników i atakujący mogą wykraść przykładowo loginy i hasła do usług wideo na żądanie - tłumaczy przedstawiciel AV-TEST.
fot. Eris Stassi
Ataków będzie coraz więcej
- Proszę przypomnieć sobie lata 2001-2006. Przeciętny użytkownik, który instalował system Windows XP na swoim komputerze podłączonym do internetu, od razu padał ofiarą ataku robaka internetowego. Dopiero wprowadzenie specjalnych mechanizmów "utwardzających" domyślną konfigurację systemów operacyjnych przyniosły skutek - mówi Maurycy Prodeus. Do sytuacji, gdy podłączymy lodówkę lub telewizor do prądu i po paru chwilach będą one zawirusowane jeszcze dużo brakuje. Ale eksperci są zgodni, że należy spodziewać się większej ilości ataków na urządzenia Internetu rzeczy. - To kolejne miejsce, w którym cyberprzestępcy, w zależności od pomysłowości, możliwości i dostępności tych urządzeń, będą chcieli się znaleźć - mówi Maciej Iwanicki, ekspert ds. bezpieczeństwa w firmie Symantec.
Na początku tego roku Internet rzeczy tworzyło prawie 2 mld urządzeń, za 4 lata ma być ich nawet 9 mld - wynika z danych firmy Business Insider Inteligence, która oparła swoje analizy na wyliczeniach firm analitycznych Gartner i IDC. Im popularniejszy będzie stawać się Internet rzeczy i im więcej urządzeń zagości w naszych domach, tym częściej cyberprzestępcy będą przeprowadzać swoje ataki.
- Jednym z najważniejszych czynników dla atakujących jest to, czy dane urządzenie lub system operacyjny są wystarczająco popularne, tak, aby atak faktycznie się opłacił. To jest powód, dlaczego Windows jest najczęściej na celowniku cyberprzestępców - tłumaczy Maik Morgenstern z AV-TEST. I dodaje, że w przypadku Internetu rzeczy nie można jeszcze mówić o tak dużej popularności i zainteresowaniu intruzów. Dlatego wielu cyberprzestępców póki co odpuszcza sobie ataki. Ta sytuacja będzie się jednak zmieniać. - Prawdopodobnie nie stanie się to w ciągu roku czy dwóch lat, ale wraz ze wzrostem popularności urządzeń tworzących Internet rzeczy ataków będzie przybywać - mówi Maciej Ziarek, ekspert ds. bezpieczeństwa IT z Kaspersky Lab Polska.
Domowy smart szpieg
Smart urządzenia mogą nas szpiegować i takie sytuacje już się zdarzają. - Wystarczy przytoczyć historię opisywaną na jednym z blogów o tematyce bezpieczeństwa IT. Użytkownik postanowił sprawdzić, czy i ewentualnie jakie dane są zbierane bądź przesyłane przez jego nowy smart TV. Okazało się, że nawet gdy użytkownik wyłączy w menu telewizora opcję kolekcji danych, urządzenie przesyła przez internet do producenta drogą nieszyfrowaną (HTTP) dane takie jak: oglądany kanał, ID urządzenia, a co najgorsze, próbuje nawet wysyłać informacje o nazwach plików z nośników USB, które do niego podłączamy - mówi Michał Klein z BCC.
Fot. HANDOUT REUTERS
Prywatność i bezpieczeństwo będzie zdaniem ekspertów jednym z największych wyzwań stawianych przed Internetem rzeczy. Użytkownicy często nie będą mogli sprawdzić, co dzieje się z danymi, które są gromadzone przez smart urządzenia. - Już teraz szkodliwe oprogramowanie jest w stanie aktywować kamerę czy mikrofon w laptopie. Szpiegowanie w najbliższych latach może zatem nabrać nowego znaczenia - dodaje Maciej Ziarek z Kaspersky Lab Polska.
Czy można coś zrobić, abyś nie musiał się obawiać, że nowo zakupiony inteligentny telewizor jest również smart szpiegiem? - Zanim Internet rzeczy spowszednieje, powinny go wyprzedzić odpowiednie zmiany legislacyjne. Te z kolei mogłyby być połączone z kampaniami społecznymi, promującymi wiedzę na temat bezpieczeństwa internetowego. Zrzucenie odpowiedzialności za ochronę danych i prywatności na producentów urządzeń to scenariusz, który się nie uda, tak, jak nie udaje się to obecnie w odniesieniu do dostawców usług i treści - wyjaśnia Maurycy Prodeus. - Użytkownik, który na przykład chce kupić piekarnik z dostępem do internetu powinien mieć możliwość sprawdzenia, czy dane urządzenie spełnia wymogi bezpieczeństwa teleinformatycznego - dodaje.
Obecnie użytkownicy praktycznie nie są w stanie sprawdzić, czy smart sprzęt jest również odpowiednio bezpieczny. Eksperci sugerują, że powinien zostać wprowadzony wyspecjalizowany system certyfikacji i kontroli jakości, podobnie jak w przypadku produktów z innych branż. - Rynek z czasem też z pewnością będzie podlegał samoregulacji. Na produkty niebezpieczne będzie zwyczajnie mniejszy popyt - komentuje Maurycy Prodeus.
Szczepionki w drodze
Kupując dziś smart TV lub pralkę korzystającą z Wi-Fi nie możemy liczyć na tak dobre zabezpieczenia jak dla komputerów.
- Na chwilę obecną nie mamy oprogramowania chroniącego telewizory czy inne tego typu urządzenia. Jeżeli jednak zajdzie taka potrzeba, z pewnością nie pozostawimy naszych użytkowników bez ochrony - mówi Maciej Ziarek z Kaspersky Lab Polska.
Przedstawiciel G Data Software wyraził podobną opinię. - Na dzień dzisiejszy wspieramy użytkowników mobilnego systemu Android i obecnie nie prowadzimy prac nad antywirusem dedykowanym dla konkretnych urządzeń domowych łączących się z siecią. Decyzja ta jest spowodowana różnorodnością stosowanych rozwiązań - tłumaczy Łukasz Nowatkowski.
Symantec z kolei już pracuje nad narzędziami zabezpieczającymi. - Trwają intensywne prace nad stworzeniem odpowiedniego rozwiązania dla zapewnienia ochrony zarówno od strony samych urządzeń, jak i od strony ich użytkowników - zapewnia Maciej Iwanicki.
Jeśli w najbliższej przyszłości masz zamiar kupić sprzęt z kręgu Internetu rzeczy, zwróć uwagę nie tylko na dostępne funkcje, ale też poziom zabezpieczeń. Obecnie wiele osób tego nie robi. - Być może w idealnym świecie przyszłości będziemy zwracać uwagę na kwestie swojej prywatności i bezpieczeństwa sieciowego dokładnie tak, jak przy korzystaniu z piekarnika zwracamy uwagę na to, aby się nie poparzyć - mówi Maurycy Prodeus.
Pozostaje mieć nadzieję, że tak właśnie będzie.
