Jak przetrwać w Internecie Rzeczy?

Wybierając kilka najnowszych produktów z kategorii Internetu Rzeczy (IoT), badacze z Kaspersky Lab zidentyfikowali poważne zagrożenia dla domu połączonego z siecią. Należą do nich ekspres do kawy, który ujawnia hasło do sieci Wi-Fi właściciela domu, elektroniczna niania wideo, nad którą kontrolę może przejąć osoba trzecia z nieuczciwymi zamiarami, oraz sterowany smartfonem system bezpieczeństwa, który można oszukać przy użyciu zwykłego magnesu.

W 2014 r. David Jacoby, ekspert ds. bezpieczeństwa IT z Kaspersky Lab, rozejrzał się po swoim salonie i postanowił zbadać, w jakim zakresie posiadane przez niego urządzenia są podatne na cyberataki. Okazało się, że niemal wszystkie zawierają luki. Następnie, w 2015 r., zespół ekspertów z Kaspersky Lab ds. zwalczania szkodliwego oprogramowania powtórzył eksperyment z jedną małą różnicą: o ile działania przeprowadzone przez Davida Jacoby’ego koncentrowały się głównie na serwerach podpiętych do sieci, routerach i telewizorach Smart TV, w najnowszym badaniu przyjrzano się różnym urządzeniom dostępnym na rynku inteligentnych urządzeń domowych.

Do eksperymentu wybrano następujący sprzęt: urządzenie USB do strumieniowania multimediów, sterowana przy użyciu smartfona kamera IP, kontrolowany smartfonem ekspres do kawy oraz obsługiwany w ten sam sposób system bezpieczeństwa domu. W trakcie badania wykryto, że niemal wszystkie te urządzenia zawierały luki lub inne problemy związane z bezpieczeństwem.

Zbadana w eksperymencie elektroniczna niania z możliwością podglądu obrazu pozwalała atakującemu, który korzysta z tej samej sieci co właściciel sprzętu, połączyć się z kamerą, oglądać zarejestrowane przez nią nagrania jak również włączyć rejestrowanie dźwięku. Inne kamery tego samego producenta umożliwiały przestępcom uzyskanie haseł właściciela. Eksperyment pokazał także, że atakujący znajdujący się w tej samej sieci mógł uzyskać hasło umożliwiające dostęp do kamery z przywilejami administratora i zmodyfikować oprogramowanie systemowe (tzw. firmware) urządzenia, dostosowując je do własnych, szkodliwych celów.

W przypadku sterowanych aplikacją ekspresów do kawy, przestępca nie musi nawet korzystać z tej samej sieci co ofiara. Zbadany podczas eksperymentu ekspres wysyłał wystarczająco dużo niezaszyfrowanych informacji, aby atakujący mógł odkryć hasło do sieci Wi-Fi właściciela ekspresu.

Przyglądając się sterowanemu smartfonem systemowi bezpieczeństwa domu, badacze z Kaspersky Lab stwierdzili, że oprogramowanie systemu posiada tylko nieznaczne problemy dotyczące bezpieczeństwa i potrafi oprzeć się cyberatakowi. Znaleziono jednak lukę w jednym z wykorzystywanych przez system czujników.

Działanie czujnika stykowego, który ma za zadanie uruchomić alarm w momencie otwarcia drzwi lub okna, polega na wykrywaniu pola magnetycznego emitowanego przez magnes zamocowany na drzwiach lub w oknie. Gdy drzwi lub okno zostają otwarte, pole magnetyczne znika, a czujnik wysyła do systemu komunikaty alarmowe. Jeśli jednak pole magnetyczne pozostanie, żaden alarm nie zostanie aktywowany.

Podczas eksperymentu z systemem bezpieczeństwa domu eksperci z Kaspersky Lab  wykorzystali prosty magnes, aby zastąpić pole magnetyczne wytwarzane przez czujnik na oknie. Dzięki temu mogli otwierać i zamykać okno bez uruchamiania alarmu. Poważny problem dotyczący tej luki polega na tym, że nie da się go naprawić przy pomocy aktualizacji oprogramowania – problem tkwi w samym projekcie systemu bezpieczeństwa. O wiele bardziej niepokojące jest to, że urządzenia oparte na czujnikach pola magnetycznego są szeroko rozpowszechnione i wykorzystywane przez wiele dostępnych rozwiązań alarmowych.

„Nasz eksperyment wykazał – co jest pocieszające – że producenci biorą pod uwagę kwestie cyberbezpieczeństwa podczas projektowania urządzeń z kategorii Internetu Rzeczy. Mimo to, każde połączone z siecią, sterowane przy użyciu aplikacji urządzenie prawie na pewno będzie posiadało co najmniej jeden problem związany z bezpieczeństwem. Przestępcy mogą wykorzystać kilka takich luk jednocześnie, dlatego tak ważne jest, aby producenci łatali wszystkie dziury – nawet te, które nie są krytyczne. Takie luki powinny zostać usunięte, zanim produkt trafi na rynek, ponieważ znacznie trudniej jest naprawić problem, kiedy urządzenie zostało już sprzedane tysiącom klientów” – powiedział Wiktor Aljuszyn, badacz ds. bezpieczeństwa, Kaspersky Lab.

Jak korzystać z inteligentnych urządzeń bez narażania się na ataki

W kwestiach związanych z bezpieczeństwem często okazuje się, że najważniejszą metodą ochrony jest posiadanie odpowiedniej wiedzy na temat zagrożeń oraz kierowanie się zdrowym rozsądkiem. Nie inaczej jest w przypadku zagrożeń związanych z urządzeniami z kategorii Internetu Rzeczy wykorzystywanych w inteligentnych domach. Eksperci z Kaspersky Lab przygotowali kilka porad dla wszystkich, którzy chcą bezpiecznie korzystać z najnowocześniejszych technologii w swoich domach:

  1. Przed zakupem jakiegokolwiek urządzenia IoT poszukaj w internecie informacji na temat wszelkich luk w zabezpieczeniach tego sprzętu. Internet Rzeczy stanowi niezwykle aktualny temat i wielu badaczy podejmuje się znalezienia błędów w tego rodzaju produktach: od elektronicznych niań po sterowane aplikacjami strzelby. Jest dość prawdopodobne, że urządzenie, które chcesz kupić, zostało już zbadane i można sprawdzić, czy wykryte problemy zostały naprawione.
  2. Kupowanie produktów, które zostały niedawno wprowadzone na rynek nie zawsze jest najlepszym pomysłem. Oprócz standardowych błędów, jakie można znaleźć w nowych produktach (tzw. problemy wieku dziecięcego), urządzenia te mogą zawierać luki w zabezpieczeniach, które nie zostały jeszcze wykryte przez badaczy bezpieczeństwa i producenta. Najlepszą radą, jakiej można udzielić w tym zakresie, jest zalecenie kupowania produktów, dla których opublikowano już kilka aktualizacji oprogramowania.
  3. Wybierając, którą sferę swojego życia chcesz uczynić nieco bardziej „smart”, uwzględnij potencjalne zagrożenia. Jeśli przechowujesz w swoim domu wiele przedmiotów posiadających dużą wartość materialną, prawdopodobnie dobrym pomysłem będzie postawienie na profesjonalny system bezpieczeństwa, który może zastąpić lub uzupełnić dotychczasowy, sterowany za pomocą aplikacji system alarmowy zabezpieczający Twój dom. Możesz również skonfigurować obecny system w taki sposób, aby wszelkie potencjalne luki w zabezpieczeniach nie wpływały na jego działanie. Podczas wyboru urządzenia, które będzie gromadziło informacje dotyczące Twojego życia osobistego oraz życia Twojej rodziny, takiego jak elektroniczna niania, lepszym rozwiązaniem może być najprostszy model na rynku wykorzystujący fale radiowe – taki, który potrafi transmitować jedynie sygnał audio, bez możliwości łączenia się z internetem, Jeżeli takie rozwiązanie nie spełnia Twoich potrzeb, kieruj się naszą pierwszą radą – wybierz mądrze.

Pełny raport z eksperymentu Kaspersky Lab nosi tytuł „Sztuka przetrwania w świecie Internetu Rzeczy: jak korzystać z inteligentnych urządzeń i zabezpieczyć się przed cyberprzestępcami” i jest dostępny na stronie http://r.kaspersky.pl/szkola_przetrwania_iot.