Máte správně zabezpečená IoT zařízení?
Chytrá zařízení jako jsou senzory, žárovky, spotřebiče, ventily na topení, kamery, nebo zabezpečovací technika jsou obrovským trendem. I na ně ale musíme pohlížet jako na zařízení potenciálně nebezpečná. „Šikovný“ hacker je může zneužít pro své záměry.
Nebezpečí pro trh v hodnotě 154 miliard dolarů?
Předpokládá se, že globální spotřebitelský trh IoT dosáhne do roku 2028 154 miliard amerických dolarů. S rostoucím využíváním těchto zařízení roste i potenciál kybernetických hrozeb. Produkty v domácnosti mohou být vystaveny více než 12 000 pokusům o hackování za jediný týden. Menší a nákladově citlivé položky s řadou různých uživatelských rozhraní často postrádají bezpečnostní funkce tradičních produktů, jako jsou notebooky, počítače a chytré telefony.
Kybernetický útok přes IoT zařízení dokáže významně poškodit firmy i úřady
V roce 2016 došlo k velkému útoku, který se jmenoval Mirai. Fungoval tak, že se zkoušel připojit k různým zařízením pomocí jednoduchých jmen a hesel. Šlo o jména a hesla jako „admin“ a „admin“, zkrátka hesla, která jsou nastavena od výrobce jako výchozí. Při útoku se na internetu infikovalo mnoho zařízení. Hackeři potom zařízení zneužili tak, že do nich nahráli program, který útočil na jiná zařízení v síti. Takto přezvali kontrolu například nad mnoha kamerami. Díky tomu mohli zaútočit na jiná zařízení a dokázali na pár dnů odstavit velké internetové servery.
Mirai můžeme dodnes v síti zaznamenat. Počet IoT zařízení nově nasazovaných do sítí roste neutuchající rychlostí. Každý den se jich připojí až 1 milion. Roste tedy i nebezpečí.
IoT řešení sice nabízí nové a lákavé způsoby, jak zvýšit efektivitu, flexibilitu a produktivitu, ale zároveň přinášejí do sítě nová rizika. Zařízení IoT, která jsou často navržena bez zabezpečení, se stala novým zdrojem hrozeb. Útoky na zařízení v internetu věcí mohou mít skutečně fatální následky, už kvůli tomu, že hacker může ovládat i samotný hardware.
Možnost útoků na třetí strany
Rozeznávat můžeme dva typy útoků.
1) Útok proti konkrétnímu uživateli
Například pokud bude mít uživatel kameru připojenou do internetu věcí, pak se může útočník na tuto kameru připojit a získat její záznam.
2) Útočník chce zařízení zneužít, aby byl schopen ovládat hardware, výpočetní sílu zařízení
To lze například i případě malé kamery, která nemá žádné speciální funkce. Pokud se podaří zneužít na 100 000 takových kamer, pak se jejich síla nasčítá. To je velmi nebezpečné pro třetí strany, protože pokud bude útočník ovládat 100 000 zařízení, pak z každého tohoto zařízení lze napadnout třetí stranu. Například důležité servery firem, úřadů, nemocnic a podobně.
Rada pro propojený svět
V roce 2019 vznikla Rada pro propojený svět (Council on the Connected World), která si dala za úkol maximalizovat pozitivní přínosy technologie a minimalizovat škody pro celou společnost. Na ustavujícím zasedání Rady začali její členové pracovat na komplexní zprávě, která identifikovala a upřednostnila hlavní nedostatky v celém bezpečnostním ekosystému internetu věcí a vytvořila globální akční plán zaměřený na zvyšování vzdělání a zlepšení bezpečnosti.
Rada definovala hlavní zásady a vyzvala některé z největších světových výrobců a prodejců, aby přijali opatření pro lepší zabezpečení internetu věcí.
Mezi ta patří například tyto požadavky
- IoT zařízení by neměla mít od výrobce nastavená univerzální výchozí hesla
- Software je třeba udržovat aktualizovaný
- Zařízení musí zvládat zabezpečenou komunikaci
- Výrobce musí zajistit také zabezpečení osobních údajů
Běžný antivir tady nepomůže
Včasné odhalení útoku může znamenat doslova spásu. Následky totiž mohou být nedozírné.
V případě útoku na konkrétního uživatele hrozí zejména zásah do soukromí, vyzrazení citlivých údajů a podobně. U průmyslových aplikací může dojít k narušení funkčnosti celých systémů autonomních zařízení s rozsáhlými dopady na výrobu nebo energetiku.
Tyto systémy nelze chránit antivirovými programy, proto je potřeba jiné řešení. Využívají se nástroje, které umožňují zvýšit viditelnost dat z komunikace a detekovat řadu útoků, jako je například připojení neautorizovaného zařízení k síti, přenos hesel v otevřené podobě, neautorizovaný přenos dat, útoky na síťové služby, malware, viry a desítky dalších projevů kompromitace IoT zařízení a celého IoT prostředí.
Doporučení od bezpečnostní expertky
Zeptali jsme se bezpečnostní expertky Simony Musilové, co je z jejího pohledu nejdůležitější pro zajištění bezpečnosti. Rada číslo jedna zní: změňte u svého zařízení co nejdříve heslo na nějaké složitější.
„Dále doporučuji koupit si kvalitní router a nevěřit levným chytrým zařízením z Číny. Zakoupit si na eBay chytré žárovky za dva dolary je to nejhorší, co můžete udělat. Pokud bude chtít výrobce za dva dolary ještě něco vydělat, tak to nebude nikdy bezpečné.“
„Pokud chcete bezpečná zařízení, je třeba investovat minimálně čas a pořizovat dražší, výkonnější hardware. Já věřím společnostem, které dobře znám. Chyby jsou ve všem, ale jde o to, kolik jich je. Pokud si vyberete zařízení, vyhledejte si o něm co nejvíce informací. Přečtěte si recenze. Na toto téma najdete spoustu blogů, na kterých se IoT komunita snaží podávat vše tak, aby tomu rozuměl každý. Projděte si také stránky výrobce. Pokud to výrobce myslí s bezpečností vážně, najdete na jeho webu detailní popis toho, jak jsou jejich zařízení zabezpečená,“ dodává Musilová.
