29/11/2017

Dziurawy Internet Rzeczy

Produkty Zagrożenia

Wiele inteligentnych zegarków, ekspresów do kawy, odkurzaczy, a nawet samochodów należy do tzw. Internetu Rzeczy (ang. Internet of Things, IoT) — urządzenia te mogą łączyć się z Siecią i zyskują coraz więcej zwolenników. Z założenia przedmioty IoT powinny ułatwiać nasze życie i zwiększać wygodę, stąd ich rosnąca popularność.

A jak wygląda kwestia bezpieczeństwa? Niestety producenci nie martwią się nim zbytnio, w rezultacie niemal każde „inteligentne” urządzenie jest podatne na cyberatak, co z kolei stwarza potencjalnie zagrożenie dla jego użytkownika. Kaspersky Lab sprawdził, jakie zagrożenia czyhają na urządzenia należące do Internetu Rzeczy.

Czy urządzenia IoT są bezpieczne?

Urządzenia klasyfikowane jako Internet Rzeczy często mają słabe zabezpieczenia, które łatwo można ominąć. A przestępcy z chęcią z tego korzystają: w tym roku wiele szkodliwych programów atakuje IoT ponad dwa razy częściej. Na całym świecie liczba inteligentnych urządzeń sięgnęła już 6 miliardów, a wiele z nich nie jest odpowiednio chronionych, przez co są łakomym kąskiem dla atakujących.

Zhakowane urządzenia IoT mogą zostać wykorzystane do ataków DDoS. W jednym z nich, który miał miejsce około rok temu i któremu nadano nazwę Mirai, cyberprzestępcy połączyli moc wielu routerów Wi-Fi, a następnie użyli powstałego botnetu do zaatakowania serwera. Zablokowało to działanie wielu największych na świecie usług internetowych.

Inteligentne urządzenia, które mogą łączyć się z internetem, są wykorzystywane nie tylko do tworzenia botnetów. Na przykład po włamaniu się do inteligentnej kamery atakujący może szpiegować jej właściciela. W IoT nic nie jest święte, a odporne nie są nawet zabawki dla dzieci. Cyberprzestępcy mogą skorzystać z niezabezpieczonego połączenia Bluetooth, aby komunikować się z dzieckiem pod postacią ulubionej zabawki Furby czy pluszowego misia lub szpiegować kogoś przy użyciu lalki.

Co również istotne, niektórzy przestępcy włamują się do urządzeń IoT i czynią je niezdatnymi do użytku. Tak się stało w przypadku robaka BrickerBot: zaatakowane gadżety zwyczajnie stały się bezużytecznym kawałkiem plastiku i metalu.

Znaj swojego wroga

Kaspersky Lab postanowił sprawdzić osiem inteligentnych przedmiotów: ładowarkę, sterowaną przy użyciu aplikacji i wyposażoną w kamerę internetową zabawkę-samochód, nadajnik i odbiornik dla systemów inteligentnego domu, wagę, odkurzacz, żelazko, kamerę oraz zegarek.

Wyniki nie były zachęcające. Spośród tych ośmiu urządzeń tylko jedno było wystarczająco dobrze zabezpieczone. Wiele z pozostałych gadżetów miało ustawione słabe hasło domyślne, którego w niektórych przypadkach nie można było nawet zmienić, lub umożliwiały przechwycenie poufnych informacji.

Wśród przetestowanych przez naszych ekspertów przedmiotów znalazła się popularna „szpiegująca” zabawka-samochód z wbudowaną kamerą, sterowaną przy pomocy aplikacji na telefon. Aby połączyć się z telefonem, nie trzeba było podawać żadnego hasła, więc autem mógł sterować dosłownie każdy. Ten szpieg na kółkach może nagrywać dźwięk i obraz, umożliwiając w ten sposób przestępcom gromadzenie materiału na temat właściciela gadżetu, co mogłoby później zostać wykorzystane np. do szantażu.

Jak żyć w świecie IoT?

Aby bezpiecznie korzystać z inteligentnych urządzeń:

  • Zanim coś kupisz, przemyśl wady i zalety tej rzeczy. Poszukaj informacji na temat ataków — być może ma ona już jakąś niechlubną historię.
  • Zawsze zmieniaj hasło domyślne na bardziej skomplikowane. Jeśli urządzenie nie ma takiej opcji, lepiej z niego zrezygnuj.

Jeśli chcesz kupić jakiś przedmiot IoT, zastanów się, jak możesz zmniejszyć ryzyko cyberataku. Kaspersky Lab udostępnił wersję beta produktu Kaspersky IoT Scanner — darmowego rozwiązania zabezpieczającego przeznaczonego dla inteligentnych gadżetów. Kaspersky IoT Scanner sprawdza domową sieć Wi-Fi, rozpoznaje połączone z nią inteligentne urządzenia i podpowiada, czy są one właściwie zabezpieczone.