Urządzenia Internetu Rzeczy ewoluują, ale nadal są podatne na ataki
Inteligentne urządzenia połączone z internetem uważa się powszechnie za bardzo wygodny sposób ułatwienia życia ludziom. Ale w jakim stopniu korzystanie z nich jest bezpieczne z cyberprzestępczego punktu widzenia?
W 2015 r. badacze z Kaspersky Lab postanowili sprawdzić, jak realne jest zagrożenie dotyczące Internetu Rzeczy (IoT). Wyniki okazały się niepokojące, dlatego 2 lata później eksperci przeprowadzili kolejne badania w tym obszarze. Spośród 8 losowo wybranych urządzeń IoT – od inteligentnego żelazka po pojazd szpiegujący, połowę dało się zhakować z powodu ustawienia słabych haseł.
Urządzenia IoT aktywnie korzystają z połączenia sieciowego, które pozwala im współdziałać ze sobą lub środowiskiem zewnętrznym. Ze względu na dużą liczbę i różnorodność dostępnych urządzeń, Internet Rzeczy stał się atrakcyjnym celem cyberprzestępców. Przykładem mogą tu być rekordowe ataki DDoS z 2016 r., które zostały przeprowadzone przy pomocy ogromnej sieci zainfekowanego sprzętu (tzw. botnet) składającej się z routerów, kamer IP, drukarek oraz innych urządzeń. Po włamaniu się do urządzeń IoT cyberprzestępcy mogą, na przykład, wykorzystać je do przeprowadzania nielegalnych działań. Atakujący, który uzyskał nielegalny dostęp do urządzenia IoT, może także szantażować i szpiegować jego właściciela lub wyłudzić od niego pieniądze. Zainfekowane urządzenie może też po prostu przestać działać prawidłowo, chociaż z pewnością nie jest to najgorsze, co może się zdarzyć.
Mając na uwadze powyższe zagrożenia, badacze z Kaspersky Lab postanowili sprawdzić, czy sytuacja zmieniła się w wyniku raportów dotyczących inteligentnych urządzeń IoT oraz incydentów, jakie już miały miejsce. Aby dowiedzieć się tego, jeszcze raz poddali analizie kilka losowo wybranych inteligentnych urządzeń, wśród których znalazły się: bateria, ładowarka, sterowany za pomocą aplikacji samochód-zabawka, odkurzacz, żelazko, kamera IP, smartwatch oraz inteligentne centrum sterowania domem. Wyniki są niepokojące: spośród 8 zbadanych urządzeń tylko 1 spełniło wymagania badaczy w zakresie bezpieczeństwa.
Ponadto, połowę z urządzeń dało się zhakować i łatwo wykorzystać do własnych celów ze względu na brak przezorności producentów w zakresie ustawień haseł. Pomijając fakt, że urządzenia te korzystały z domyślnych, nieskomplikowanych haseł, w niektórych przypadkach nie było możliwości ich zmodyfikowania. W niektórych przypadkach hasło zostało nawet zunifikowane dla wszystkich urządzeń z danej linii produktów.
W Kaspersky Lab od lat monitorujemy kwestię cyberbezpieczeństwa inteligentnych urządzeń. Zauważamy, że różne raporty dotyczące inteligentnych produktów IoT oraz coraz większa czujność producentów pomogły zmniejszyć liczbę niezabezpieczonych inteligentnych urządzeń. Jednak problem nadal istnieje i inteligentne urządzenia nadal mogą wyrządzić szkody swoim właścicielom, co pokazuje, że firmy z branży cyberbezpieczeństwa wspólnie z producentami urządzeń połączonych z internetem mają jeszcze dużo do zrobienia – zauważył Oleg Zajcew, ekspert ds. cyberbezpieczeństwa, Kaspersky Lab.
Badacze z Kaspersky Lab zalecają użytkownikom podjęcie następujących działań w celu zabezpieczenia się przed zakupem podatnych na zagrożenia inteligentnych urządzeń:
- Przed zakupem urządzenia IoT poszukaj w internecie informacji dotyczących wykrytych luk w zabezpieczeniach. Internet Rzeczy stanowi obecnie gorący temat i wielu badaczy wykonuje świetną pracę, identyfikując problemy dotyczące bezpieczeństwa tego rodzaju produktów: od elektronicznych niań po sterowane za pomocą aplikacji strzelby. Możliwe, że urządzenie, które zamierzasz kupić, zostało już zbadane przez specjalistów ds. bezpieczeństwa. Często można również sprawdzić, czy zidentyfikowane w urządzeniu problemy zostały już załatane.
- Nie zawsze dobrym posunięciem jest kupowanie produktów, które dopiero co pojawiły się na rynku. Oprócz standardowych błędów, które występują w nowych produktach, istnieje większe prawdopodobieństwo, że niedawno wprowadzone do sprzedaży urządzenia będą zawierały luki w zabezpieczeniach, które nie zostały jeszcze wykryte przez badaczy bezpieczeństwa. Najlepszym rozwiązaniem jest kupować produkty, dla których udostępniono już kilka aktualizacji oprogramowania.
- Wybierając obszar swojego życia, który chcesz uczynić nieco bardziej “inteligentnym”, rozważ zagrożenia dla bezpieczeństwa. Jeśli Twój dom jest miejscem, gdzie przechowujesz wiele rzeczy o dużej wartości materialnej, warto zainstalować profesjonalny system alarmowy, który zastąpi lub uzupełni aktualny, sterowany za pomocą aplikacji system alarmu w domu; lub ustawić obecny system w taki sposób, aby wszelkie potencjalne luki w zabezpieczeniach nie miały wpływu na jego działanie.
Pełny raport poświęcony bezpieczeństwu urządzeń Internetu Rzeczy znajduje się na stronie http://r.kaspersky.pl/nKENw.