W dobie Internetu rzeczy hakerzy mogą zaatakować nawet przez lodówkę. Wywiad z Karoliną Małagocką z F‑Secure

Mówiąc o Internecie rzeczy, skupiamy się na jego możliwościach, a pomijamy zagrożenia. Kto myśli o tym, żeby zabezpieczać lodówkę albo toster? Prawie nikt – a powinni wszyscy.

Czy powinniśmy się bać Internetu rzeczy? Jakie nowe zagrożenia pojawią się, kiedy moja lodówka będzie połączona z telewizorem?

Nowa jest z pewnością skala. Ataki z wykorzystaniem urządzeń Internetu rzeczy mają niespotykany dotąd zasięg – w pewnym sensie mogą prowadzić do sparaliżowania części Internetu. Paraliż jest najczęściej wywoływany metodą DDoS, polegającą na wysłaniu masowych zapytań do serwera, co prowadzi do jego przeciążenia.

Do takiego ataku doszło w zeszłym roku, kiedy hakerzy sprawili, że w jednej chwili przestały działać popularne serwisy takie jak Twitter, Reddit, Paypal, Spotify czy Netflix. Wówczas urządzenia IoT zostały użyte jako botnet, czyli grupa zainfekowanych urządzeń, nad którymi można sprawować zdalną kontrolę w celu przeprowadzenia ataku. Celem nie były poszczególne serwisy, a wspólny dostawca ich usług serwerowych, firma Dyn. Ten sam rodzaj złośliwego oprogramowania – Mirai – został wykorzystany do zaatakowania 900 000 routerów popularnego dostawcy usług telekomunikacyjnych Deutsche Telekom.

W przyszłości hakerzy mogą wykorzystywać Internet rzeczy do prowadzenia coraz bardziej wyszukanych rodzajów ataku. Gdyby w tej dziedzinie postanowili zastosować ransomware, to czarnym scenariuszem byłaby konieczność zapłacenia okupu w celu odpalenia samochodu czy wydostania się z własnego domu.

Brzmi to absurdalnie, choć drzwi żądające okupu Philip K. Dick przewidział jeszcze w latach 60. Ale czy naprawdę te zagrożenia są już realne, zwłaszcza w Polsce? Czy nie jesteśmy zbyt zapóźnieni technologicznie, żeby bać się IoT?

Zagrożenia w Polsce są jak najbardziej realne. Szczególnie częste były przypadki cyberprzestępstw skierowanych przeciwko instytucjom finansowym. W tym roku ofiarami były duże polskie banki, wiązało się to również z próbami szantażu. Groźny okazał się także atak na popularną firmę hostingową OVH, przeprowadzony we wrześniu 2016 r. z wykorzystaniem botnetu składającego się ze 150 tys. kamerek internetowych.

W jaki sposób można wykorzystać kamerki do botnetowego ataku?

Kamerki mogą być i coraz częściej są wykorzystywane do ataków. W ostatnich miesiącach 2016 roku odnotowano kilka spektakularnych przypadków. OVH to jeden z nich, podobnie jak atak, który w poważne kłopoty wpędził Twittera czy Amazona.

Przeprowadzanie ataków DDoS to niejako „hakerski elementarz”. Potrzebna jest odpowiednia ilość podłączonych do sieci urządzeń i wcale nie muszą to być komputery ani komórki. Z uwagi na fakt, że coraz więcej osób zabezpiecza te narzędzia, z których np. dokonuje przelewów czy loguje się do banku, cyberprzestępcy wykorzystują te sprzęty, które są po prostu łatwiejszym celem. Nie jest trudno dostać się do urządzenia, które działa w sieci, łączy się z Internetem i na dodatek nie posiada żadnej ochrony.

Czy ktoś w ogóle myśli o zmianie hasła do lodówki, tostera albo kamerki? Wystarczy na takim sprzęcie umieścić złośliwy kod, który nie będzie w żaden sposób wpływał na jego działanie. Po prostu w odpowiednim momencie zacznie wykonywać polecenie łączenia się z serwerem. To obciąży sieć, ale przede wszystkim uniemożliwi normalną prace wspomnianych serwerów.

Jak na razie celem hakerów są firmy. Czy zwykli użytkownicy urządzeń IoT - lodówek, odkurzaczy, telefonów, systemów audio – też mają powody do obaw?

Podczas tegorocznej konferencji CES w Las Vegas firma LG zapowiedziała, że wszystkie jej urządzenia premium będą łączyć się z Wi-Fi. Rewolucja IoT rozpoczęła się na dobre. Dla wielu zwolenników nowych technologii to dobra wiadomość, ale z punktu widzenia bezpieczeństwa powinna wzmagać dodatkową czujność.

Zagrożenie dotyczy zarówno firm, jak i konsumentów. W roku 2017 urządzenia IoT będą w większym stopniu wykorzystywane do przeprowadzania ataków DDoS na firmy. Następnym etapem, który może nastąpić w najbliższych latach, będzie atakowanie samych użytkowników. Według przewidywań Gartnera do 2020 roku na świecie będzie ponad 20 miliardów urządzeń z kategorii Internetu rzeczy. To liczba, która z pewnością nie pozostanie obojętna dla cyberprzestępców.

Czy użytkownicy mają świadomość, że sami powinni się zabezpieczyć? Co mogą zrobić, aby ograniczyć ryzyko ataku?

Bezpieczeństwo IoT jest bagatelizowane, ponieważ brakuje odpowiednich regulacji, które wymagałyby od producentów podjęcia środków ostrożności. Nowe produkty są masowo wypuszczane na rynek – ich tworzenie nie jest drogie i zajmują się tym często młode firmy oraz startupy. Celem jest jak najszybsze wprowadzenie urządzenia, a często brakuje doświadczenia lub budżetu, by zabezpieczyć usługę lub produkt. W takiej sytuacji trudno wymagać ostrożności ze strony konsumentów.

Po stronie użytkownika pozostaje jednak zwracanie uwagi na kwestie bezpieczeństwa podczas kupna. Istotne jest przeprowadzanie regularnych aktualizacji oprogramowania na urządzeniach IoT, korzystanie z rozwiązań pozwalających na szyfrowania komunikacji (np. VPN) oraz zwracanie uwagi na proces uwierzytelniania i bezpieczeństwo połączenia sieciowego.

Jeśli już ktoś nas zhakuje , czy jest jakiś sposób na "odkręcenie" sytuacji, albo przynajmniej zminimalizowanie strat? Czy po prostu musimy się z nimi pogodzić i być mądrzejsi w przyszłości?

W momencie wykrycia infekcji przez użytkownika należy podjąć trzy podstawowe kroki: zresetowanie urządzenia, zmiana hasła (szczególnie jeśli było to domyślne hasło producenta) i kontakt z dostawcą usług. Dostawca powinien sprawdzić, czy jego infrastruktura lub konkretne urządzenia, np. routery, są podatne na ataki. Warto również sprawdzić, czy atak nie wpłynął na innych użytkowników, bowiem mogą się z nim wiązać dalsze działania niezgodne z prawem.

W przypadku firm należałoby minimalizować powierzchnię ataku czyli po prostu upewnić się, że z siecią łączą się tylko te urządzenia i programy które powinny, przeprowadzać audyty i sprawdzać, jak urządzenia IoT reagują na brak łączności z siecią czy przerwę w dostawie prądu.

Przede wszystkim jednak działania prewencyjne powinny we współpracy podjąć zarówno rządzący, poprzez nakładanie odpowiednich wymogów, producenci samych urządzeń, jak i branża cyberbezpieczeństwa.