W dobie Internetu rzeczy hakerzy mogą zaatakować nawet przez lodówkę. Wywiad z Karoliną Małagocką z F-Secure

W dobie Internetu rzeczy hakerzy mogą zaatakować nawet przez lodówkę. Wywiad z Karoliną Małagocką z F-Secure08.02.2017 08:04
Michał Puczyński

Mówiąc o Internecie rzeczy, skupiamy się na jego możliwościach, a pomijamy zagrożenia. Kto myśli o tym, żeby zabezpieczać lodówkę albo toster? Prawie nikt – a powinni wszyscy.

Czy powinniśmy się bać Internetu rzeczy? Jakie nowe zagrożenia pojawią się, kiedy moja lodówka będzie połączona z telewizorem?

Nowa jest z pewnością skala. Ataki z wykorzystaniem urządzeń Internetu rzeczy mają niespotykany dotąd zasięg – w pewnym sensie mogą prowadzić do sparaliżowania części Internetu. Paraliż jest najczęściej wywoływany metodą DDoS, polegającą na wysłaniu masowych zapytań do serwera, co prowadzi do jego przeciążenia.

Do takiego ataku doszło w zeszłym roku, kiedy hakerzy sprawili, że w jednej chwili przestały działać popularne serwisy takie jak Twitter, Reddit, Paypal, Spotify czy Netflix. Wówczas urządzenia IoT zostały użyte jako botnet, czyli grupa zainfekowanych urządzeń, nad którymi można sprawować zdalną kontrolę w celu przeprowadzenia ataku. Celem nie były poszczególne serwisy, a wspólny dostawca ich usług serwerowych, firma Dyn. Ten sam rodzaj złośliwego oprogramowania – Mirai – został wykorzystany do zaatakowania 900 000 routerów popularnego dostawcy usług telekomunikacyjnych Deutsche Telekom.

W przyszłości hakerzy mogą wykorzystywać Internet rzeczy do prowadzenia coraz bardziej wyszukanych rodzajów ataku. Gdyby w tej dziedzinie postanowili zastosować ransomware, to czarnym scenariuszem byłaby konieczność zapłacenia okupu w celu odpalenia samochodu czy wydostania się z własnego domu.

Brzmi to absurdalnie, choć drzwi żądające okupu Philip K. Dick przewidział jeszcze w latach 60. Ale czy naprawdę te zagrożenia są już realne, zwłaszcza w Polsce? Czy nie jesteśmy zbyt zapóźnieni technologicznie, żeby bać się IoT?

Zagrożenia w Polsce są jak najbardziej realne. Szczególnie częste były przypadki cyberprzestępstw skierowanych przeciwko instytucjom finansowym. W tym roku ofiarami były duże polskie banki, wiązało się to również z próbami szantażu. Groźny okazał się także atak na popularną firmę hostingową OVH, przeprowadzony we wrześniu 2016 r. z wykorzystaniem botnetu składającego się ze 150 tys. kamerek internetowych.

W jaki sposób można wykorzystać kamerki do botnetowego ataku?

Kamerki mogą być i coraz częściej są wykorzystywane do ataków. W ostatnich miesiącach 2016 roku odnotowano kilka spektakularnych przypadków. OVH to jeden z nich, podobnie jak atak, który w poważne kłopoty wpędził Twittera czy Amazona.

Przeprowadzanie ataków DDoS to niejako „hakerski elementarz”. Potrzebna jest odpowiednia ilość podłączonych do sieci urządzeń i wcale nie muszą to być komputery ani komórki. Z uwagi na fakt, że coraz więcej osób zabezpiecza te narzędzia, z których np. dokonuje przelewów czy loguje się do banku, cyberprzestępcy wykorzystują te sprzęty, które są po prostu łatwiejszym celem. Nie jest trudno dostać się do urządzenia, które działa w sieci, łączy się z Internetem i na dodatek nie posiada żadnej ochrony.

Czy ktoś w ogóle myśli o zmianie hasła do lodówki, tostera albo kamerki? Wystarczy na takim sprzęcie umieścić złośliwy kod, który nie będzie w żaden sposób wpływał na jego działanie. Po prostu w odpowiednim momencie zacznie wykonywać polecenie łączenia się z serwerem. To obciąży sieć, ale przede wszystkim uniemożliwi normalną prace wspomnianych serwerów.

Jak na razie celem hakerów są firmy. Czy zwykli użytkownicy urządzeń IoT - lodówek, odkurzaczy, telefonów, systemów audio – też mają powody do obaw?

Podczas tegorocznej konferencji CES w Las Vegas firma LG zapowiedziała, że wszystkie jej urządzenia premium będą łączyć się z Wi-Fi. Rewolucja IoT rozpoczęła się na dobre. Dla wielu zwolenników nowych technologii to dobra wiadomość, ale z punktu widzenia bezpieczeństwa powinna wzmagać dodatkową czujność.

Zagrożenie dotyczy zarówno firm, jak i konsumentów. W roku 2017 urządzenia IoT będą w większym stopniu wykorzystywane do przeprowadzania ataków DDoS na firmy. Następnym etapem, który może nastąpić w najbliższych latach, będzie atakowanie samych użytkowników. Według przewidywań Gartnera do 2020 roku na świecie będzie ponad 20 miliardów urządzeń z kategorii Internetu rzeczy. To liczba, która z pewnością nie pozostanie obojętna dla cyberprzestępców.

Czy użytkownicy mają świadomość, że sami powinni się zabezpieczyć? Co mogą zrobić, aby ograniczyć ryzyko ataku?

Bezpieczeństwo IoT jest bagatelizowane, ponieważ brakuje odpowiednich regulacji, które wymagałyby od producentów podjęcia środków ostrożności. Nowe produkty są masowo wypuszczane na rynek – ich tworzenie nie jest drogie i zajmują się tym często młode firmy oraz startupy. Celem jest jak najszybsze wprowadzenie urządzenia, a często brakuje doświadczenia lub budżetu, by zabezpieczyć usługę lub produkt. W takiej sytuacji trudno wymagać ostrożności ze strony konsumentów.

Po stronie użytkownika pozostaje jednak zwracanie uwagi na kwestie bezpieczeństwa podczas kupna. Istotne jest przeprowadzanie regularnych aktualizacji oprogramowania na urządzeniach IoT, korzystanie z rozwiązań pozwalających na szyfrowania komunikacji (np. VPN) oraz zwracanie uwagi na proces uwierzytelniania i bezpieczeństwo połączenia sieciowego.

Jeśli już ktoś nas zhakuje , czy jest jakiś sposób na "odkręcenie" sytuacji, albo przynajmniej zminimalizowanie strat? Czy po prostu musimy się z nimi pogodzić i być mądrzejsi w przyszłości?

W momencie wykrycia infekcji przez użytkownika należy podjąć trzy podstawowe kroki: zresetowanie urządzenia, zmiana hasła (szczególnie jeśli było to domyślne hasło producenta) i kontakt z dostawcą usług. Dostawca powinien sprawdzić, czy jego infrastruktura lub konkretne urządzenia, np. routery, są podatne na ataki. Warto również sprawdzić, czy atak nie wpłynął na innych użytkowników, bowiem mogą się z nim wiązać dalsze działania niezgodne z prawem.

W przypadku firm należałoby minimalizować powierzchnię ataku czyli po prostu upewnić się, że z siecią łączą się tylko te urządzenia i programy które powinny, przeprowadzać audyty i sprawdzać, jak urządzenia IoT reagują na brak łączności z siecią czy przerwę w dostawie prądu.

Przede wszystkim jednak działania prewencyjne powinny we współpracy podjąć zarówno rządzący, poprzez nakładanie odpowiednich wymogów, producenci samych urządzeń, jak i branża cyberbezpieczeństwa.

Źródło artykułu:WP Gadżetomania
© Gadżetomania·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na