Inteligentne sprzęty domowe potrafią nas przechytrzyć. Zbierają dane, mogą ułatwić dostęp do konta.

Inteligentny dom umożliwia zdalne sterowanie oświetleniem, ogrzewaniem, klimatyzacją czy urządzeniami gospodarstwa domowego. Urządzenia elektroniczne połączone w sieć tworzą tzw. Internet Rzeczy (ang. Internet of Things, IoT) – wymieniają się informacjami, współpracują ze sobą, mogą automatyzować wiele czynności, słowem – ułatwiając nam życie. Eksperci z IoT Analytics przewidują, że do 2030 roku będzie aktywnych prawie 30 miliardów tego typu urządzeń.

Czy jednak wystarczająco dbamy o ich prawidłowe zabezpieczenie? Czy nim podłączymy je do sieci, czytamy dokładnie instrukcje? Czy zmieniamy domyślne hasła? Czy wiemy, na co się zgadzamy w regulaminach korzystania z urządzeń i usług z nimi połączonymi?

Każde urządzenie podłączone do naszej sieci wi-fi może stać się celem cyberprzestępców. Nawet inteligentny odkurzacz może zostać botem zombie w ich rękach.

W 2022 roku badacze FortiGuard Labs firmy Fortinet wykryli ponad 20 milionów ataków typu brute force (technika łamania haseł zabezpieczających, która polega na sprawdzeniu wszystkich możliwych kombinacji), których celem było uzyskanie nieuprawnionego dostępu do urządzeń IoT.  Oprócz zgadywania haseł, złośliwe oprogramowanie wycelowane w IoT wykorzystuje też luki w zabezpieczeniach tych urządzeń, aby rozprzestrzeniać się dalej w systemie.

Niech twój dom będzie twoją twierdzą

Pierwszym punktem styku między atakującym a naszymi urządzeniami IoT jest router.

Umożliwia on urządzeniom IoT, takim jak smartfony, tablety, inteligentne żarówki, pralki, lodówki i inne inteligentne urządzenia domowe, łączenie się z siecią i komunikowanie się ze sobą. Zatem najprostszym sposobem na włamanie się do naszej sieci IoT jest zhakowanie routera – wyjaśnia dr inż.  Anna Felkner, kierująca w NASK Pionem Systemów Cyberbezpieczeństwa.

Najłatwiej zhakować router wykorzystując słabe hasła lub luki w zabezpieczeniach urządzeń czy oprogramowania. 

Routery mają zazwyczaj domyślne hasła administracyjne, które nie dość, że są łatwe do odgadnięcia i zapamiętania, to jeszcze są zapisane w instrukcji obsługi routera. Dzięki temu, w razie problemów z konfiguracją, można się do niej odwołać. Jeśli domyślne hasło administratora nie zostanie zmienione, cyberprzestępcy mogą je łatwo złamać

– tłumaczy Anna Felkner i mówi o dalszych zabezpieczeniach: 

Kolejna istotna kwestia to nazwa naszej sieci (tzw. SSID). Routery mają swoje domyślne identyfikatory, na podstawie których cyberprzestępca może się zorientować, jakiego rodzaju jest to urządzenie. Ułatwia mu to włamanie się do naszej sieci, ponieważ pierwszy krok, czyli sprawdzenie, z jakiego rodzaju urządzeniem ma do czynienia i od jakiego producenta, zapewnił mu już użytkownik, który nie zmienił nazwy urządzenia.

Najlepszym rozwiązaniem, które nas chroni, jest stworzenie osobnej sieci na urządzenia IoT. Wówczas, gdy ktoś włamie się np. do naszego odkurzacza, nie dostanie się przez sieć do komputera i zapisanych/zapamiętanych tam haseł dostępu do naszych kont.

Wiele ataków na urządzenia IoT można wykryć poprzez monitorowanie i analizę ruchu sieciowego, czyli badanie i interpretowanie danych przesyłanych przez sieci komputerowe. Dzięki analizie możemy dowiedzieć się, jakie informacje są gromadzone i przesyłane przez urządzenie.  Dlatego warto skorzystać z narzędzi, które monitorują ruch sieciowy i wysyłają alerty w przypadku wykrycia podejrzanej aktywności.

Nieczyste działania twojego odkurzacza

Przestępcy coraz chętniej wykorzystują urządzenia IoT do przeprowadzania ataków, ponieważ są one coraz bardziej powszechne, a użytkownicy wciąż jeszcze nieświadomie narażają się na kłopoty. Przykładem mogą być ataki DDoS (Distributed Denial of Service – rozproszone zakłócanie dostępu do usługi). Polegają one na równoczesnym wysyłaniu ogromnej liczby zapytań z wielu urządzeń, co prowadzi do wyczerpania dostępnych zasobów zaatakowanego serwera i uniemożliwia dostęp do danej usługi.

Innymi słowy nasz sprzęt  – np. odkurzacz, szczoteczka do zębów – zostaje wtedy botem zombie, którego używa haker do ataków na dane instytucje czy organizacje. Często przy tego typu atakach sprzęt działa normalnie, przez to wykrycie jego przejęcia jest trudne. Czasem jednak przestępcy zużywają duże zasoby sprzętu, co powoduje, że ten działa wolniej lub niedostępne są niektóre funkcje.

Niewiedza o ataku nie zwalnia nas jednak z odpowiedzialności za sprzęt.

Jeśli ktoś użyje mego urządzenia do ataku, to tak naprawdę moje urządzenie może brać udział w przestępstwie. A to zawsze oznacza problemy

– podkreśla Anna Felkner.

Tak naprawdę możemy łatwo ustrzec się przed, przynajmniej częścią, najgroźniejszych ataków:

• Jeszcze przed zakupem konkretnego urządzenia należy sprawdzić, czy produkt pochodzi od znanego, zaufanego producenta.
• Warto poszukać informacji na temat reputacji firmy w zakresie jej podejścia do zabezpieczania urządzeń.
• Po zakupieniu sprzętu IoT trzeba zapoznać się z jego instrukcją obsługi, przynajmniej w zakresie bezpieczeństwa.
• Należy zacząć od zmiany domyślnie ustawionego hasła, korzystając, w miarę możliwości, z uwierzytelniania wieloskładnikowego.
• Trzeba pamiętać o regularnej aktualizacji oprogramowania tego urządzenia.

Oddzielną kwestią jest przetwarzania przez producenta urządzenia danych, które na nasz temat gromadzi urządzenie. Na przykład inteligentny odkurzacz może gromadzić dane o metrażu i rozkładzie naszego mieszkania, a inteligentny zamek do drzwi o tym, o której wracamy codziennie do domu. Dlatego należy sprawdzić, jakie dane są gromadzone przez to urządzenie oraz w jaki sposób są one przetwarzane, czyli przechowywane, wykorzystywane i udostępniane.

Projekt VARIoT z NASK skupia badaczy z Europy

Instytut badawczy NASK, który zajmuje się przede wszystkim ochroną przed cyberzagrożeniami i edukacją w tym zakresie, w 2019 roku, przy współpracy z kilkoma międzynarodowymi instytucjami specjalizującymi się w cyberbezpieczeństwie, rozpoczął projekt VARIoT (Vulnerability and Attack Repository for IoT). Jego celem było stworzenie serwisu, który dostarcza użytecznych informacji o bezpieczeństwie IoT, zwiększa świadomość użytkowników inteligentnych urządzeń oraz wspiera producentów, właścicieli sieci czy też specjalne zespoły CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, ang. Computer Security Incident Response) na całym świecie. 

Powstały bazy na stronie www.variotdbs.pl, w których można wyszukać informacje o urządzeniach IoT, które już mamy w domu, czy też o tych, które planujemy kupić. Baza jest unikatowa, ponieważ zbiera informacje z wielu źródeł, w tym tych mało znanych, jak np. bazy chińskie czy japońskie. Angażujemy tam różne mechanizmy sztucznej inteligencji, aby te informacje były pełne i rzetelne

– mówi Anna Felkner z NASK, kierująca projektem  VARIoT.

VARIoT jest jednym z najbardziej znanych na świecie projektów badawczych NASK. Skupia wielu badaczy oraz placówki naukowe z Europy. Na podstawie danych ze stworzonego w NASK systemu powstają prace badawcze oraz rozwiązania wspierające bezpieczeństwo urządzeń IoT na całym świecie.