Výskumníci spoločnosti Kaspersky Lab sa už dlhodobo venujú skúmaniu bezpečnosti smart zariadení využívaných aj v bežných domácnostiach. Najnovšie sa im podarilo odhaliť zraniteľnosti v tzv. smart huboch – rozbočovačoch alebo centrách, z ktorých sú riadené všetky pripojené moduly a senzory inteligentných zariadení využívaných v domácnosti. Analýza ukázala, že hackerom stačí vzdialený prístup – kľudne aj cez malú žiarovku – na to, aby sa pripojili k serveru zariadenia a stiahli si z neho kompletný archív obsahujúci osobné údaje všetkých používateľov a cez ich účty získali kontrolu nad celou domácou sieťou.
S rastúcou popularitou inteligentných zariadení, rastie aj potreba využívania smart hubov, ku ktorým sú pripojené všetky inteligentné zariadenia a senzory v domácnosti. Slúžia na lepšiu správu všetkých pripojených zariadení. Používateľ má tak zabezpečenú kontrolu nad svojou inteligentnou domácnosťou. Rovnako mu umožňujú uskutočniť všetky nastavenia cez rôzne webové rozhrania či mobilné aplikácie. Niektoré z nich majú dokonca funkcie bezpečnostného systému. Mať všetko na jednom mieste sa však nemusí vždy vyplatiť, najmä vtedy, ak sa takéto domáce centrum stane terčom kyberzločincov. Z hacknutého smart hubu tak veľmi rýchlo získajú nielen kontrolu nad všetkými zariadeniami, ale aj prístupu k cenným dátam.
Začiatkom roka výskumníci z Kaspersky Lab testovali smart zariadenie, ktoré sa nakoniec ukázalo ako vstupná brána pre útočníkov na uskutočnenie útokov skutočne veľkých rozmerov. Zraniteľnosti pritom pochádzali zo slabých algoritmov na generovanie hesiel a otvorených resp. nedostatočne chránených portov. Ďalšie výskumy zamerané na inteligentné zariadenia len potvrdili obavy bezpečnostných analytikov, že zraniteľnosti ukrývajúce sa už v samotnom dizajne respektíve architektúre zariadenia môžu naozaj otvoriť dvere do mnohých domácností.
V súvislosti so sledovaným hubom výskumníci v úvode ich výskumu zistili, že hub odosiela používateľove dáta vždy, keď komunikuje so serverom, vrátane prihlasovacích údajov pre prístup k webovému rozhraniu alebo aplikácií používanej na správu zariadenia. Okrem iného, môže obsahovať aj ďalšie citlivé informácie, ako napr. telefónne číslo používateľa pre prípad núdze či sériové číslo zariadenia. Útočník tak získa plnú výbavu na ovládanie celého systému na diaľku, čo samozrejme predstavuje obrovské bezpečnostné riziko pre používateľov resp. smart domácnosti.
Všetky zistenia ohľadne zraniteľností smart hub systémov boli reportované predajcovi, ktorý pracuje na ich odstránení.
„Aj keď sa skúmaniu bezpečnosti IoT zariadení venuje čoraz väčšia pozornosť, ukazuje sa, že stále predstavujú obrovské bezpečnostné riziko. V jednom z našich výskumov sme si náhodne vybrali smart hub a fakt, že sme v ňom objavili toľko zraniteľností len potvrdzuje, že bezpečnosť je stále pretrvávajúcim problémom vo svete inteligentných zariadení. Zdá sa, že dnes neexistuje IoT zariadenie, ktoré by nemalo problém s bezpečnosťou. Bez ohľadu na veľkosť či náročnosť smart zariadenia. Vezmite si napríklad takú smart žiarovku, ktorá je súčasťou inteligentného osvetlenia. Aké už ona môže predstavovať bezpečnostné riziko? Obrovské, keď si vezmeme do úvahy, že je pripojená k Wi-Fi sieti a vo svojej pamäti má uložené heslá, identifikačné či iné citlivé údaje bez akéhokoľvek šifrovania”, vyjadril sa Vladimir Dashchenko, vedúci výskumnej skupiny v spoločnosti Kaspersky Lab.
„Je skutočne dôležité, aby výrobcovia inteligentných zariadení poskytovali používateľom adekvátnu ochranu a dbali na bezpečnostné požiadavky už pri vývoji produktov. Už malá zraniteľnosť môže napáchať obrovské škody,“ dodal Vladimir Dashchenko.
V tejto súvislosti navrhujú bezpečnostní analytici dodržiavať aspoň tieto základné pravidlá:
- Používať silné a komplexné heslá a nezabúdať pritom na ich pravidelnú aktualizáciu
- Sledovať pravidelne informácie o novo objavených zraniteľnostiach smart zariadení, ktoré sú často aktualizované a dostupné online
- Používať dostupné bezpečnostné riešenia a programy poskytujúce ochranu IoT zariadení, ako je napr. bezplatná aplikácia Kaspersky IoT Scanner pre všetky Android platformy. Vykonáva pravidelný monitoring Wi-Fi siete, poskytuje aktualizované informácie o všetkých zariadeniach pripojených k sieti a sleduje úroveň bezpečnosti pripojených IoT zariadení.
Výrobcom a vývojárom odporúča Kaspersky Lab zavedenie povinných bezpečnostných testov predtým, než sú produkty uvedené na trh, ktoré by nasledovali medzinárodné bezpečnostné štandardy pre IoT. Spoločnosť Kaspersky Lab sa len nedávno podieľala na vydaní bezpečnostnej smernice Odporúčanie ITU-T Y.4806, vydanej Medzinárodnou telekomunikačnou úniou (International Telecommunication Union, ITU) pre telekomunikačný sektor, ktorej cieľom je zabezpečiť určitý štandard ochrany pre IoT systémy, vrátane smart cities, inteligentných medicínskych systémov a pod.
Viac informácií k výskumu nájdete v expertnom blogu na Securelist.com
Čítajte tiež: