Miliony zařízení ohrožují internetovou síť. Máme je doma skoro všichni

V domácnostech jsme si nainstalovali miliony zařízení, která jsou připojená k internetu. Ale na rozdíl od počítačů do nich nemůžeme nainstalovat bezpečnostní software, leckdy ani změnit přístupové heslo a na zabezpečení bohužel často nemyslel ani výrobce. To se nám nyní může nepříjemně vymstít.
Špatně zabezpečená IoT zařízení se mohou proměnit „zombie“ pěšáky bot-netů a páchat zlo.

Špatně zabezpečená IoT zařízení se mohou proměnit „zombie“ pěšáky bot-netů a páchat zlo. | foto: koláž Technet.czProfimedia.cz

O zabezpečení zařízení připojených k internetu, jako jsou chytré televizory, tiskárny nebo IP kamery, se zatím hovořilo jen v souvislosti s ohrožením soukromí uživatelů.

„Řešili jsme případ páru, který byl natočen při milování ve svém obýváku pomocí chytrého televizoru, nad kterým někdo převzal kontrolu. Záznam se prostě objevil na webu,“ uvedla v květnu pro server DailyMail Laura Higginsová z agentury Revenge Porn Helpline, která se na odstraňování nedomluveně zveřejněných choulostivých záběrů specializuje.

Nezabezpečené IP kamery najdete leckde. Na zahradách, chodbách, sportovních hřištích, večerkách ...

Stále častěji se objevují případy, kdy se na veřejnost dostávají záběry z IP kamer domácího zabezpečení, ke kterým by mimo majitele nikdo neměl mít přístup. Existuje například web Insecam, který přístupy na nechráněné kamery katalogizuje a nabízí k zobrazení. Původně nabízel i pohledy do obýváků, ložnic a dětských pokojů, ale nyní jsou tyto náhledy do úplného soukromí z katalogu vyřazeny. Ale jak provozovatelé webu upozorňují, všechny streamy pocházejí z nezabezpečených kamer, proto i ty vyřazené lze stále dohledat, jen nejsou nabízeny v jejich katalogu.

Někdy se do soukromí uživatelů ponoří přímo výrobci zařízení. Vlnu nevole vzbudily například trvale aktivované mikrofony televizorů Samsung s hlasovým ovládáním nebo skenování obsahu připojených pevných disků a monitorování uživatelských činností u televizorů LG. V obou případech vše doprovázela čiperná síťová komunikace se servery výrobce.

Nyní se však díky škodlivému kódu Mirai rýsuje i nová hrozba, v objektivním pohledu svými důsledky mnohem větší. Tato zařízení mohou být na dálku infikovaná útočníkem a zneužita k jiným účelům, než pro jaké běžně slouží.

Nová hrozba: chytré domácí spotřebiče útočí na síť

Nejpravděpodobnějším viníkem masivního internetového útoku z minulého týdne byly totiž právě různé k internetu připojené domácí spotřebiče napadené výše zmíněným škodlivým kódem.

Útok na DNS servery jedné společnosti ovlivnil provoz mnoha služeb v celosvětovém měřítku.

Ten využívá právě chybějícího, nebo nedostatečného zabezpečení síťových rozhraní těchto zařízení, kvůli kterému se může nahrát do jejich paměti, kde čeká na povel od „provozovatele”. V tu chvíli využije systémové prostředky hostitelského zařízení (tedy třeba chytré žárovky, nebo televizoru) a začne na útočníkem definované adresy posílat velké množství nesmyslných požadavků. Pokud se do takového útoku zapojí stovky tisíc či miliony zařízení, napadené servery nápor neustojí a přestanou stíhat odbavit požadavky skutečných uživatelů. V případě DNS serverů se problém může řetězovou reakcí šířit dále a problém roznést na velké území, jak jsme toho byli svědky v pátek 21. října.

Zapojení těchto spotřebičů do takzvaných bot-netů, tedy sítě centrálně řízených škodlivým kódem zotročených zařízení, je obrovský problém. Zejména proto, že mnoho z nich nelze uživatelsky lépe zabezpečit a ty nakažené často není možné nákazy zbavit.

Problém první Žádné, nebo „defaultní“ heslo

Otroci škodlivého kódu Mirai se rekrutují z nijak či špatně zabezpečených domácích spotřebičů připojených k síti. Ty, co nemají vlastní uživatelské rozhraní, ale přistupuje se k nim pomocí aplikace v chytrém telefonu, často nejsou chráněny nijak, nebo všechny stejným uživatelským jménem a heslem, které daný výrobce používá. Mirai tak vlastně stačí jen identifikovat zařízení a zkusit „defaultní“ přihlašovací údaje. Pokud je úspěšný, zařízení infikuje.

„Při vývoji některých připojených zařízení se na zabezpečení evidentně vůbec nemyslelo, často jde totiž o výrobce domácích spotřebičů, kteří s IT nemají příliš zkušeností,“ uvedl pro Technet.cz Marco Preuss, ředitel týmu výzkumu a analýzy společnosti Kaspersky Lab. „V takových případech nemůže uživatel bezpečnostním komplikacím nijak předejít, maximálně může zařízení od internetu odpojit,“ dodává Preuss.

Změna hesla u HD DVR Mediaboxu od UPC. Zvolte nějaké složitější.

Nedostatečně zabezpečená jsou však často i zařízení, která lze uživatelsky zabezpečit. Typicky třeba routery, síťová uložiště NAS nebo IP kamery. Nejčastější chybou uživatelů je, že nezmění základní přihlašovací údaje a zařízení je tak volně přístupné například s notoricky známou kombinací admin/admin.

To ostatně potvrdil nedávný průzkum společnosti Eset, vycházející z uživateli spuštěných testů bezpečnostních balíků Smart Security. „Test se zaměřil na kontrolu výchozích uživatelských jmen a hesel a jejich nejčastěji používaných kombinací. Je znepokojující, že v jednom případě ze sedmi byl útok úspěšný,” komentuje výsledek Peter Stančík, bezpečnostní evangelista společnosti Eset. Dodejme, že zkušební skupinou byli lidé, kteří se o bezpečnost zajímali alespoň natolik, že si bezpečnostní balík zakoupili (nebo alespoň nainstalovali 30denní zkušební verzi). Výsledek tak může být optimističtější, než je skutečný stav.

Rada redakce: U každého zařízení připojeného do internetové sítě se pokuste změnit přihlašovací údaje, tedy zejména heslo. Postup vždy najdete v návodu k obsluze. Pamatujte, že heslo „heslo123“ je stejně slabé jako heslo defaultní, tedy to od výrobce.

Problém druhý Starý firmware

Firmware je programovým kódem, který řídí prakticky veškerou dnešní elektroniku. Právě firmware určuje její chování, funkce, grafické rozhraní a další vlastnosti. V propagačních materiálech bývá „výměna firmwaru“ popisována jako možnost, jak výrobek naučit novým funkcím. Ještě důležitější je však možnost výrobce opravit bezpečnostní a jiné chyby, které byly ve dřívějších verzích firmwaru objeveny.

Nastavení aktualizace firmware u síťového úložiště WD MyCloud. Aktuální verzi vždy nainstaluje sám.

Aktualizovat firmware v elektronice připojené k internetu je velmi důležité, protože dříve zjištěné chyby jsou využívány útočníky a jejich škodlivými kódy a pouze přístroj s nejnovějším firmwarem je před jejich zneužitím chráněn. „Ideální je v přístroji aktivovat funkci automatického stažení a instalace firmwaru. Díky tomu může být zařízení dobře chráněno i bez pozornosti uživatele,“ radí bezpečnostní specialista Kaspersky Lab, Marco Preuss. „Někteří výrobci bohužel zajišťují podporu svých výrobků jen během prodeje a poté s vývojem nových verzí přestanou. A některá zařízení nejsou na výměnu firmwaru připravena vůbec,“ dodává Preuss.

Rada redakce: Pokud zařízení nemá funkci automatické aktualizace firmwaru (nebo alespoň notifikace nových verzí), nezapomeňte v pravidelných intervalech dostupnost nových verzí kontrolovat. Je dobré si před aktualizací vyhledat, zda po instalaci neměli uživatelé se zařízením problémy - pak se vyplatí s aktualizací o jednu verzi počkat. V případě automatických aktualizací lze předpokládat, že ji výrobce důkladněji testuje, nebo alespoň opraví obratem. Pokud zařízení aktualizaci firmware neumožňuje, je potenciálně nebezpečné a stává se tak adeptem na výměnu.

Problém třetí Chybí jednotné standardy

Se zvyšujícím se počtem chytrých zařízení v domácnosti by se mělo zvyšovat i pohodlí jejích obyvatel. Zároveň se však zvyšují nároky na čas a znalosti potřebné pro jejich správné nastavení a údržbu.

„Je třeba si uvědomit, že celé odvětví internetu věcí a chytrých spotřebičů je vývojově v začátcích. Zásadním problémem je absence jednotných standardů, většina výrobců pracuje na vlastních platformách, které zpravidla nejsou s těmi konkurenčními kompatibilní. Veškeré úkony správy a zabezpečení tak musí uživatel dělat u každého jednoho zařízení zvlášť, což je neúnosné,“ komentuje současný stav Preuss.

Příklad: Chytré zásuvky od TP-Linku s IP kamerkami od D-Linku spolupracovat nebudou a v jednom rozhraní je neobsloužíte.

Do vzájemné kompatibility se zatím výrobci nijak nehrnou, protože stále žijí v naději, že právě ten jejich systém se natolik rozšíří, že se stane standardem, pro který budou ostatní výrobci kupovat licence. Různé produkty tak zatím využívají různá proprietární řešení, různé protokoly a komunikační systémy.

Navíc kvůli tomu dnes třeba neexistuje aplikace, která by provedla „antivirovou“ kontrolu u všech zařízení připojených v domácí síti, a proto má uživatel jen malou šanci zjistit, zda se jeho zařízení nestalo členem bot-netu.

Rada redakce: Při výběru chytrého zařízení zvažte, která další zařízení si budete chtít v blízké době pořídit a zda má taková zařízení vámi vybraný výrobce v nabídce. Tato rada se týká především senzorů a zařízení, která by mohla vzájemně interagovat.

Útoky povedou k rychlejším změnám

Jakmile se oficiálně potvrdí účast a podíl chytrých zařízení na DDoS útocích z minulého týdne, lze předpokládat, že se tato relativně nová hrozba stane podnětem pro systémové změny týkající se elektroniky připojené do internetu a internetové sítě obecně.

Jak? To lze zatím jen odhadovat. Tlak na sjednocení standardů je však jednou z pravděpodobných variant. Soupeřících je spousta, například HomeKit od Applu, Brillo od Googlu, AllJoyn od Allseen Alliance, Artik od Samsungu, MyHome od D-Linku a těmi seznam zdaleka nekončí.

Trochu větší úlohu by mohly hrát i domácí routery. „Myslím si, že v budoucnosti budou hrát centrální body, tedy například routery, mnohem větší roli. Kvalitní zabezpečení jednotlivých zařízení v sítí by stálo nemalé prostředky, například už jen z hlediska potřebných hardwarových prostředků, a ty by se nepříjemně podepsaly na ceně takových spotřebních zařízení, jako jsou třeba chytré žárovky. Řešit zabezpečení na úrovni brány celé domácnosti k internetu nyní vypadá jako efektivnější a i pro uživatele příjemnější řešení,“ uvedl Marco Preuss.

Křišťálová Lupa 2016
  • Nejčtenější

Vyzkoušeli jsme podvod z Aliexpressu. Může vás přijít draho, i po letech

v diskusi je 110 příspěvků

14. března 2024

Nakoupili jsme na Aliexpressu a pěkně se spálili. Jednu USB paměť, dvě externí SSD a jeden externí...

Nejsilnější raketa úspěšně prošla prvním testovacím letem do vesmíru

v diskusi je 138 příspěvků

14. března 2024  12:12,  aktualizováno  15:31

Společnost SpaceX poprvé dostala svůj Starship do vesmírného prostoru. Po dvou předchozích...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Svět uznal nároky Beneše. Československo vyhrálo spor s Polskem o Javorinu

v diskusi je 42 příspěvků

12. března 2024

Před 100 lety se Československo dočkalo mezinárodního uznání ve sporu s Polskem o Javorinu....

Tato novinka ve vyhledávání Googlu lidi pěkně vytáčí. Máme řešení

v diskusi je 153 příspěvků

12. března 2024  10:45

Jedna z novinek, kterou přineslo evropské Nařízení o digitálních trzích, je změna v tom, jak Google...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Polopás není polovičaté řešení. Třetí říše byla mistrem v oboru

v diskusi je 9 příspěvků

18. března 2024

Druhá světová válka byla zlatým věkem polopásových vozidel. Vyráběli je především Němci a...

VIDEO: Střílej po mně! Kameraman natočil téměř celý útok v centru Prahy

Premium Ve čtvrtek zemřelo rukou střelce Davida K. 14 obětí, 25 lidí je zraněných, z toho deset lidí těžce. Jedním z prvních na...

Máma ji dala do pasťáku, je na pervitinu a šlape. Elišku čekají Vánoce na ulici

Premium Noční Smíchov. Na zádech růžový batoh, v ruce svítící balónek, vánoční LED svíčky na baterky kolem krku. Vypadá na...

Test světlých lahvových ležáků: I dobré pivo zestárne v obchodě mnohem rychleji

Premium Ležáky z hypermarketů zklamaly. Jestli si chcete pochutnat, běžte do hospody. Sudová piva totiž dopadla před časem...

Kuličková myš, VHS a další technologické skvosty nedávné minulosti

v diskusi je 5 příspěvků

19. března 2024

S některými bylo možné se běžně setkat ještě před deseti lety, jiné je možné koupit a používat...

Od Amazonu po Voyo. Velký test streamovacích služeb našel obří rozdíly

v diskusi je 7 příspěvků

19. března 2024

Premium V jedné můžete vybírat z dvou set filmů a seriálů, ve druhé z osmi tisíc. V jedné je speciální...

Zemřel astronaut Stafford, který si ve vesmíru „podal“ ruku s Leonovem

v diskusi nejsou příspěvky

18. března 2024  19:10

Ve věku 93 let po dlouhé nemoci zemřel někdejší astronaut Thomas Stafford, který byl zapojený do...

Apple přidá do svých zařízení generativní AI, využije k tomu Google

v diskusi nejsou příspěvky

18. března 2024  13:34

Apple jako jedna z mála technologických společností nezachytil příchod vlny generativní umělé...

Nutný výchovný pohlavek, souhlasí Bouček i Havlová s přerušením projevu na Lvu

Moderátor Libor Bouček ostře zareagoval na kauzu ohledně délky proslovu režisérky Darji Kaščejevové na předávání cen...

Švábi, vši a nevychované děti. Výměna manželek skončila už po pěti dnech

Nová Výměna manželek trvala jen pět dní, přesto přinesla spoustu vyhrocených situací. Martina ze Znojma se pokoušela...

Vyzkoušeli jsme podvod z Aliexpressu. Může vás přijít draho, i po letech

Nakoupili jsme na Aliexpressu a pěkně se spálili. Jednu USB paměť, dvě externí SSD a jeden externí HDD. Ve třech...

Chtěli, abych se vyspala s Baldwinem kvůli jeho výkonu, říká Sharon Stone

Herečka Sharon Stone (66) jmenovala producenta, který jí řekl, aby se vyspala s hercem Williamem Baldwinem (61). Měla...

Konec nadvlády programátorů. Pozic ubývá, na jednu se hlásí stále víc lidí

Premium Ochota firem splnit uchazečům skoro jakýkoli požadavek a velmi nízká konkurence. Tak by se ještě nedávno dala definovat...