O zabezpečení zařízení připojených k internetu, jako jsou chytré televizory, tiskárny nebo IP kamery, se zatím hovořilo jen v souvislosti s ohrožením soukromí uživatelů.
„Řešili jsme případ páru, který byl natočen při milování ve svém obýváku pomocí chytrého televizoru, nad kterým někdo převzal kontrolu. Záznam se prostě objevil na webu,“ uvedla v květnu pro server DailyMail Laura Higginsová z agentury Revenge Porn Helpline, která se na odstraňování nedomluveně zveřejněných choulostivých záběrů specializuje.
Nezabezpečené IP kamery najdete leckde. Na zahradách, chodbách, sportovních hřištích, večerkách ...
Stále častěji se objevují případy, kdy se na veřejnost dostávají záběry z IP kamer domácího zabezpečení, ke kterým by mimo majitele nikdo neměl mít přístup. Existuje například web Insecam, který přístupy na nechráněné kamery katalogizuje a nabízí k zobrazení. Původně nabízel i pohledy do obýváků, ložnic a dětských pokojů, ale nyní jsou tyto náhledy do úplného soukromí z katalogu vyřazeny. Ale jak provozovatelé webu upozorňují, všechny streamy pocházejí z nezabezpečených kamer, proto i ty vyřazené lze stále dohledat, jen nejsou nabízeny v jejich katalogu.
Někdy se do soukromí uživatelů ponoří přímo výrobci zařízení. Vlnu nevole vzbudily například trvale aktivované mikrofony televizorů Samsung s hlasovým ovládáním nebo skenování obsahu připojených pevných disků a monitorování uživatelských činností u televizorů LG. V obou případech vše doprovázela čiperná síťová komunikace se servery výrobce.
Nyní se však díky škodlivému kódu Mirai rýsuje i nová hrozba, v objektivním pohledu svými důsledky mnohem větší. Tato zařízení mohou být na dálku infikovaná útočníkem a zneužita k jiným účelům, než pro jaké běžně slouží.
Nová hrozba: chytré domácí spotřebiče útočí na síť
Nejpravděpodobnějším viníkem masivního internetového útoku z minulého týdne byly totiž právě různé k internetu připojené domácí spotřebiče napadené výše zmíněným škodlivým kódem.
Útok na DNS servery jedné společnosti ovlivnil provoz mnoha služeb v celosvětovém měřítku.
Ten využívá právě chybějícího, nebo nedostatečného zabezpečení síťových rozhraní těchto zařízení, kvůli kterému se může nahrát do jejich paměti, kde čeká na povel od „provozovatele”. V tu chvíli využije systémové prostředky hostitelského zařízení (tedy třeba chytré žárovky, nebo televizoru) a začne na útočníkem definované adresy posílat velké množství nesmyslných požadavků. Pokud se do takového útoku zapojí stovky tisíc či miliony zařízení, napadené servery nápor neustojí a přestanou stíhat odbavit požadavky skutečných uživatelů. V případě DNS serverů se problém může řetězovou reakcí šířit dále a problém roznést na velké území, jak jsme toho byli svědky v pátek 21. října.
Zapojení těchto spotřebičů do takzvaných bot-netů, tedy sítě centrálně řízených škodlivým kódem zotročených zařízení, je obrovský problém. Zejména proto, že mnoho z nich nelze uživatelsky lépe zabezpečit a ty nakažené často není možné nákazy zbavit.
Problém první Žádné, nebo „defaultní“ heslo
Otroci škodlivého kódu Mirai se rekrutují z nijak či špatně zabezpečených domácích spotřebičů připojených k síti. Ty, co nemají vlastní uživatelské rozhraní, ale přistupuje se k nim pomocí aplikace v chytrém telefonu, často nejsou chráněny nijak, nebo všechny stejným uživatelským jménem a heslem, které daný výrobce používá. Mirai tak vlastně stačí jen identifikovat zařízení a zkusit „defaultní“ přihlašovací údaje. Pokud je úspěšný, zařízení infikuje.
„Při vývoji některých připojených zařízení se na zabezpečení evidentně vůbec nemyslelo, často jde totiž o výrobce domácích spotřebičů, kteří s IT nemají příliš zkušeností,“ uvedl pro Technet.cz Marco Preuss, ředitel týmu výzkumu a analýzy společnosti Kaspersky Lab. „V takových případech nemůže uživatel bezpečnostním komplikacím nijak předejít, maximálně může zařízení od internetu odpojit,“ dodává Preuss.
Změna hesla u HD DVR Mediaboxu od UPC. Zvolte nějaké složitější.
Nedostatečně zabezpečená jsou však často i zařízení, která lze uživatelsky zabezpečit. Typicky třeba routery, síťová uložiště NAS nebo IP kamery. Nejčastější chybou uživatelů je, že nezmění základní přihlašovací údaje a zařízení je tak volně přístupné například s notoricky známou kombinací admin/admin.
To ostatně potvrdil nedávný průzkum společnosti Eset, vycházející z uživateli spuštěných testů bezpečnostních balíků Smart Security. „Test se zaměřil na kontrolu výchozích uživatelských jmen a hesel a jejich nejčastěji používaných kombinací. Je znepokojující, že v jednom případě ze sedmi byl útok úspěšný,” komentuje výsledek Peter Stančík, bezpečnostní evangelista společnosti Eset. Dodejme, že zkušební skupinou byli lidé, kteří se o bezpečnost zajímali alespoň natolik, že si bezpečnostní balík zakoupili (nebo alespoň nainstalovali 30denní zkušební verzi). Výsledek tak může být optimističtější, než je skutečný stav.
Rada redakce: U každého zařízení připojeného do internetové sítě se pokuste změnit přihlašovací údaje, tedy zejména heslo. Postup vždy najdete v návodu k obsluze. Pamatujte, že heslo „heslo123“ je stejně slabé jako heslo defaultní, tedy to od výrobce.
Problém druhý Starý firmware
Firmware je programovým kódem, který řídí prakticky veškerou dnešní elektroniku. Právě firmware určuje její chování, funkce, grafické rozhraní a další vlastnosti. V propagačních materiálech bývá „výměna firmwaru“ popisována jako možnost, jak výrobek naučit novým funkcím. Ještě důležitější je však možnost výrobce opravit bezpečnostní a jiné chyby, které byly ve dřívějších verzích firmwaru objeveny.
Nastavení aktualizace firmware u síťového úložiště WD MyCloud. Aktuální verzi vždy nainstaluje sám.
Aktualizovat firmware v elektronice připojené k internetu je velmi důležité, protože dříve zjištěné chyby jsou využívány útočníky a jejich škodlivými kódy a pouze přístroj s nejnovějším firmwarem je před jejich zneužitím chráněn. „Ideální je v přístroji aktivovat funkci automatického stažení a instalace firmwaru. Díky tomu může být zařízení dobře chráněno i bez pozornosti uživatele,“ radí bezpečnostní specialista Kaspersky Lab, Marco Preuss. „Někteří výrobci bohužel zajišťují podporu svých výrobků jen během prodeje a poté s vývojem nových verzí přestanou. A některá zařízení nejsou na výměnu firmwaru připravena vůbec,“ dodává Preuss.
Rada redakce: Pokud zařízení nemá funkci automatické aktualizace firmwaru (nebo alespoň notifikace nových verzí), nezapomeňte v pravidelných intervalech dostupnost nových verzí kontrolovat. Je dobré si před aktualizací vyhledat, zda po instalaci neměli uživatelé se zařízením problémy - pak se vyplatí s aktualizací o jednu verzi počkat. V případě automatických aktualizací lze předpokládat, že ji výrobce důkladněji testuje, nebo alespoň opraví obratem. Pokud zařízení aktualizaci firmware neumožňuje, je potenciálně nebezpečné a stává se tak adeptem na výměnu.
Problém třetí Chybí jednotné standardy
Se zvyšujícím se počtem chytrých zařízení v domácnosti by se mělo zvyšovat i pohodlí jejích obyvatel. Zároveň se však zvyšují nároky na čas a znalosti potřebné pro jejich správné nastavení a údržbu.
„Je třeba si uvědomit, že celé odvětví internetu věcí a chytrých spotřebičů je vývojově v začátcích. Zásadním problémem je absence jednotných standardů, většina výrobců pracuje na vlastních platformách, které zpravidla nejsou s těmi konkurenčními kompatibilní. Veškeré úkony správy a zabezpečení tak musí uživatel dělat u každého jednoho zařízení zvlášť, což je neúnosné,“ komentuje současný stav Preuss.
Příklad: Chytré zásuvky od TP-Linku s IP kamerkami od D-Linku spolupracovat nebudou a v jednom rozhraní je neobsloužíte.
Do vzájemné kompatibility se zatím výrobci nijak nehrnou, protože stále žijí v naději, že právě ten jejich systém se natolik rozšíří, že se stane standardem, pro který budou ostatní výrobci kupovat licence. Různé produkty tak zatím využívají různá proprietární řešení, různé protokoly a komunikační systémy.
Navíc kvůli tomu dnes třeba neexistuje aplikace, která by provedla „antivirovou“ kontrolu u všech zařízení připojených v domácí síti, a proto má uživatel jen malou šanci zjistit, zda se jeho zařízení nestalo členem bot-netu.
Rada redakce: Při výběru chytrého zařízení zvažte, která další zařízení si budete chtít v blízké době pořídit a zda má taková zařízení vámi vybraný výrobce v nabídce. Tato rada se týká především senzorů a zařízení, která by mohla vzájemně interagovat.
Útoky povedou k rychlejším změnám
Jakmile se oficiálně potvrdí účast a podíl chytrých zařízení na DDoS útocích z minulého týdne, lze předpokládat, že se tato relativně nová hrozba stane podnětem pro systémové změny týkající se elektroniky připojené do internetu a internetové sítě obecně.
Jak? To lze zatím jen odhadovat. Tlak na sjednocení standardů je však jednou z pravděpodobných variant. Soupeřících je spousta, například HomeKit od Applu, Brillo od Googlu, AllJoyn od Allseen Alliance, Artik od Samsungu, MyHome od D-Linku a těmi seznam zdaleka nekončí.
Trochu větší úlohu by mohly hrát i domácí routery. „Myslím si, že v budoucnosti budou hrát centrální body, tedy například routery, mnohem větší roli. Kvalitní zabezpečení jednotlivých zařízení v sítí by stálo nemalé prostředky, například už jen z hlediska potřebných hardwarových prostředků, a ty by se nepříjemně podepsaly na ceně takových spotřebních zařízení, jako jsou třeba chytré žárovky. Řešit zabezpečení na úrovni brány celé domácnosti k internetu nyní vypadá jako efektivnější a i pro uživatele příjemnější řešení,“ uvedl Marco Preuss.
