Niewłaściwie zabezpieczone IoT to poważne zagrożenie

Najczęstsze podatności w IoT

Urządzenia IoT zawierają szereg słabych punktów wykorzystywanych przez hackerów. Najważniejsze z nich to:

1. Dostęp bez uwierzytelnienia Zaskakująco często w urządzeniach IoT niższej klasy dostęp sieciowy możliwy jest bez żadnego podawania poświadczeń. Wystarczy wywołać takie urządzenie z tej samej sieci i otwiera nam się okno do wpisywania komend. Oczywiście nie musimy chyba mówić, że takim IoT mówimy „dziękuję”.

2. Słabości uwierzytelniania Kolejna rzecz, która w IoT jest powszechna, ale już nie tak rażąca w oczy jak poprzednia. Po pierwsze algorytmy kryptograficzne, które każdy komputer złamać może w kilka minut, takie jak RC4 czy SHA1. O łamaniu haseł pisaliśmy tutaj. Po drugie uwierzytelnianie podane na ataki brute-force, czyli możliwości wpisywania niepoprawnego hasła w nieskończoność i brak jakiegokolwiek mechanizmu blokady czy monitorowania prób takich ataków. Do tego dochodzi jeszcze hasło składające się z 5 czy 6 cyfr i sytuację idealną dla hackera mamy gotową.

3. Ustawienia domyślne Chodzi przede wszystkim o fabryczny login i hasło typu admin/admin, ale też o brak jakiegokolwiek zainteresowania się opcjami bezpieczeństwa wbudowanymi w urządzenie. Nowe sprzęty IoT oferują coraz więcej opcji szyfrowania, autoryzacji 2 stopniowej, czy dopuszczanie dostępu tylko z konkretnych adresów. Niestety praktyka pozostawiania ustawień domyślnych i korzystanie z wbudowanego konta administracyjnego i jego hasła napisanego w instrukcji cały czas jest stosowana. Dla przestrogi, podajemy link do ciekawej strony, która zawiera obraz na żywo z milionów kamer, które zostały zhackowane przez boty chodzące po Internecie wykorzystujące domyślne hasła – https://www.insecam.org.

4. Kody bezpieczeństwa Chodzi o sytuacje, w której użytkownik zmienił hasło domyślne do urządzenia i po jakimś czasie go zapomniał. Starsze IoT nie zawierają mechanizmu przypomnienia czy resetu hasła i korzystają z tzw. kodów bezpieczeństwa. W sytuacji, gdy nie możemy dostać się do urządzenia dzwonimy lub piszemy maila do supportu podając numer seryjny i wieloznakowy kod jest nam udostępniany. Zaznaczamy, że dotyczy to głównie kamer przemysłowych produkowanych w latach 90 i wcześniej. Jednak ta podatności została w brutalny sposób wykorzystana w 2016 roku przez botnet o nazwie „Mirai”. Za pomocą kodów bezpieczeństwa wyłudzonych od producentów zainfekował on ponad 2,5 miliona urządzeń IoT na całym świecie i wykorzystał je do przeprowadzenia ataków DDoS, który wyłączył usługi między innymi Amazon, Netflix czy The New York Times.

5. Stara metoda szyfrowania kluczy Komunikacja w urządzeniach IoT szyfrowana jest w wielu przypadkach słabym, niewspieranym już standardem DES (Data Encryption Standard), co stanowi ogromny problem dla bezpieczeństwa. Hackerzy wykorzystują tę podatność do podsłuchiwania komunikacji, uzyskiwaniu dostępu do urządzenia lub nawet do tworzenia fałszywych urządzeń w sieci.

6. Ukryte backdoor’y w firmware Firmware przy sprzęcie IoT stanowi wyjątkowy problem, dużo większy niż w przypadku komputerów osobistych (o słabościach firmware i Bios’u pisaliśmy tutaj). Głównie przez to, że producenci takiego sprzętu zostawiają sobie tylne furtki dla serwisantów i osób uprawnionych, tak aby ułatwić diagnozę i naprawianie błędów. Poznanie takiego „sekretu” ukrytego w firmware, przez hackera może doprowadzić do uzyskania fizycznego, autoryzowanego dostępu do urządzenia.

7. Przepełnienie bufora Urządzenia IoT są wyjątkowo podatne na ataki typu „Buffer Overflow”, czyli prowadzące do przepełnienia bufora poprzez wywołanie niezabezpieczonych przed tym mechanizmem funkcji z długim łańcuchem znaków. Wszystko to przez niedbale pisany software. Taki atak doprowadza do możliwości zdalnego wykonywania poleceń na urządzeniu, co najczęściej stosowane jest w celu uzbrojenia takiego urządzenia w złośliwy ładunek i przesłania go dalej, do innych hostów w sieci ofiary.

8. Usługi debugowania Implementowane przez programistów w wersjach beta oprogramowania w celu testów i sprawdzania błędów. Często niestety pozostawiane w finalnych wersjach i zapomniane przez producentów, co daje hackerom łatwy dostęp do samego kodu źródłowego i dużej wiedzy o urządzeniu.

Podsumowanie

Postęp w dziedzinie IoT jest ogromny i cały czas dynamicznie idzie do przodu. Czy dla bezpieczeństwa jest to dobre – naszym zdaniem nie do końca. Wprowadzaniu nowej technologii często towarzyszy pośpiech i kwestie bezpieczeństwa mogą być zaniedbywane. To samy tyczy się wdrażania takich urządzeń w firmach. Priorytetem jest szybkość i pokrycie całej infrastruktury, a procedury bezpieczeństwa odgrywają drugoplanową rolę.

Dobrą wiadomością jest to, że praktycznie wszystkie rzeczy, o których pisaliśmy powyżej są do uniknięcia lub można je naprawić bez żadnych dodatkowych kosztów. Dobre praktyki bezpieczeństwa można zacząć od:

• Zaktualizowania oprogramowania do najnowszej wersji
• Zmiany domyślnych haseł lub najlepiej wyłączenia domyślnych kont
• Przejrzenia dodatkowych opcji zabezpieczeń, które oferuje producent
• Stworzenia listy urządzeń IoT w organizacji (kamer, telewizorów, odkurzaczy, itp.) i monitorowanie ich aktywności w sieci
• Skontaktowania się z producentem lub dostawcą posiadanego IoT i wypytanie go o ewentualne podatności wypisane powyżej. Warto zastosować oficjalną formę komunikacji i wystosować prośbę o naprawienie ewentualnych słabych punktów.