Liczba podłączonych urządzeń do Internetu jest ogromna i cały czas sukcesywnie się zwiększa. Największym obszarem ekspansji jest Internet Rzeczy, czyli w skrócie IoT (ang. Internet of Things). Gwałtowny rozwój technologii sprawił, że Internet jest wszechobecny i implementowany w coraz większej ilości urządzeń elektronicznych typu „smart”. Mamy już inteligentne lodówki, pralki, odkurzacze, telewizory, toster, zamki w drzwiach czy kamery monitorujące nasz dom.
Celem jest oczywiście ułatwienie życia poprzez zdalne sterowanie i monitorowanie domowych urządzeń oraz automatyzacja niektórych czynności. Istnieje wiele IoT integrujących się ze sobą i działających w założeniu tzw. Smart Home. Urządzenia takie podłączone są do jednej sieci WiFi, komunikują się ze sobą, mogą wydawać sobie polecenia, wysyłać raporty i powiadomienia do użytkownika poprzez aplikację mobilną, często wykorzystując do tego domowy, centralny serwer.
Według Gartnera w 2020 roku będzie ponad 14 miliardów urządzeń IoT. To wystarczająca ilość, aby zacząć na poważnie traktować odpowiednie zabezpieczenie takich urządzeń. Powszechnie wiadomo, że producenci, a także użytkownicy nie przykładają dużej wagi do ich bezpieczeństwa. Firmware na urządzeniach IoT jest przestarzały, software nigdy nieaktualizowany, a domyślna konfiguracja zabezpieczeń pozostawiona na lata użytkowania. Wszystko w myśl zasady – jeśli działa, to po co zmieniać.
Prawda jest taka, że urządzenie IoT jest takim samym punktem dostępowym dla hackera, jak komputer stacjonarny czy laptop. Po dostaniu się na takie urządzenie, które często jest otwartą furtką, możliwe jest wykonywanie ruchów bocznych w sieci czy nawet sterowanie innymi hostami poprzez zdalne komendy z zaufanego urządzenia. Tyczy się to zarówno domowego IoT, jak i bezprzewodowych kamer w firmach. Jeśli chodzi o te drugie, to zdarza się, że cyberprzestępcy używają ich do dystrybuowania złośliwego oprogramowania wewnątrz organizacji, gdyż kamer nikt pod tym względem nie podejrzewa.
Najczęstsze podatności w IoT
Urządzenia IoT zawierają szereg słabych punktów wykorzystywanych przez hackerów. Najważniejsze z nich to:
1. Dostęp bez uwierzytelnienia
Zaskakująco często w urządzeniach IoT niższej klasy dostęp sieciowy możliwy jest bez żadnego podawania poświadczeń. Wystarczy wywołać takie urządzenie z tej samej sieci i otwiera nam się okno do wpisywania komend. Oczywiście nie musimy chyba mówić, że takim IoT mówimy „dziękuję”.
2. Słabości uwierzytelniania
Kolejna rzecz, która w IoT jest powszechna, ale już nie tak rażąca w oczy jak poprzednia. Po pierwsze algorytmy kryptograficzne, które każdy komputer złamać może w kilka minut, takie jak RC4 czy SHA1. O łamaniu haseł pisaliśmy tutaj. Po drugie uwierzytelnianie podane na ataki brute-force, czyli możliwości wpisywania niepoprawnego hasła w nieskończoność i brak jakiegokolwiek mechanizmu blokady czy monitorowania prób takich ataków. Do tego dochodzi jeszcze hasło składające się z 5 czy 6 cyfr i sytuację idealną dla hackera mamy gotową.
3. Ustawienia domyślne
Chodzi przede wszystkim o fabryczny login i hasło typu admin/admin, ale też o brak jakiegokolwiek zainteresowania się opcjami bezpieczeństwa wbudowanymi w urządzenie. Nowe sprzęty IoT oferują coraz więcej opcji szyfrowania, autoryzacji 2 stopniowej, czy dopuszczanie dostępu tylko z konkretnych adresów. Niestety praktyka pozostawiania ustawień domyślnych i korzystanie z wbudowanego konta administracyjnego i jego hasła napisanego w instrukcji cały czas jest stosowana. Dla przestrogi, podajemy link do ciekawej strony, która zawiera obraz na żywo z milionów kamer, które zostały zhackowane przez boty chodzące po Internecie wykorzystujące domyślne hasła – https://www.insecam.org.
4. Kody bezpieczeństwa
Chodzi o sytuacje, w której użytkownik zmienił hasło domyślne do urządzenia i po jakimś czasie go zapomniał. Starsze IoT nie zawierają mechanizmu przypomnienia czy resetu hasła i korzystają z tzw. kodów bezpieczeństwa. W sytuacji, gdy nie możemy dostać się do urządzenia dzwonimy lub piszemy maila do supportu podając numer seryjny i wieloznakowy kod jest nam udostępniany. Zaznaczamy, że dotyczy to głównie kamer przemysłowych produkowanych w latach 90 i wcześniej. Jednak ta podatności została w brutalny sposób wykorzystana w 2016 roku przez botnet o nazwie „Mirai”. Za pomocą kodów bezpieczeństwa wyłudzonych od producentów zainfekował on ponad 2,5 miliona urządzeń IoT na całym świecie i wykorzystał je do przeprowadzenia ataków DDoS, który wyłączył usługi między innymi Amazon, Netflix czy The New York Times.
5. Stara metoda szyfrowania kluczy
Komunikacja w urządzeniach IoT szyfrowana jest w wielu przypadkach słabym, niewspieranym już standardem DES (Data Encryption Standard), co stanowi ogromny problem dla bezpieczeństwa. Hackerzy wykorzystują tę podatność do podsłuchiwania komunikacji, uzyskiwaniu dostępu do urządzenia lub nawet do tworzenia fałszywych urządzeń w sieci.
6. Ukryte backdoor’y w firmware
Firmware przy sprzęcie IoT stanowi wyjątkowy problem, dużo większy niż w przypadku komputerów osobistych (o słabościach firmware i Bios’u pisaliśmy tutaj). Głównie przez to, że producenci takiego sprzętu zostawiają sobie tylne furtki dla serwisantów i osób uprawnionych, tak aby ułatwić diagnozę i naprawianie błędów. Poznanie takiego „sekretu” ukrytego w firmware, przez hackera może doprowadzić do uzyskania fizycznego, autoryzowanego dostępu do urządzenia.
7. Przepełnienie bufora
Urządzenia IoT są wyjątkowo podatne na ataki typu „Buffer Overflow”, czyli prowadzące do przepełnienia bufora poprzez wywołanie niezabezpieczonych przed tym mechanizmem funkcji z długim łańcuchem znaków. Wszystko to przez niedbale pisany software. Taki atak doprowadza do możliwości zdalnego wykonywania poleceń na urządzeniu, co najczęściej stosowane jest w celu uzbrojenia takiego urządzenia w złośliwy ładunek i przesłania go dalej, do innych hostów w sieci ofiary.
8. Usługi debugowania
Implementowane przez programistów w wersjach beta oprogramowania w celu testów i sprawdzania błędów. Często niestety pozostawiane w finalnych wersjach i zapomniane przez producentów, co daje hackerom łatwy dostęp do samego kodu źródłowego i dużej wiedzy o urządzeniu.
Podsumowanie
Postęp w dziedzinie IoT jest ogromny i cały czas dynamicznie idzie do przodu. Czy dla bezpieczeństwa jest to dobre – naszym zdaniem nie do końca. Wprowadzaniu nowej technologii często towarzyszy pośpiech i kwestie bezpieczeństwa mogą być zaniedbywane. To samy tyczy się wdrażania takich urządzeń w firmach. Priorytetem jest szybkość i pokrycie całej infrastruktury, a procedury bezpieczeństwa odgrywają drugoplanową rolę.
Dobrą wiadomością jest to, że praktycznie wszystkie rzeczy, o których pisaliśmy powyżej są do uniknięcia lub można je naprawić bez żadnych dodatkowych kosztów. Dobre praktyki bezpieczeństwa można zacząć od:
- Zaktualizowania oprogramowania do najnowszej wersji
- Zmiany domyślnych haseł lub najlepiej wyłączenia domyślnych kont
- Przejrzenia dodatkowych opcji zabezpieczeń, które oferuje producent
- Stworzenia listy urządzeń IoT w organizacji (kamer, telewizorów, odkurzaczy, itp.) i monitorowanie ich aktywności w sieci
- Skontaktowania się z producentem lub dostawcą posiadanego IoT i wypytanie go o ewentualne podatności wypisane powyżej. Warto zastosować oficjalną formę komunikacji i wystosować prośbę o naprawienie ewentualnych słabych punktów.