Mili­óny inte­li­gent­ných gad­ge­tov ukrý­vajú tiché nebez­pe­čen­stvo

Matúš Mitro / 30. október 2016 / Tech a inovácie

Tak­mer každý z nás už nie­kedy využí­val alebo stále aktívne využíva nejaké gad­gety. Či už ide o inte­li­gentné hodinky, rôzne náramky, smart žia­rovky alebo kopu iných zaria­dení. Prav­dou však je, že tieto zaria­de­nia sú poten­ciál­nou hroz­bou, ktorá sa pred­ne­dáv­nom aj potvr­dila.

Inci­dent sa odo­hral len pred­ne­dáv­nom po celom svete a odsta­vil na nie­koľko hodín takých gigan­tov, ako Netf­lix, Twit­ter alebo Ama­zon. Práve gad­gety pri­po­jené k inter­netu boli nástro­jom, ktorý pomo­hol hac­ke­rom v hro­mad­nom DDoS útoku. Hac­keri využili malware zvaný Mirai, aby mohli kon­tro­lo­vať zaria­de­nia a pre­niesť enormné množ­stvo dát vo veľ­kosti 1,2 Tbps (tera­bajt za sekundu). DNS pro­vi­de­rovi, ktorý pre­vádz­kuje nie­koľko celo­sve­to­vých strá­nok, tak útok spô­so­bil veľké škody a zatiaľ čo Dyn už dal do poriadku prvotný inci­dent, pre malware Mirai je stále dostupný zdro­jový kód, čiže kto­koľ­vek ho môže využiť pre ďalší útok takýchto roz­me­rov. Pred útokmi tohto druhu nás experti varo­vali už dáv­nej­šie, no aj napriek varo­va­niam nedošlo k pred­bež­ným opat­re­niam. Je však prav­dou, že zabez­pe­čiť zaria­de­nia pred zne­uži­tím pri masív­nych DDoS úto­koch je sku­točne náročné, či už kvôli obrov­skému množ­stvu dodá­va­te­ľov, vše­obec­nej igno­ran­cii, alebo aj nezna­losti v oblasti zabez­pe­če­nia u samot­ného pou­ží­va­teľa. Tak­tiež dochá­dza k zabez­pe­čo­va­cím prob­lé­mom už pri samot­nom navrho­vaní zaria­dení. Tento útok nám uká­zal, aká nalie­havá a dôle­žitá je otázka bez­peč­nosti gad­ge­tov. Preto by sa mali tieto prob­lémy rie­šiť čo naj­skôr, aby sa podob­ným úto­kom v budúc­nosti zabrá­nilo.

masivny-utok-hackerov-nahlad

Dá sa pove­dať, že útok odštar­to­val veľký závod o čas a práve najz­lo­ži­tej­ším člán­kom vo vytvá­raní bez­peč­nosti proti úto­kom je dodá­va­teľ­ský reťa­zec. Pred­stavme si, že si domáci „kutil“ vyrobí web kameru, ktorá by sa skla­dala z veľ­kého množ­stva súčias­tok. Ak by každá súčias­tka pochá­dzala od iného výrobcu a soft­vér tak­tiež, bolo by pri náhod­nom útoku veľmi zlo­žité zis­tiť, ktorá časť tejto web­ka­mery bola zra­ni­teľná. A práve tento prí­pad môžeme pre­niesť na dnešné gad­gety. Vyšet­ro­va­te­lia útoku už zis­ťujú počia­točný prob­lém súčias­tok a zatiaľ sa im poda­rilo dopát­rať chyb­ných kusov, ktoré vyro­bila čín­ska spo­loč­nosť Hangz­hou Xiong­mai. Chybné súčias­tky tejto spo­loč­nosti boli pou­žité v mno­hých IP kame­rách a doskách DVR. Podľa výskum­ní­kov práve tieto zaria­de­nia zahŕňali veľké množ­stvo z cel­kovo napad­nu­tých, nakoľko výrobca pri ich výrobe spra­vil banálnu chybu a pou­žil základný login s hes­lom.

xiaomi-style-gadgety

Nebolo treba veľa času a prob­lém bol na svete. Aj keď výrobca pre­dá­val zaria­de­nia so základ­nými pri­hla­so­va­cími údajmi, nenú­til pou­ží­va­te­ľov k zmene na oveľa bez­peč­nej­šie údaje, a tak sa stali ľah­kou koris­ťou pre hac­ke­rov. Tí pri infi­ko­vaní zaria­dení mal­vé­rom Mirai, ktorý pou­žil iba 62 pri­hla­so­va­cích kom­bi­ná­cií, tak nemali veľký prob­lém zís­kať kon­trolu nad všet­kým. Aj keď sa výrobca snaží chybu napra­viť a zvo­láva všetky kamery pre­dané v Spo­je­ných štá­toch, nie je isté, či táto zvo­lá­va­cia akcia bude mať nejaký úči­nok. Práve kom­po­nenty sú naj­väč­ším prob­lé­mom a znova sa dostá­vame k zlo­ži­tosti dodá­va­teľ­ských vzťa­hov, ktoré sťa­žujú vyšet­re­nie prí­padu.

Prob­lémy sú spô­so­bené ako soft­vé­rom, tak aj hard­vé­rom

Ako sa dbá na bez­peč­nosť kom­po­nen­tov, rov­nako chrá­nia výrob­co­via aj svoje soft­véry, ktoré tiež nie je ľahké ochrá­niť pred útoč­níkmi. Pre por­tál The­Verge sa vyjad­ril advo­kát Mar­tin McKeay: „Neexis­tuje spô­sob, ako opra­viť (nie­ktoré) zaria­de­nia na ďiaľku. To je dôvod, prečo s nami tieto prob­lémy chvíľu pobudnú. Nemô­žeme opra­viť IP kamery ani digi­tálne video­re­kor­déry. Ak by aj bola mož­nosť záplaty, pou­ží­va­te­lia by mali skon­tro­lo­vať, či sú ich ver­zie soft­vé­rov v zaria­de­niach aktu­álne a potom by pri­šiel čas na opravy, čo je často podľa McKe­aya veľký a zdĺhavý boj. Naprí­klad, roz­hra­nie send­vi­čo­va­čov nevy­zýva pou­ží­va­te­ľov k aktu­ali­zá­cii, no pri smart­fó­noch a note­bo­okoch sme si zvykli na noti­fi­ká­cie o aktu­ali­zá­ciách.

smart-ziarovka

Je tak­mer neprav­de­po­dobné, že si nie­kto nie­kedy vôbec aktu­ali­zuje svoji inte­li­gentnú žia­rovku alebo ter­mos­tat. Práve k takýmto prí­pa­dom sa vyjad­ril CEO spo­loč­nosti Cloudf­lare, Matt­hew Prince: „Je naozaj zlo­žité donú­tiť pou­ží­va­te­ľov, aby o svo­jich send­vi­čo­va­čoch roz­mýš­ľali ako svo­jich note­bo­okoch a inšta­lo­vali im bez­peč­nostné záplaty. Som skep­tický voči tomu, že budú ľudia nie­kedy aktu­ali­zo­vať zaria­de­nia vo svo­jich domo­voch. Všetci sme naučili vní­mať tieto zaria­de­nia inak a pre mno­hých je ťažké vní­mať ich ako svoj smart­fón alebo podobné zaria­de­nia.“

Bolestné záplaty

V prí­pade, že by výrob­co­via nepos­ky­to­vali bez­peč­nostné záplaty a dodá­va­te­lia dodr­žia­vali pre­hľadný reťa­zec medzi sebou, McKe­aya aj Prince odpo­rú­čajú vylep­šiť tento sys­tém ďal­šou bez­peč­nost­nou vrstvou, ktorá by mala zabrá­niť zne­uži­tiu zaria­dení. Táto „bonu­sová“ bez­peč­nostná ochranná vrstva zabez­pečí vyšší stu­peň ochrany medzi gad­ge­tom a inter­ne­tom. Aký­koľ­vek vlast­ník takejto siete tak môže sle­do­vať pre­nos dát a vyko­nať v prí­pade potreby ochranné kroky, ako je blo­ko­va­nie alebo aktu­ali­zo­va­nie zaria­dení. Správ­com takej siete môže byť práve pre­dajca alebo aj pro­vi­der inter­netu. Inšta­lo­va­nie takejto siete priamo u pro­vi­dera by mohlo zabez­pe­čiť väč­šiu ochranu, čo v skratke zna­mená, že ak by bolo zaria­de­nie ohro­zené nebez­peč­nými prí­kazmi z neja­kej IP adresy, môže byť táto adresa ľahko zablo­ko­vaná. No v prí­pade takejto ochrany by sa výrob­co­via museli spo­lie­hať na spo­loč­nosti tre­tích strán, čím by sa im mohli zvý­šiť náklady. Dob­rou sprá­vou však je, že tento nový sys­tém ochrany a infra­štruk­túry už bol imple­men­to­vaný do naj­nov­ších vozi­diel.

nest_uk_heating_1

Mož­nosť, aby pou­ží­va­te­lia odde­lili svoje zaria­de­nia od inter­netu exis­tuje, no nebolo pre­uká­zané, že by bola táto stra­té­gia účinná. Na scéne sa obja­vila aj ďal­šia mož­nosť. Aby sa nemu­seli kon­coví pou­ží­va­te­lia sta­rať o aktu­ál­nosť svo­jich zaria­dení, mohlo by toto bre­meno prejsť priamo na výrob­cov a do tej doby budú nebez­pečné útoky so sce­ná­rom toho posled­ného stále reál­nou a nebez­peč­nou hroz­bou.

fony-z-ciny3-1024x1821-1024x182

zdroj článku, foto­gra­fií a titul­nej foto­gra­fie: fonyzciny.startitup.sk

Pridať komentár (0)