Cyberbezpieczeństwo
#CyberMagazyn: Internet rzeczy. Pomijane zagrożenie?
W dzisiejszym świecie dostęp do Internetu mają nawet lodówki, odkurzacze czy piekarniki. Zdarzają się jednak przypadki, gdzie odkurzacz wykrzykuje rasistowskie hasła lub obraz z kamery jest widoczny z poziomu Internetu. Bezpieczeństwo musi iść w parze z implementowaniem nowych techonologii, szczególnie w naszych domach.
W październiku głośnym przypadkiem było przejmowanie kontroli nad odkurzaczami chińskiej firmy Ecovacs. Wspomniane urządzenia wygłaszały rasistowskie hasła, lecz pozwalały również cyberprzestępcom na podglądanie obrazu i dźwięku. Badacze w grudniu 2023 roku wykazali, że możliwe jest obejście zabezpieczenia czterocyfrowym kodem PIN, który służył jako pewien rodzaj dwuetapowego uwierzytelniania.
Chińskie odkurzacze były możliwe do przejęcia poprzez uzyskanie dostępu do aplikacji, a nie konkretną podatność (z nadanym CVE ID) w oprogramowaniu. Zdarzają się jednak przypadki, gdzie urządzenia mogą służyć cyberprzestępcom – nawet bez naszej wiedzy.
Botnet Mirai
Botnet Mirai został dobrze opisany przez CERT Polska. Tworzyły go urządzenia IoT widoczne z poziomu Internetu, które wykorzystywały BusyBox – pojedynczy plik zawierający wiele uniksowych narzędzi w kompaktowej wersji, który był powszechnie wykorzystywany ze względu na ograniczenia urządzeń IoT. Infekcja złośliwym oprogramowaniem odbywała się za pomocą telnetu (domyślnie na porcie 23), który obecnie uznaje się w wielu przypadkach za przestarzały i niebezpieczny, m.in. ze względu na brak szyfrowanej komunikacji.
Kod wykorzystywany przez botnet był upubliczniony. „Każdy, kto tylko chciał, mógł stworzyć własny wariant, modyfikując oryginał na najróżniejsze sposoby.” – stwierdził raport CERT Polska. Autor (używający pseudonimu Anna-senpai) stwierdził, że „kod jest obrzydliwy”. Botnet służył m.in. do ataków DDoS, m.in. na… serwery Minecrafta. Mirai wykorzystywał ponad 60 par fabrycznie zapisanych loginów i haseł.
Na Shodanie dostępne jest ok. ćwierć milona urządzeń wykorzystujących protokół telnet, lecz wiele z nich nie umożliwia połączenia lub służy jako tzw. honeypoty, czyli wyizolowane środowiska do analizowania metod cyberprzestępców.
Czytaj też
Analiza domyślnych haseł w IoT
Praca dyplomowa „Domyślne loginy i hasła w urządzeniach IoT” autorstwa Kima Quacha z Uniwersytetu w Skövde (Szwecja) poddała analizie wspomniane zagadnienie. Wykazano w niej, że ponad 10 proc. (20 z 197) przeanalizowanych urządzeń używało domyślnych danych logowania. Co jeszcze bardziej przerażające – ponad jedna trzecia (7 z 20) z nich nie pozwalała zmienić wbudowanego hasła.
Wyszukiwanie frazy „default password telnet port:23” zwraca 290 wyników.
Znajdowanie kamer
Niestety obraz z niektórych kamer zainstalowanych w domach jest dostępny z poziomu Internetu, bez żadnego uwierzytelniania. Fraza „port:554 has_screenshot:true” zwraca ponad 23 tys. wyników (stan na 12 grudnia) – każdy z nich zawiera zrzut ekranu, najczęściej z kamer wykorzystujących protokół RTSP. Poniżej znajdują się wybrane przykłady wspomnianych obrazów, uzyskanych również przez inne zapytanie.
Inne urządzenia i studium przypadku
Z poziomu Internetu można znaleźć również urządzenia służące do kontroli dostępu (np. drzwi) czy drukarki najprawdopodobniej niewymagające uwierzytelnienia do działania.
W 2015 roku badaczom udało się zatrzymać jadącego Jeepa na autostradzie, oczywiście za pomocą odpowiedniego exploitu. Pokazuje to dobrze, że rola bezpieczeństwa urządzeń IoT jest ważna.
Czytaj też
Jak się chronić?
Jako podstawy odpowiedniego zachowania z urządzeniami IoT należy wyróżnić dwa aspekty. Pierwszy z nich to odizolowanie takich urządzeń od swojej sieci domowej. Drugi to przeanalizowanie, czy dane urządzenia muszą mieć stały dostęp do Internetu - np. kamery chińskiej produkcji.
Konieczna jest również zmiana domyślnych haseł oraz instalowanie aktualizacji systemu bądź firmware’u. Warto również sobie odpowiedzieć na pytanie, czy naprawdę potrzebujemy niektórych urządzeń IoT, szczególnie takich, które zbierają dużą ilość danych.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Haertle: Każdego da się zhakować
Materiał sponsorowany