Chceme mať pohodlnejší život a preto sa vystavujeme väčšiemu riziku, hovorí špecialista na digitálnu bezpečnosť

Žijeme v dobe inteligentných vecí. Dnes už nie sú „smart“ len telefóny a televízory, ale aj chladničky, žiarovky, či zubné kefky. Inteligentné zariadenia sa tešia mimoriadnej obľube, ľudia ich vedia ovládať na diaľku alebo si vďaka nim merajú spánok, športovú aktivitu, ale aj zdravotné parametre. Pri ich nákupe však len málokto myslí na riziká spojené s ich používaním. Práve o ich zabezpečení sme sa rozprávali s Ondrejom Kubovičom, špecialistom na digitálnu bezpečnosť spoločnosti ESET.

V rozhovore sa dozviete:

  • Čo je to internet vecí?
  • Ako ovplyvnili smart zariadenia digitálnu bezpečnosť?
  • V čom spočívajú ich najväčšie riziká?
  • Ako vedia smart zariadenia zneužiť útočníci?
  • Na čo by ste si mali dať pozor pri kúpe smart zariadenia?

Čoraz častejšie sa ľudia stretávajú so skratkou IoT.  O čo ide, čo táto skratka znamená?

V angličtine to znamená Internet of Things, čo sa u nás zvykne prekladať ako Internet vecí. Ide o všetky smart alebo teda múdre či inteligentné zariadenia, ktoré sú pripojené do veľkej globálnej siete. Preto ten názov.

Bežný užívateľ asi nevie, čo všetko je dnes pripojené na internet. Ktoré smart zariadenia by bežnému používateľovi asi nenapadli?

Každý si asi predstaví smartfón, chytré hodinky či smart televízie. Veľa zariadení, ktoré si však človek bežne kúpi v obchode prichádzajú aj s možnosťou pripojenia na internet. Napríklad chladničky, ale aj kefy na česanie vlasov, zubné kefky, či bežecké tenisky. Je veľa bizarných vecí, ktoré sa dnes pripájajú na internet. Veľa používateľov si však neuvedomuje najmä to, že jedným z kľúčových kúskov v takmer každej domácnosti je wifi router. Ľudia router jednoducho prinesú z obchodu, zapoja do elektriny a nič neriešia až kým sa nepokazí. Pritom je to jedno zo zariadení, ktoré spĺňa definíciu internetu vecí.

Každé zariadenie, ktoré sa pripojí na internet spadá pod IoT?

Smart zariadenie by malo spĺňať tri základné podmienky. V angličtine sú na to tri výrazy: connectivity, context-awarenessautonomous computing. V prvom rade musí vedieť zariadenie zbierať informácie o svojom okolí, napríklad do akej siete je pripojené, čo ďalšie je k nemu pripojené, čo ovláda, prípadne zbiera dáta o sieti. Tieto údaje tiež smart zariadenie musí vedieť spracovávať a robiť na základe nich rozhodnutia alebo aktivity. Prvé dve podmienky dnes spĺňa množstvo zariadení, pretože dnes je už takmer všetko malým počítačom. Konektivita je preto v zásade tou pridanou hodnotou, ktorá začala oddeľovať internet vecí.

Aké informácie môže zbierať kefa na vlasy?

To netuším. Keď som sa o tom dozvedel, tiež ma to prekvapilo. Asi, že som si 15-krát učesal pravú stranu vlasu a teraz musím 15-krát učesať aj ľavú stranu (smiech). Dnes dokonca existujú aj múdre matrace, ktoré vedia čo a kedy na nich človek robí a či to robí správne.

Musia byť tieto zariadenia priamo pripojiteľné na internet, alebo stačí, keď sa pripoja na mobil a ten už disponuje pripojením na internet?

Stačí aj sprostredkované spojenie. Keď si vezmeme domácnosť, tá tiež pristupuje k internetu cez router a len málokedy priamo. Potom ale existujú výnimky ako sú napríklad IP kamery. Tie sú často vystavené do internetu priamo, aby sa k nim človek vedel pripojiť aj keď nie je na domácej sieti a vtedy je na mieste otázka, ako to má používateľ zabezpečené.

Základná zraniteľnosť týchto zariadení je teda v tom, že sú prístupné z internetu?

Áno aj nie. Pripojenie na internet je jedným z dôvodov, ktoré robia tieto zariadenia zraniteľné. Už len samotný fakt, že ide o malé počítače znamená, že budú mať nejaký softvér alebo firmvér a ten môže byť spravený zle, obsahovať chyby. Príkladom môže byť slabé heslo pri prístupe k ovládaniu zariadenia. Pripojenie na internet je kanál k takejto zraniteľnosti, no nemôžeme povedať, že to je tá zraniteľnosť.

Vieme uviesť konkrétne prípady ako sa tieto zariadenia zneužili, aby si to vedeli ľudia lepšie predstaviť?

Veľmi viditeľné boli napríklad DDoS útoky, ktoré sa zamerali aj na DNS služby. To znamená že celé štáty, alebo dokonca kontinenty mali výpadky internetu. Bežné DDoS útoky vyzerajú tak, že zaplavia ľubovoľnú stránku toľkými prístupmi, že daná stránka hovorovo spadne, lebo to server nezvláda. Pri debate o IoT to útočníci dokázali posunúť o úroveň vyššie a podarilo sa im zhodiť celý internetový adresár. V zásade sa ľudia nevedeli pripojiť na internet, pretože adresár mení url adresu na konkrétnu IP adresu, ale keďže bol adresár nedostupný, toto sa nedialo. Takýto stav spôsobil problémy celým štátom, dokonca kontinentom.

Akú úlohu v tom zohrali IoT zariadenia?

Útočníkom sa vtedy podarilo vďaka malvéru Mirai pozbierať obrovský botnet práve z IoT zariadení. Botnet je sieť zombie zariadení, ktoré útočníci kompromitovali a získali nad nimi kontrolu. V tomto prípade išlo o kamery, vstupné brány či baby monitory, ktoré mali veľmi slabé zabezpečenie. Útočníci tak vedeli povedať týmto zariadeniam: „pripoj sa na túto stránku a budeš sa na ňu pripájať, pokiaľ ti to pôjde.“ Tým pádom generovali návštevnosť, ktorá bola taká vysoká, že to stránka alebo server nezvládol. V prípade, o ktorom hovorím, išlo o státisíce zariadení, ktoré používali veľmi slabé prihlasovacie meno a heslo typu admin, admin. Tie im nastavili ešte vo výrobe s tým, že si to noví majitelia zmenia. Zákazníci to však nikdy neurobili a tak routre používali tieto slabé heslá.

Zaujímave rozhovory priamo do vašej schránky. Prihláste sa na odber nášho newslettra.

Útočníci si teda pripravili armádu wifi routrov, ktorým prikázali naraz vyvolávať pripojenia a padla sieť?

Veľmi zjednodušene, áno. Zaútočili na časť infraštruktúry internetu a tým ho znefunkčnili pre veľké časti USA. Ľudia na celom svete napríklad vnímali to, že im nefungoval Facebook.

Prečo to útočníci robili?

V tom čase asi preto, že sa to dalo urobiť. Zisťovali potenciál svojho škodlivého kódu a skúšali, čo tým vedia dosiahnuť. Zistili, že vedia zhodiť kritickú infraštruktúru dôležitú pre veľkú časť internetu.

Bežný človek si môže povedať, že mu len 2 hodiny nešiel Facebook, ale inak sa ich to netýka. Prečo by sa mal o niečo takéto zaujímať?

Je pravda, že išlo len o chvíľkový výpadok, ale to len preto, lebo v daných firmách pracuje veľa šikovných ľudí, ktorí sú schopní takúto situáciu vyriešiť. Ak by však bolo takýchto útokov veľa, je možné, že by dokázali odstrihnúť internet na niekoľko dní. Dnes je pomerne ťažké predstaviť si svet bez internetu. Potrebujeme ho na prácu, zábavu, komunikáciu, takmer na všetko, čo robíme.

Toto bol útok na infraštruktúru. Je tam aj hrozba na osobnej úrovni? Dajú sa cez IoT cieliť aj jednotlivé osoby? Napríklad, že mi útočníci vybielia účet.

Ak si zoberieme iba ten router, tak to je vstupná brána do domácej siete, na ktorú si ľudia pripájajú počítače, mobily, tablety a ďalšie chytré zariadenia. Ak útočníci získajú úplnú kontrolu nad routrom, vedia používateľov presmerovať na škodlivé stránky namiesto tých, ktoré si obete zadajú do prehliadačov. Taktiež by vedeli sledovať pohyb po internete, prípadne ich donútiť stiahnuť niečo škodlivé.

Ak majú útočníci prístup do siete, môžu teoreticky získať aj prístup k centrálnej jednotke, teda napríklad k Amazon Alexa, ktorá kontroluje viaceré veci v domácnosti. Ak by sa jej dokázali zmocniť, môžu v princípe ovládať celý dom, napríklad nastaviť teplotu, zapínať a zhasínať svetlá, hudbu, prepínať kanály na TV a podobne. Je to samozrejme extrémny príklad, ale v princípe je to reálne.

Toto je útok cez router. Dá sa zaútočiť aj cez iné zariadenia, ktoré človek bežne používa? Cez inteligentné hodinky asi nebudem vedieť prepínať kanály na TV, alebo sa mýlim?

To závisí od okolností. Hodinky samotné asi na internet väčšinou nechodia, sú spárované s mobilom. Veľa inteligentných hodiniek je tiež pripojených na cloud, čo sa dá tiež zneužiť, pretože tam je množstvo dát. Hodinky zbierajú veľa dát, napríklad aj zdravotné informácie, lokality kde sa pohybujem, čo sú tiež zaujímavé informácie.

Pekný príklad bol prípad Strava. Ide o populárnu aplikáciu na zaznamenávanie cvičení, ktorá  zverejnila anonymné mapy obľúbených trás svojich užívateľov, na ktorých radi behajú alebo bicyklujú. Túto aplikáciu však používajú aj vojaci, ktorí pravidelne športujú v okolí svojich táborov a tým nepriamo vyzradili aj polohy utajených základní na celom svete. Bola z toho veľká kauza. Stačilo 15 vojakov na základni, ktorí každý deň nabehali 20 km okolo základne a čiara na mape bola úplne vysvietená. Človek znalý pomerov si tak ľahko dokáže identifikovať relevantné miesta na mape, kde sa dajú predpokladať utajované základne.

Vyplýva z toho, že smart zariadenia sú pre útočníkov najmä ľahkou cestou k ďalším zariadeniam, napríklad do mobilu, počítača, alebo do domácej siete?

Áno, je na to aj veľmi pekný príklad. Útočníci objavili zraniteľnosť v teplomere pre akváriá, ktoré bolo samozrejme smart a pripojené do lokálnej siete a na internet. Cez tento teplomer dokázali hacknúť kasíno. Naozaj sa im podarilo dostať sa do systémov kasína cez teplomer v akváriu. Samozrejme nie každé smart zariadenie automaticky znamená pohromu, ilustruje to však aktuálny situáciu. IoT zariadenia predstavujú riziko, je to taká otvorená cesta pre útočníkov.

„Už dnes sú tu snahy ako ochrániť internet vecí. Nikdy to však nebude 100-percentné, tak ako to nie je 100-percentné ani dnes.“

Ako môže niekomu vôbec napadnúť hacknúť kasíno cez teplomer v akváriu?

Ak sa útočník dostane napríklad na router alebo do siete, dokáže pozbierať informácie o zariadeniach v tejto sieti. Stačí, aby niektoré z tých zariadení malo verejne známu zraniteľnosť, ktorá nie je opravená, alebo si majiteľ jednoducho nenainštaloval tzv. záplatu. Útočník si teda len pozrie zoznam zariadení v sieti a spojí si ho zo známymi zraniteľnosťami. V lokálnej sieti sa často nevyžadujú heslá, takže ak som sa dostal do teplomera, z neho sa pripojím na niečo ďalšie a takto postupujem ďalej.

V doterajšej debate sme sa vyhli hackovaniu áut. Populárne boli napríklad YouTube videá na túto tému. Ide skôr o výstrelky, alebo je to reálna hrozba pre ľudí?

Pripojenie áut na internet je zatiaľ minoritná vec, takže ide z môjho pohľadu skôr o výstrelok. Je to ukážka šikovnosti a schopnosti tých ľudí, ktorí to skúšajú. Stojí to však veľa práce, väčšinou majú títo hackeri prístup k autu a veľa času na zisťovanie, ako to spraviť. Dnes to teda nie je efektívny spôsob útoku a preto ho takmer vždy robia etickí hackeri. Teda odborníci, ktorí sa snažia upozorniť na nedostatky systémov, pričom ich nezneužijú. Otázka pre skutočných hackerov vždy znie, čo dostanú za vynaloženú námahu? Dnes to pre nich z tohto pohľadu ešte nie je také zaujímavé. Ak však počet takýchto áut bude pribúdať, v budúcnosti tu vznikne pre útočníkov nový priestor .

Útoky, ktoré si popísal, sa odlišujú od najčastejších spôsobov infikovania počítača či telefónu. V prípade IoT nejde napríklad o spam či phishing, ale skôr o chyby vo firmvéri, zraniteľnosti a podobne. Je to tak, alebo sa mýlim?

Je to naozaj tak. Útoky na IoT zariadenia idú väčšinou cez slabé heslá, ktoré sú obyčajne prednastavené z výroby, alebo cez verejne známe zraniteľnosti. Nie je to teda o tom, že klikám na spam alebo si stiahnem zlú aplikáciu. Väčšinou ide skôr o prepojiteľnosť na internet a slabinách týchto zariadení, ktoré sú prehliadané používateľmi.

Nie je to nebezpečnejšie? Na počítači alebo smartfóne si väčšinou infikovanie vyžaduje aktivitu používateľa, ale pri tomto type útoku nemusí používateľ urobiť žiadnu chybu.

Asi áno. Toto sa však dialo napríklad aj na Windowsoch v minulosti, kedy si ľudia naozaj neaktualizovali softvér. Aj to sa postupne zmenilo, ako sa posilnila znalosť ľudí v tejto oblasti. Vidieť to pomaly aj pri IoT zariadeniach. Pred desiatimi rokmi ľudí router nezaujímal, bolo dôležité sa len pripojiť na internet a výrobcovia podľa toho pristupovali aj k ich konfigurácii. Dnes však používa väčšina renomovaných výrobcov unikátne prístupové heslá. A prístup k IoT zariadeniam sa postupne mení aj zo strany používateľov. Tí si môžu napríklad zvoliť automatickú aktualizáciu routeru a tým pádom majú záplaty minimálne na najbližšie roky vybavené.

Znamená väčší počet IoT zariadení aj väčšie riziko pre používateľov a ich domácnosti?

Pre útočníkov je to nový priestor na útok, čiže v tomto zmysle áno. Vystavili sme nové veci v našich domácnostiach potenciálnym útokom. Myslím si, že najhoršia je práve nevedomosť ľudí, že tak vôbec robia. Chceme mať pohodlnejší život. Napríklad niekto pripojí robotický vysávač na internet, aby ho vedel spustiť z práce a keď príde domov, bude povysávané. Tým sa vystavuje väčšiemu riziku, čo si veľa ľudí buď neuvedomuje, alebo to nerieši.

Smart zariadenia pribúdajú prudkým tempom, znamená to teda, že sa internet kvôli tomu zmení a s ním sa zmení aj kybernetická bezpečnosť?

Internet sa určite zmení. Už teraz sa to deje, pretože počet zariadení pripojených na internet šialene rastie. Veľa z nich je lacných a nekvalitných, pričom nemajú dobre ošetrenú bezpečnosť, takže pribudnú nové typy hrozieb.

Dnes to teda ešte nie je úplná pohroma, ale máme k tomu namierené?

Až tak tragicky by som to nevidel. Ako rastie dopyt po nejakých zariadeniach, postupne začne rásť aj dôraz ľudí na ich bezpečnosť. Premietne sa to aj do samotných zariadení, ktoré prídu už z výroby bezpečnejšie. Taktiež to začne byť zaujímavé z pohľadu vytvorenia bezpečnostných riešení. S rastúcim dopytom po týchto zariadeniach teda prídu aj spôsoby a riešenia na ich lepšie zabezpečenie. Už dnes sú tu snahy ako ochrániť internet vecí. Nikdy to však nebude 100-percentné, tak ako to nie je 100-percentné ani dnes. Nemyslím si však, že by nám hrozila globálna pohroma.