Nebezpečný internet věcí
Motto: „S internetem věcí se celý svět stává jedním velkým propojeným informačním systémem. A jediný slabý článek v bezpečnosti otevírá útočníkům prakticky neomezené možnosti, jak proniknout dovnitř.“ Volně podle „Internet of Things or Intenet of Threats?“, Radware, 2. 11. 2016
Nebezpečný internet věcí
V současné době je k internetu připojeno více strojů než lidí. Podle údajů společnosti Gartner bylo koncem roku 2016 v síti 6,4 miliardy zařízení a očekává se, že do roku 2020 jejich počet přesáhne 34 miliard. Na rozdíl od počítačů, tabletů a chytrých telefonů, které se už lidé pomalu učí chránit před útoky, mnohá z IoT zařízení dnes připojovaných k internetu nesplňují ani základní požadavky na IT bezpečnost.
Internet věcí
Poutavé označení internet věcí či IoT pocházející z anglického Internet of Things se v současných médiích objevuje zhusta. Ve skutečnosti se za ním ale skrývá to, co se v minulosti označovalo jako telemetrické a řídící systémy a systémy dálkového ovládání a sběru dat. Co je na IoT tak zajímavého? Především je třeba si uvědomit, že IoT zařízení, zpravidla navíc mobilní, připojená k internetu jsou ve většině případů vybavena určitým výpočetním výkonem a schopností komunikace, avšak mají povětšinou chabé nebo dokonce žádné zabezpečení. Z hlediska IT bezpečnosti jsou tak IoT sítě obrovskou časovanou bombou.
Všude kolem nás
IoT je všude. Neexistuje pravděpodobně žádná infrastruktura tzv. chytrého města, která by nebyla přímo či nepřímo založena na sběru dat prostřednictvím nějak propojených a někam připojených čidel, snímačů, sběračů, ovladačů, hlásičů, hlídačů, spínačů, detektorů, kamer či dalších „chytrých zařízení“. Úkolem řešení Smart City je, jak se dnes často a rádo říká, zlepšit kvalitu života lidí. A tak lze důvodně a oprávněně předpokládat, že jejich počet poroste raketovým tempem. To zdaleka není ale všechno. Digitalizují se domácnosti, digitalizují se domy, digitalizují se lidé. Kdejaký domácí spotřebič, televizí počínaje a pečící troubou, pračkou, varnou konvicí, bezpečnostní kamerou či dětskou chůvičkou konče, se dnes dá připojit k internetu a dálkově ovládat nebo aspoň sledovat. Předměty osobní potřeby, dopravní prostředky i celé domy se někdy i bez vědomí majitele připojují k internetu a mnohdy se přes něj dají i ovládat. V neposlední řadě k IoT patří i již zmíněné wearables, inteligentní oblečení, od chytrých hodinek až po digitální trička, které snímá a předává o člověku ty nejrozmanitější informace. O počtu kroků, které ušel, o tepu srdce nebo spotřebovaných kaloriích. Wearables analyzují tón hlasu, zjišťují emoční stavy nebo dokonce kontrolují hladiny hormonů. Budeme brzy mít GDPR, které bude pečlivě střežit naše osobní údaje. Ale kdo a jak střeží údaje třeba o použití inteligentního vibrátoru, o němž jsem tu už psal? O hormonech nemluvě. Vynechat samozřejmě není možné ani nejrůznější zařízení a sítě pro odečet parametrů, inteligentní elektroměry a plynoměry, prodejní automaty nebo bankomaty, zařízení pro přenos údajů o činnosti nejrozmanitějších systémů a průmyslových či jiných celků, jejich vzdálené ovládání nebo nastavování.
Útočníci i oběti
Mince bezpečnosti, či spíše nebezpečnosti, IoT má jako každá jiná dvě strany. Dnes už hojně rozšířeným a kybernetickými kriminálníky oblíbeným je zneužívání IoT zařízení i celých sítí k vytváření botnetů sloužících ke kybernetickým, zejména DDoS, útokům. Není celkem žádným tajemstvím, že dnešní botnety jsou už nejméně z jedné čtvrtiny tvořeny IoT zařízeními. IoT zařízení lze jednoduše napadnout, infikovat a zneužít. Je ale naopak velmi komplikované přimět jejich majitele nebo výrobce zjednat nápravu. No řekněte sami, kdo by si doma vlastními silami na pokyn výrobce aktualizoval toaster nebo dětskou chůvičku? A tak není divu, že v masívním DDoS útoku na U.S. College, který se odehrál v únoru letošního roku, patřilo videorekordérům od jediného výrobce 56 % všech IP adres, z nichž se útočilo. To je ale jen jedna strana mince. Ta druhá a možná mnohem horší je zatím, podotýkám zatím, v plenkách. Jde o zařízení a je jich nepřeberné množství, která lze po síti ovládat, a tudíž zneužít. Poměrně často citovaný případ s hacknutým automobilem je opravdu jen malou ukázkou široké palety kriminálních aktivit, k nimž IoT zařízení přímo vybízejí. Co brání útočníkovi zapnout všechny pečící trouby jednoho výrobce na maximum a pokusit se způsobit v tisícovkách domů po celém světě požár? A co kybernetickému vyděrači brání, kromě morálky, kterou u kriminálníků lze hledat jen stěží, vypnout nemocnému chytrý kardiostimulátor a pro jeho zapnutí požádat o výkupné? O útocích na nejrůznější průmyslové komplexy, plynovody, elektrické a další rozvody ani nemluvím. Je totiž jen otázkou času, kdy se takové zneužívání IoT stane z pohledu kybernetické kriminality dostatečně ekonomicky nebo politicky výhodným a … běžným.
Jak neskutečně jednoduché
Většina výrobců nejenom v honbě za snižováním nákladů na vývoj využívá ve svých výrobcích hardware i software nejrůznějších třetích stran. Pro výrobce spotřební elektroniky to platí dvojnásob. Stačí se podívat na vlastnosti a způsoby ovládání podobných výrobků od různých výrobců, včetně renomovaných značek. Stejný hardware, stejné čipy, stejný software, stejné menu, stejné schopnosti. Mnohdy se liší jen vnějším designem. Jejich producenti se nejspíš z lenosti či z neznalosti často ani nenamáhají změnit nebo upravit výrobcem nastavené bezpečnostní parametry. Ovládnout desetitisíce stejných nebo podobných zařízení je pak pro hackery hračkou.
Například botnet Mirai využívá při vyhledávání cílů skutečnost, že známý výrobce spotřební elektroniky používá v jisté skupině zařízení přístupové jméno „root“, tedy správce, heslo „xc3511“. Jméno a heslo jsou napevno zaprogramovány v zařízení a nelze je nijak změnit. Spolu s povolenými přístupy prostřednictvím Telnet a SSH, které výrobce rovněž nezakázal, jsou ideální a jednoduše průchozí branou pro vetřelce, kteří mohou zařízení ovládat na administrátorské úrovni, instalovat jakékoliv aplikace a vykonávat jeho prostřednictvím množství činností. Výrobci rovněž rádi a často používají hotové programy, které pouze přizpůsobí nebo konfigurují. Za všechny uveďme open source program s názvem BusyBox. V jediném velmi úsporně napsaném programu sdružuje BusyBox celou řadu užitečných unixových nástrojů. Díky nízkým výpočetním i paměťovým nárokům a schopnosti pracovat v POSIX prostředí řady operačních systémů, jako jsou Linux, FreeBSD nebo Android, je velmi oblíbeným a především bezplatným nástrojem pro správu zařízení s velmi omezenými prostředky. Nekorektní, nesprávné a z bezpečnostního hlediska nedomyšlené použití BusyBoxu však není žádnou výjimkou. Chyb typu implicitně povoleného rozhraní Telnet, které je navíc „napevno“ vestavěné do primárního zaváděcího skriptu, což je činí prakticky nezakázatelným, nebo možnost obejít přihlášení do zařízení přímým přístupem do pracovního adresáře, bývá i v zdánlivě bezpečných zařízeních více než dost. Bezpečnostní společnost Flashpoint například identifikovala v internetu více než 500 tisíc IP adres, které mohou podobné zranitelnosti obsahovat.
Mít ve své vlastní síti zařízení, které je součástí botnetu a účastní se občas DDoS útoků, je jedna věc. Ale mít v síti zařízení, které je schopno do ní dál pronikat, napadat a ovládat další zařízení a počítače, a nevědět o tom, je věc jiná, mnohem horší a nebezpečnější.
V příští části si povíme něco víc o IoT a botnetech.
Dag Jeger.
