TL;DR Kupiłeś nowe urządzenie? Podłączyłeś? Działa! A hasło zmieniłeś? Nie? To ktoś je zmieni za ciebie. Albo przynajmniej użyje tego urządzenia niekoniecznie w taki sposób, w jaki byś chciał.

Gutek zdradził mi potworną tajemnicę. LUDZIE NIE ZMIENIAJĄ DOMYŚLNYCH USTAWIEŃ HASŁA! Napisał, żeby się nią nie dzielić – ech ten Growth hacking.

Chwilę siedziałem cicho – w końcu prosił. Po głowie chodziło, żeby temat chociaż trochę pociągnąć. Nie wytrzymałem.

W czym tkwi problem?

Mamy rok 2016. Niektóre mądre organizacje (Gartner), zajmujące się wróżeniem z fusów przewidywaniem różnych trendów, przewidują, że do końca roku będziemy mieli w sieci ponad 6 MILIARDÓW urządzeń określanych mianem IoT.

Uwaga! Jeszcze raz i powoli:  6 MILIARDÓW podpiętych do sieci urządzeń.

Z tych 6 miliardów jakaś część może trafić do waszych domów. Macie podpięty do sieci router, za tym routerem inteligentny telewizor, lodówkę, kamerę do monitorowania domu, czujnik temperatury, jakości powietrza, odkurzacz, który sprawdza czy ma nowy software, Teslę w garażu (w komentarzach – kto ma Teslę?).

I nie chodzi tylko o zabawki dla dorosłych – do tej samej kategorii zaliczają się “inteligentne” misie, lalki Barbie, “komputerki” i inne gadżety kupowane dla dzieci.

IoT to szerokie pojęcie, jedno z naszych nowych buzz words. Czasem można się zdziwić, co obejmuje (polecam śledzić różnego rodzaju connected urządzenia ogłaszane przy okazji różnych targów). W ogólności: chodzi
o wszelkie urządzenia podpięte do sieci w rozmaitych celach (pobierania danych, raportowania ich, mierzenia naszego otoczenia, nas samych, słuchania naszych poleceń).
Przy okazji – ciekawe, kiedy powstaną pierwsze strefy IoT free?

Niedługo może się okazać, że komar, który uparcie brzęczy koło ucha, to tak naprawdę nie uciążliwy insekt, ale mały dron, który akurat przelatywał niedaleko, monitorując naszą okolicę.

Super.

W czym problem?

Wszelkiego typu podpięte do sieci urządzenia mnożą się obecnie, jak grzyby po deszczu. Albo i szybciej. W zasadzie każdy chce wyprodukować zabawkę podpiętą do sieci. Dlaczego by nie? W ten sposób można ją uczynić atrakcyjniejszą. Albo mądrzejszą.

IoT to nie tylko inteligentne zabawki dla dzieci czy wagi. To też urządzenia, które mają bezpośredni wpływ na nasze otoczenie. Myślę tutaj o fizycznym otoczeniu – zamek w drzwiach, ogrzewanie, sterowanie wodą, przepływem energii. Dotyczy to pojedynczych mieszkań, budynków, ale też całych miast czy infrastruktury energetycznej kraju.

Jedyny problem polega na tym, że w zasadzie nie mamy jeszcze dobrego pomysłu na to, jak to wszystko zabezpieczyć. A im bardziej będziemy polegać na tego typu urządzeniach, tym problem będzie stawał się większy. Będzie dotyczył zarówno naszej prywatności, jak i wprost – bezpieczeństwa tych urządzeń i podpiętych do nich systemów.

Kiedy ktoś może przejąć urządzenie, mające wpływ na nasze otoczenie, nagle okazuje się, że nasza przestrzeń może zostać “zhackowana” (ooo, jak ja nie lubię tego słowa). Zablokowanie dostępu do domu – damy radę to przeżyć. Wyłączenie ogrzewania – OK. Ale co, gdy tym urządzeniem jest coś, co odpowiada za zdrowie ludzi w szpitalu?

Warto przeczytać  artykuł Bruce Schneiera opublikowany jakiś czas temu na Motherboard.

Podpięte == hackable

Podpinając do sieci jakiekolwiek urządzenie, stwarzamy możliwość przejęcia tegoż. Nie popadajmy jednak
w paranoję – nie odetniemy się od sieci, nie przestaniemy podłączać urządzeń jeszcze bardziej z nią zintegrowanych.

Musimy mieć jednak świadomość, że każde urządzenie, które udostępnia nam jakąś funkcjonalność albo jest “smart” – jest również potencjalnie podatne na przejęcie.

Ale przecież produkują je firmy, które się na tym znają? W końcu tyle się mówi o bezpieczeństwie. 

Część zapewne ma nawet działy, które się tym zajmują i starają się ten problem rozwiązać.

Z drugiej strony (to tylko moje obserwacje, nie mam doświadczenia z firmami, które produkują tego typu urządzenia) – producenci spotykają się z wymaganiem prostoty obsługi urządzenia. To stąd biorą się domyślne ustawienia, które niekoniecznie są najbardziej poprawne z punktu widzenia bezpieczeństwa.

A domyślny login i hasło wspaniale ułatwiają tworzenie wszelkich instrukcji użytkownika i masową produkcję obrazów oprogramowania dla tych urządzeń. Ma być łatwo, prosto i szybko. A że może nie do końca bezpieczenie… Kto by się tam przejmował? To w końcu tylko router.

Są też firmy, które nie zajmują się projektowaniem urządzeń, a tworzą je w oparciu o gotowe platformy przygotowane przez inne firmy. W takim wypadku, gdy platforma jest dziurawa, wszystkie urządzenia oparte o nią – też mają dziury.

A wszelkiego tego typu urządzenia raz wrzucone na półki sklepowe, prawdopodobnie nigdy nie doczekają się uaktualnień. Umówmy się – procedura uaktualnienia urządzenia dla większości zwykłych użytkowników jest skomplikowana. Z punktu widzenia producenta jest to problem, który urządzenie może zmienić w zwykłą elektroniczną cegłę.

Tak oto w naszych domach pojawia się coraz więcej urządzeń, które są smart. A oprócz tego, że są smart, są też przeważnie nieaktualizowane i niezabezpieczone.

A jak mówi Mikko Hypponen (którego polecam śledzić, jeżeli ktoś się interesuje tematem, albo przynajmniej obejrzeć jego prezentacje od czasu do czasu):

 

 

 

Tak będzie wyglądała nowa wojna

Żeby było jasne – to “exploitable” jest i będzie wykorzystywane.  I to nie tylko przez “hakerów”, ale również przez “siły rządowe”. W 2014 roku na konferencji Advanced Threat Summit, miałem okazję posłuchać prezentacji “Ukraińska cyberwojna – raport z pola walki – case study” Gliba Pakharenki z Ukrainy.

Prezentacja przedstawiała, jak wyglądał “kryzys” na Ukrainie od strony działań strony rosyjskiej i obrony przed nimi ze strony rządu i społeczności ukraińskiej.

Jednym z elementów działań strony rosyjskiej, jakie przedstawiał Glib, było przejmowanie “Smart TV” przez anonimowych agresorów i zmiana ich konfiguracji w taki sposób, aby wyświetlały tylko jeden kanał. Ten właściwy.

I tak będzie się to odbywało. Czy to przy okazji konfliktów między państwami, czy też w przypadku, gdy jakaś grupa będzie potrzebowała zasobów naszych urządzeń. Po to, aby wprowadzić chaos w naszym życiu czy też osiągać korzyści (moc obliczeniową tych urządzeń też się da wykorzystać, dodatkowo też to my wtedy płacimy za pasmo).

Smart … toys

Hackowane są urządzenia z Bluetoothem, takie jak zamki do drzwi, czy termostaty – kto z nas nie zapłaciłby w środku zimy okupu, aby odzyskać ogrzewanie we własnym domu?

Jednym z bardziej przerażających scenariuszy jest możliwość przejęcia naszego samochodu w czasie jazdy. W szczególności, gdy wyobraźnię rozgrzewają przykłady takie, jak opisywane w Wired przejęcie Jeepa w trakcie jazdy (i jego kontynuacja).  Lub też całkiem świeży przykład dotyczący Tesli (która w zasadzie jest komputerem, a może i laptopem – bo na baterie, na kółkach).

Nie znaczy to, że powinniśmy porzucić nasze auta i przesiąść się na rowery (chociaż to podobno zdrowe). To jednak pokazuje, jaki jest trend.

Urządzenia stają się bardziej smart, mają coraz więcej komputerów i oprogramowania. Firmy, które je produkują, nie zawsze są specjalistami w zakresie produkcji tego oprogramowania i jego bezpieczeństwa. Taki mały przepis na katastrofę.

Uważaj nie tylko na hasła – dane!

Zanim jednak przejmowanie naszych samochodów stanie się faktem, większym zagrożeniem w codziennym życiu jest to, co może nam grozić ze strony całkiem niewinnych zabawek.

Weźmy na ten przykład podłączoną do sieci lalkę Barbie, która może zostać przejęta zdalnie i służyć do śledzenia tego, co się dzieje w naszym domu. A przy okazji, nawet gdy nikt jej nie przejmuje, to kwestia czy nie narusza ona naszej prywatności, jest mocno dyskusyjna.

Gdy jesteśmy przy zabawkach, temat staje się trochę bardziej wrażliwy. W końcu chodzi o nasze dzieciaki.
A zabawek, które łączą się do sieci przybywa. Niestety, jak się okazuje, nieszczególnie chronią one dane, które zbierają lub są wymagane do uruchomienia ich “mądrych” funkcjonalności.

Jakiś czas temu Troy Hunt opisał problem z zabawkami firmy VTech, a raczej jej stroną, która gromadziła dane o użytkownikach zabawek. Nieroztropność firmy spowodowała ujawnienie danych dzieci w sieci (swoją drogą jej reakcja była też słaba).

Czy naprawdę potrzebujemy tego typu zabawek?

Podobne zagrożenie może stanowić dla nas nowa kamera internetowa, dzięki której chcemy kontrolować podczas nieobecności nasz dom, czy inne urządzenia określane jako “smart”, IoT czy “connected”. To, co jest podpięte do sieci, może być dostępne nie tylko dla nas.

Jeżeli już mamy takie cuda techniki – zastanówmy się, co możemy zrobić, żeby je zabezpieczyć. Podpięcie ich do sieci tak po prostu, spowoduje, że wystawiamy się na ryzyko.

Puenta

Jak to często bywa, puentę do tego tekstu napisało życie. W trakcie, gdy tworzyłem ten wpis, na blogu Krebs On Security (Brian Krebs to taki internetowy dziennikarz śledczy specjalizujący się w sprawach bezpieczeństwa), pojawiła się informacja, że niedawny atak DDoS, jaki miał miejsce na ten blog, spowodowany został przez bota pracującego w oparciu o tego typu urządzenia – IoT czy routery w sieci.

Dla tych, którzy nie są zorientowani w kwestiach  bezpieczeństwa – atak DDoS to działanie, w którym na adres usługi wysyłane jest równocześnie bardzo dużo żądań z wielu różnych adresów w sieci. Skala tego ataku liczona jest w wielkości ruchu sieciowego, jaki jest on w stanie wygenerować.

Mamy usługi, które potrafią przed takimi atakami chronić, ale jak każdy mechanizm ochronny, także i te mają swoje ograniczenia. W przypadku DDoS trwa cały czas wyścig między tymi, którzy generują ataki i ich możliwościami “ofensywnymi” a tymi, którzy świadczą usługi obrony i ich możliwościami “defensywnymi”

Doniesienia o podobnych atakach, można przeczytać też na innych blogach:

(…)

In this case, attackers were making use of multiple botnets. They either rent or trade with other attackers distributed across 47,071 + IP addresses. By fingerprinting the IPs, we were able to profile 3 different botnets:

 

IoT CCTV Botnet (same as previously disclosed)

IoT Home Routers Botnet (new)

Compromised web servers coming from data centers (very common)

(…)

 

Przy okazji możecie tam też przeczytać, jakich urządzeń w tego typu botnetach wykryto najwięcej (Huawei).

Podstawowy problem w tym wypadku jest następujący – “atakujący” nie płacą za ruch, który generują. Korzystają z urządzeń i pasma innych użytkowników sieci. “Broniący” muszą inwestować w pasmo, infrastrukturę i jej utrzymanie. Jak łatwo sobie wyobrazić, jest to raczej nierówna walka.

Niespodziewanie w sieci opublikowany został kod źródłowy botneta, który został użyty do ataku na blog Krebs On Security i, jak można przypuszczać, inne. Jak każdy może przeczytać w jego kodzie źródłowym na GitHub, botnet ten wykorzystuje standardowe nazwy użytkowników i hasła do tego, aby przejmować urządzenia i “wprzęgać” je w swoje działania.

mimrai

Dużo więcej nie trzeba. Każde urządzenie wpięte do sieci i pozostawione w domyślnej konfiguracji stanowi gotowe “mięso armatnie”.

Co z tym zrobić?

I z tym cały jest ambaras. Dlaczego? Dlatego, że nie ma dobrego rozwiązania systemowego. Producenci sprzętu nie utrudnią dostępu do swoich urządzeń i nie wyłożą dodatkowych pieniędzy tylko po to, żeby ograniczyć skalę tego problemu. Dlaczego – to działa i nie powoduje strat. Przynajmniej dla nich.

Wymuszenie zmiany hasła na użytkownikach nowych urządzeń spowodowałoby zapewne, że procent urządzeń zgłaszanych do serwisu wzrósł by lawinowo.  Status quo zostaje zachowany, ponieważ producenci nie czują presji, aby coś z tym zrobić.

To, co możemy zrobić sami:

  • Przed zakupem, w szczególności urządzeń typu zabawki, kamery internetowe itp., sprawdzić w sieci, czy nie opisano jakichś problemów związanych z ich bezpieczeństwem i prywatnością. Warto też sprawdzić, jaka jest historia danego producenta, jeżeli chodzi o uaktualnienia dla oprogramowania i rozwiązywanie błędów związanych z bezpieczeństwem.
  • Zawsze zmienić standardowe hasło, które producent ustawia w fabrycznym urządzeniu.
  • Po instalacji urządzenia, i okresowo w trakcie jego użytkowania, możemy sprawdzić, czy są dostępne uaktualnienia oprogramowania i je zainstalować.

Wersja dla zaawansowanych

Dla bardziej zaawansowanych użytkowników, przynajmniej w przypadku urządzeń sieciowych typu router itp. istnieje jeszcze jedno rozwiązanie. Można zastąpić standardowe oprogramowanie jednym z dostępnych rozwiązań alternatywnych.

W zależności od modelu routera dostępne jest różne oprogramowanie, ale dobrym punktem startu jest DD-WRT albo Open-WRT. Warto sprawdzić listę wspieranego sprzętu na ich stronach zanim dokonamy zakupu.

Tutaj jednak warto wiedzieć, co się robi, więc jeżeli nie czujecie się na siłach, poproście o pomoc kogoś znajomego, kto ma trochę więcej doświadczenia (ustalmy, to nie wykracza poza zakres umiejętności człowieka, który ma pojęcie o komputerach i sieci).

Na koniec trochę gdybania

Nie mam żadnych badań czy artykułów na poparcie mojej tezy, ale według mnie w niedalekiej przyszłości rynek związany z zabezpieczeniem sieci domowych, ich czyszczeniem z niechcianych elementów oprogramowania i utrzymaniem – będzie dosyć szeroki. W szczególności gdy IoTów zacznie przybywać.

W końcu nikt z nas nie wyrzuci z domu lodówki tylko dlatego, że zacznie nagle na głos wykrzykiwać zamówienia, które ochoczo będzie realizował stojący nieopodal asystent od Amazona.

internet-of-shit
W tej chwili problemem jest brak standaryzacji w tym zakresie i kompleksowych rozwiązań od strony technicznej. Ale one też się nadejdą. Lub też pojawią się takie rozwiązania, jak F-Secure Sense (nie jest to polecenie czy kryptoreklama, od jakiegoś czasu akurat to rozwiązanie śledzę 🙂 ) .

Jako fan cyberpunk i czytelnik sci-fi od dłuższego czasu i w dużych ilościach, nie mogę powstrzymać się też od gdybania.

W tym temacie gdybam od jakiegoś czasu, że w przyszłości będziemy decydowali pod czyim wpływem w sieci chcemy być. Czy to rządu, czy też jednej z korporacji / organizacji. A one będą nam się odwdzięczały ochroną na różnym poziomie – chociażby na poziomie ochrony naszych urządzeń, danych itp. … A może wcale tak nie będzie?

Jak myślicie?

 

Zdjęcie główne: moleitau via Visual hunt CC BY-NC-SA

About Author

8 Comments

    • Tomasz Onyszko on

      Spokojnie poczekaj, ktoś wymyśli jak to podpiąć do sieci. To tylko kwestia czasu 🙂

  1. Ostrożnie z tym OpenWRT. Zwłaszcza w kontekście radzenia by się tym zajęli znajomi… Bo nawet jak się samodzielnie uaktualniają to ileś roboty administracyjnej z tym jest. A mało kogo stać by za darmo dla znajomych budować cały mechanizm aktualizacji i kontroli.

    • Tomasz Onyszko on

      I to prawda. Całkowicie bezobsługowe to nie jest i też wymaga chwili na skonfigurowanie. Większość ludzo zostaje na standardowym sofcie – głównie dlatego, że to jest plug&play. I pewnie do nich z tą wiadomością będzie i tak ciężko dotrzeć. A przynajmniej mi. No ale warto próbować 🙂

  2. Była o tym ciekawa prelekcja na DevDayu (speakera Nialla Merrigana). Pokazywał tam systemy z fabryczymi hasłami, do których udało mu się dostać dzięki Shodanowi i znalazło się tam nie tylko zarządzanie ogrzewaniem domu, ale też np. kontrola fabryki czy tartaku. Troche przerażające… Nawet jak sobie na insecam poszukasz Polski, to można znaleźć kilka ciekawych niezabezpieczonych kamerek (w czyimś domu, sklepie mięsnym czy na basenie) – creepy.

    • Tomasz Onyszko on

      Ooo… i prosze kto mnie czytuje 🙂

      Tiaaa … systemy przemysłowe to oddzielna klasa problemu. Separacja sieci nie wszędzie istnieje i czasami można znaleźć dostęp do różnych ciekawych urządzeń. Dzięki za informację, spróbuję obejrzeć prezentację z DevDay.

      • Czytuję 🙂 Postanowiłam się ujawnić, bo właśnie ostatnio przegladałam te niezabezpieczone kamerki z Krakowa czy Warszawy i przypomniały mi się, gdy czytałam Twój wpis.

        A prezentacje z DevDaya polecam – sama trafiłam tam na kilka naprawdę świetnych 🙂

Leave A Reply

Share This

Share This

Share this post with your friends!