#CyberMagazyn: Czy urządzenia IoT oddadzą hakerom kontrolę nad światem?

16 października 2021, 08:13
iot12
Fot. Andres Urena/Unsplash
CyberDefence24
CyberDefence24

Internet Rzeczy staje się dla świata codziennością, a wraz z jego rozwojem rośnie skala zagrożeń związanych z tym segmentem. Eksperci zaznaczają, że dla cyberprzestępców IoT jest coraz bardziej atrakcyjnym celem, a poziom zabezpieczeń urządzeń i platform w tym obszarze w wielu przypadkach zaledwie raczkuje. Są jednak sposoby na skuteczną ochronę.

Technologia Internetu Rzeczy (IoT) została po raz pierwszy opracowana i przedstawiona w 1999 roku przez Kevina Ashtona. Urządzenia IoT to sprzęt podłączony do sieci, a komunikacja pomiędzy poszczególnymi elementami systemu odbywa się za pośrednictwem odpowiednich sensorów.

Głównym mechanizmem funkcjonowania IoT jest przetwarzanie, gromadzenie i przesyłanie danych, dzięki temu możliwe jest budowanie „inteligentnych” rozwiązań zarówno dla użytkowników domowych, jak i dla całej gospodarki.

IoT zdobywa świat

Za początek skutecznego wdrożenia IoT uważa się lata 2008 – 2009, od tamtej pory Internet Rzeczy krok po kroku zdobywa świat. Według prognoz w 2025 roku globalnie będzie funkcjonowało trzy razy więcej urządzeń IoT niż obecnie. Wtedy na rynku znajdzie się ponad 74 mld elementów tej technologii.

Specjaliści z Fundacji Bezpieczna Cyberprzestrzeń oceniają, że równocześnie będzie można zauważyć ogromny przełom i to, jak znaczny wpływ IoT będzie miał na nasze codzienne funkcjonowanie również pod względem cyberbezpieczeństwa.

Wynika z tego, że nie tylko wzrośnie liczba samych urządzeń, ale w konsekwencji również liczba cyberzagrożeń. W systemach IoT tkwi bowiem wiele rozmaitych podatności, które coraz częściej stają się celem ataków.

Sprzężenie zwrotne

W rozmowach z CyberDefence24.pl eksperci wyjaśniają podstawowe obszary zagrożeń dla Internetu Rzeczy, ich ewolucję i sposoby ochrony tego segmentu. Piotr Zielaskiewicz, product manager Stormshield zwraca uwagę na zagrożenia ekosystemów IoT w segmencie korporacyjnym.

„Największym zagrożeniem jest skala działalności cyberprzestępców oraz niewystarczająca świadomość, że właściwie każdy jest na nią narażony” – podkreśla Piotr Zielaskiewicz. - „Nie ma znaczenia wielkość przedsiębiorstwa czy branża w jakiej funkcjonuje, choć oczywiście pewne sektory są narażone w sposób szczególny. Z tego względu, w erze tak zwanego przemysłu 4.0, nie możemy pozwolić sobie na jakąkolwiek słabość czy najdrobniejszą pomyłkę. Cyberataki na infrastrukturę krytyczną – OT – mają za zadanie zdestabilizowanie działania procesów przemysłowych w naszej firmie. Co więcej skuteczne włamanie do sieci OT daje cyberprzestępcy pełny dostęp do danego procesu – to tak jakby stał się pełnoprawnym operatorem danej sieci, co może przynieść poważne straty finansowe. Niestety na tym może się nie skończyć, bowiem mogą one zagrażać w bezpośredni sposób zdrowiu oraz bezpieczeństwu ludzi i środowiska”.

Ekspert zaznacza, że cyberprzestępcy coraz częściej swoją uwagę kierują w stronę infrastruktury OT, obierając ją jako swoją potencjalną ofiarę.

„Możemy zauważyć, że ataki są coraz bardziej zuchwałe” – wyjaśnia Zielaskiewicz. - „Jako przykład warto przytoczyć incydent z 19 marca 2019 roku, kiedy to firma Norsk Hydro ogłosiła, że po cyberataku przeszła w >>ręczny tryb<< funkcjonowania, tymczasowo wstrzymując produkcję aluminium w kilku swoich zakładach. To pokazuje jak wiele można stracić nie mając odpowiedniego zabezpieczenia infrastruktury OT”.

Zdaniem naszego rozmówcy, trudno przewidzieć jak będzie wyglądała ewolucja ataków w przyszłości, na co wpływ ma swoiste sprzężenie zwrotne. Pojawienie się nowego systemu bezpieczeństwa automatycznie uruchamia po stronie agresorów poszukiwanie nowych technik i metod ataków. To z kolei spotyka się z natychmiastową reakcją producentów, którzy wprowadzają coraz to nowsze zmiany i ulepszenia. Każda akcja powoduje reakcję drugiej strony i koło się zamyka.

AI celuje w Internet Rzeczy

Piotr Kępski z Fundacji Bezpieczna Cyberprzestrzeń w rozmowie z nami podkreśla rosnącą skalę cyberataków w segmencie IoT i coraz bardziej wyrafinowane metody ich prowadzenia.

„W dobie transformacji cyfrowej Internet Rzeczy stał się niezwykle popularny – każdy z nas dąży przecież do wdrożenia rozwiązań ułatwiających codzienną egzystencję” – zauważa Piotr Kępski. - „Urządzenia IoT wykorzystywane są wszędzie - od wykrywania temperatury i ciśnienia, poprzez realizowanie monitoringu, po urządzenia zrobotyzowane, które poprawiają wydajność linii montażowej. Niestety to co wygodne nie zawsze znaczy bezpieczne - w miarę jak urządzenia i technologia stają się coraz bardziej dostępne, np. z dowolnego miejsca poprzez internet, multimedialne i >>inteligentne<<, pojawiają się również zagrożenia dla nas jako użytkowników tychże rozwiązań i to nie tylko w stosunku do użytkownika prywatnego, ale także wobec sektora korporacyjnego. Zagrożenia te są dość łatwe do zidentyfikowania”.

W opinii eksperta największym niebezpieczeństwem jest nasza własna chęć do „wygodnego” korzystania z IoT - a więc słabe hasła chroniące dostęp do urządzeń i danych, a nawet ich brak. To także źle skonfigurowane zabezpieczenia sieci Wi-Fi w oparciu o które pracują owe urządzenia.

„Niestety nie tylko działania użytkowników urządzeń IoT są przyczyną istnienia poważnego zagrożenia płynącego z ekosystemu” – zaznacza Kępski. - „Producenci często obniżają koszt produkcji urządzeń IoT, co przenosi się np. na ograniczenie funkcji związanych z uwierzytelnianiem, a nawet, co wydaje się dziś kuriozalne, brak możliwości zmiany hasła początkowego zdefiniowanego przez producenta. Ponadto firmware może bazować na przestarzałych standardach przechowywania hasła, czy też przestarzałych protokołach szyfrowania transmisji danych, o ile oczywiście wspiera jakiekolwiek szyfrowanie komunikacji pomiędzy urządzeniami i serwerem zarządzającym. Producenci dość rzadko udostępniają aktualizacje oprogramowania firmware dla urządzeń IoT, nawet w sytuacji wykrycia podatności umożliwiającej przejęcie kontroli nad urządzeniem. W wielu przypadkach aktualizacje nie pojawiają się wcale”.

Nasz rozmówca podkreśla, że grupy cyberprzestępcze wykorzystują urządzenia IoT podłączone do internetu do przeprowadzania ataków coraz częściej i na ogromną skalę. Instalując złośliwe oprogramowanie na tych urządzeniach, cyberprzestępcy realizują ataki DDoS, kampanie wysyłania spamu, kradną dane, a nawet szpiegują za pomocą urządzeń IoT wyposażonych w kamerę lub mikrofon. Do przeprowadzania ataków wykorzystywane są również ogromne botnety składające się z setek tysięcy, a nawet milionów skompromitowanych urządzeń IoT. Np. niedawno Microsoft opublikował raport dot. ataku DDoS o wolumenie 2.4 Tbps.

„Taktyki i techniki ataków na urządzenia IoT nie zmieniły się od lat” – przyznaje Kępski. - „Zmieniła się skala - obecnie grupy cyberprzestępcze tworzą narzędzia bazujące na sztucznej inteligencji (AI), szybsze, lepiej skalowalne i o wiele wydajniejsze do przeprowadzania ataków. Niesie to z sobą konsekwencje – wytworzone narzędzia oparte na AI umożliwiają automatyzację ataków na słabo zabezpieczone urządzenia IoT i dają cyberprzestępcom możliwość uzyskania rozproszonych zasobów obliczeniowych, które następnie mogą zostać wykorzystane w dowolny sposób. Skutkuje to sytuacją w której coraz trudniej będzie przeciwdziałać cyberatakom jako takim”.

IoT to mieszanka wybuchowa

Piotr Kupczyk z Kaspersky Lab Polska, charakteryzując krajobraz zagrożeń związanych z Internetem Rzeczy podaje przypadki skutecznych ataków w różnych obszarach naszej rzeczywistości.

„Największym problemem związanym z bezpieczeństwem w kontekście urządzeń IoT jest fakt, że ciągle wiele z nich powstaje w modelu, który nie uwzględnia odpowiednich zabezpieczeń już na etapie projektowania” – tłumaczy Piotr Kupczyk. - „Wiele z urządzeń posiada minimalne zabezpieczenia, a niektóre nie posiadają ich wcale. Nie należą do wyjątków sytuacje, w których użytkownik nie może nawet zmienić hasła do zarządzania sprzętem, który łączy się z internetem. Jeżeli dodamy do tego ogólną opieszałość użytkowników w kontekście ustawiania jakichkolwiek zabezpieczeń, mamy do czynienia z mieszanką wybuchową”.

Według eksperta sytuację chętnie wykorzystują cyberprzestępcy, dla których urządzenia IoT są atrakcyjne z co najmniej trzech powodów. Po pierwsze, są to tak naprawdę komputery, które po zhakowaniu można wykorzystać do dalszych ataków, np. rozsyłania spamu, czy bombardowania serwerów śmieciowymi żądaniami, prowadząc tym samym do ich spowolnienia lub całkowitego zatrzymania.

Takie sieci zainfekowanych urządzeń IoT były już niejednokrotnie wykorzystywane przez cyberprzestępców do prowadzenia rozległych ataków DDoS, a najbardziej znanym przykładem jest botnet Mirai składający się głównie z routerów, kamer internetowych i telewizorów smart TV, który doprowadził do poważnych problemów w całym internecie, a ucierpieli nawet tacy giganci jak Facebook, YouTube czy Spotify.

Po drugie, słabo zabezpieczone urządzenia IoT mogą posłużyć jako punkt wejścia do sieci - swego rodzaju słabe ogniwo w łańcuchu bezpieczeństwa, co jest szczególnie dużym problemem w przypadku firm i organizacji przemysłowych.

Po trzecie, urządzenia takie jak kamery i mikrofony można po prostu wykorzystać do szpiegowania użytkowników i szantażowania ich. W internecie bez problemu można znaleźć wyszukiwarki urządzeń tego typu, które są podłączone do internetu bez żadnych zabezpieczeń, co pozwala na dowolne oglądanie obrazu z czyjegoś domu lub firmy. Takim urządzeniem podsłuchowym może stać się nawet inteligentny pilot do sprzętu audio-wideo.

„Gdy pod koniec 2019 roku nasi badacze analizowali krajobraz cyberprzestępczy związany z Internetem Rzeczy, w ciągu sześciu miesięcy zidentyfikowano ponad 100 milionów ataków na urządzenia IoT” – informuje Kupczyk. - „Stanowiło to niemal dziesięciokrotny wzrost w porównaniu z 2018 rokiem. Obecnie ten wzrost nie jest już tak spektakularny, jednak w dalszym ciągu się utrzymuje, wraz ze zwiększającą się liczbą urządzeń tego typu w naszych domach i firmach. Podczas gdy dawniej atakujący celowali wyłącznie w urządzenia zainstalowane w domach konsumentów i traktowali swoje działania jak swego rodzaju poligon doświadczalny, obecnie ofiarami coraz częściej są firmy oraz - co gorsza - organizacje przemysłowe i infrastruktura krytyczna, na przykład systemy zarządzania sygnalizacją świetlną w miastach, oczyszczalnie ścieków, elektrownie czy fabryki.

Jak skutecznie chronić Internet Rzeczy?

Według Zielaskiewicza, skuteczna ochrona platform IoT, niezależnie od środowiska, w którym funkcjonują, wymaga wdrożenia szeregu rozwiązań, które można sklasyfikować w kilku obszarach.

„W rozwiązaniach dedykowanych przemysłowi fundamentem jest utrzymanie bariery między IT, w tym komputerami i serwerami, a środowiskiem operacyjnym OT” – radzi ekspert. - „Oznacza to odpowiednie zaprojektowanie elementów sieci teleinformatycznej, w tym segmentację systemów informatycznych i separację sieci, dzięki czemu możliwe jest zapewnienie podstawowego poziomu bezpieczeństwa fabryki i jej otoczenia zewnętrznego. Segmentacja sieci przemysłowej jest o tyle istotna, że obecnie systemy przemysłowe są często >>płaskie<<. Oznacza to nic innego jak sprzęt funkcjonujący w ramach tej samej sieci, a w takiej sytuacji wystarczy skuteczny atak na jeden element, aby np. złośliwe oprogramowanie rozprzestrzeniło się na całą fabrykę. Jak pokazały liczne przykłady skutecznych ataków tego typu, może to mieć paraliżujący wpływ na funkcjonowanie zakładu. Dlatego wprowadzenie segmentacji jest tak istotne, pomaga zabezpieczyć określone obszary, spowolnić atak i w efekcie szybciej go powstrzymać”.

Dotyczy to również innych obszarów np. przykład smart city. Im bardziej miasta stają się inteligentniejsze, funkcjonując jako cyfrowy ekosystem połączonych urządzeń i aplikacji, tym szersze jest pole do ataku dla cyberprzestępców. Mogą oni brać na celownik na przykład szeroko stosowane protokoły LoRaWAN wykorzystywane przez urządzenia Internetu Rzeczy do połączenia z siecią – co istotne także w przemyśle czy sektorze medycznym.

„W idealnym świecie urządzenia IoT będą projektowane jako cyberodporne i po prostu nie będzie można ich wykorzystać do szkodliwych celów, a przynajmniej prawdopodobieństwo takiego nadużycia będzie minimalne” – przewiduje Kupczyk. - „Niestety jeszcze w takim świecie nie żyjemy i musimy samodzielnie dbać o zabezpieczenia tam, gdzie producenci odpuścili temat. Istnieje kilka uniwersalnych porad, do których warto się zastosować”.

Wybierając urządzenie IoT, warto zapoznać się z informacjami na temat podejścia producenta do publikowania uaktualnień i usuwania zgłaszanych błędów oraz luk w zabezpieczeniach. Tuż po podłączeniu urządzenia powinniśmy zmienić hasło do panelu zarządzania (o ile producent na to pozwolił, a jeżeli nie pozwala, powinniśmy zrezygnować z zakupu takiego sprzętu).

W przypadku urządzeń IoT, które muszą mieć dostęp do internetu warto rozważyć przygotowanie dla nich oddzielnej podsieci - czegoś na kształt sieci dla gości. Większość nowoczesnych routerów daje taką możliwość i dzięki niej urządzenia IoT będą mogły swobodnie łączyć się z serwerami dostawców, przy jednoczesnej izolacji od naszej właściwej sieci.

Z kolei według Kępskiego każdy użytkownik urządzeń IoT powinien zachować zdrowy rozsądek i w konsekwencji zdecydować się na kompromis pomiędzy funkcjonalnością a bezpieczeństwem.

„Ponadto kupujmy urządzenia, które oferują pełne funkcjonalności związane z cyberbezpieczeństwem, a więc możliwość zdefiniowania i późniejszej zmiany bezpiecznego hasła, z funkcjonalnością szyfrowania komunikacji z wykorzystaniem aktualnych protokołów. Poza tym urządzenia i dostęp do nich powinny być monitorowane – przeglądajmy logi, dzięki temu możliwe jest wykrycie ewentualnego ataku na nasze urządzenia IoT. Dodatkowo regularnie aktualizujmy oprogramowanie w urządzeniach IoT – oczywiście pod warunkiem, że producent takie aktualizacje publikuje” - radzi Kępski.

Zdaniem eksperta konieczne są także działania regulacyjne – wypracowanie standardu technologiczny, jaki powinny spełniać tego typu urządzenia, uwzględniający kwestie cyberbezpieczeństwa. Z pewnością ułatwiłoby to użytkownikowi zakup urządzeń gwarantujących satysfakcjonujący poziom bezpieczeństwa i wyeliminowało z rynku te, które nie posiadają funkcjonalności przywoływane powyżej.

Skutki ataków trudne do udźwignięcia

Aleksander P. Czarnowski, szef Avetins i specjalista segmentu cyberbezpieczeństwa wyjaśnia skomplikowaną strukturę przyczyn i skutków związanych z zagrożeniami obszaru IoT.

„Ekosystem bezpieczeństwa systemów IoT jest złożony, podobnie jak usług chmurowych” – ocenia Aleksander P. Czarnowski. - „Składa się na to wiele czynników. Przede wszystkim problemem jest skala, a zatem powszechność (która cały czas będzie narastać) oraz liczba zastosowań IoT. Trudno dzisiaj znaleźć dziedzinę życia, w której IoT nie brałoby czynnego udziału. Oczywiście nadal może być to niewielki udział procentowy, będzie on jednak bardzo szybko przyrastał. Masowość powoduje, że pojedyncza podatności w popularnym systemie lub urządzeniu IoT może oznaczać miliony, miliardy lub biliony podatnych na atak urządzeń i systemów”.

Nasz rozmówca przyznaje, że skutki takiego incydentu trudne są nie tylko do oszacowania, ale także do udźwignięcia (zarówno w kontekście finansowym, jak i ryzyka utraty reputacji) przez pojedyncze organizacje, a w skrajnych przypadkach przez całe państwa.

„Proszę sobie wyobrazić, że nagle kilka milionów samochodów ma uszkodzony w trakcie jazdy system hamulcowy. Naprawa pojazdów, jak i usuwanie skutków katastrof w ruchu lądowym będzie poważnym wyzwaniem. Ponieważ w wielu sektorach jest tylko kilku wiodących producentów może się okazać, że taki hipotetyczny atak nie dotknie jednej marki pojazdów, ale wręcz kilku producentów”.

Zdaniem eksperta ważnym problemem jest fakt, że skala także może być wykorzystana przeciwko nam. Popularne od wielu lat ataki DDoS opierają się na tworzeniu sieci botnetów, które czekają na rozkaz ataku i gdy ten przyjdzie, generują ruch sieciowy wysłany do celu.

„Zawsze znajdzie się odpowiednia duża sieć botnet, aby stworzyć problem po stronie celu ataku” – przekonuje Czarnowski. - „Teraz proszę sobie wyobrazić, że w takim ataku nie biorą udziału zwykłe serwery czy stacje robocze, ale miliardy urządzeń IoT rozrzucone po całym globie. Samo zarządzanie takim incydentem jest problemem. Nawet koordynacja działań obronnych może być wyzwaniem nie mówiąc już o możliwości ścigania przestępców stojących za takim atakiem”.

Kolejne ważne zagadnienie z perspektywy bezpieczeństwa IoT to połączenie rozwiązania sprzętowego z oprogramowaniem. Jedno nie może istnieć bez drugiego. Zwiększa to powierzchnię ataku. Co więcej, niezwykle istotny staje się łańcuch dostaw. Można go podzielić na 3 główne obszary:

  • Dostawcy sprzętu (np. czujnika IoT)
  • Dostawcy firmware’u dla sprzętu IoT
  • Dostawcy aplikacji dla sprzętu IoT

„Każdy z tych elementów łańcucha musi być zabezpieczony i kontrolowany” – wyjaśnia ekspert. - „Niestety powtarza się historia z wcześniejszych przełomów technologicznych: w urządzeniach IoT bezpieczeństwo często nie było funkcjonalnością zaprojektowaną i wbudowaną od razu, tylko często jest elementem dodawanym na siłę, niekiedy pod naciskiem klientów lub regulacji. Nacisk ten oczywiście nie jest także zbyt silny, a powodem jest zwiększenie kosztów rozwiązania”.

Zdaniem szefa Avetins w teorii istnieje magiczny złoty środek: certyfikacja urządzeń IoT wraz z całym systemami. W praktyce jednak każdy proces certyfikacyjny zwiększa koszt produkcji, a także podnosi barierę wejścia, co z kolei może ograniczać innowacyjność. Cyberbezpieczeństwo nigdy – co do zasady – nie powinno nakładać kagańca ograniczeń innowacyjności, wręcz przeciwnie: powinno umożliwiać realizację w zgodzie z przepisami nawet najbardziej rewolucyjnych pomysłów. Tak się jednak zazwyczaj nie dzieje, na skutek błędnego postrzegania cyberbezpieczeństwa jako procesu: i to zarówno przez decydentów, jak i często przez ekspertów.

„Przede wszystkim należy zmienić podejście z pasywnego na proaktywne” – ocenia Czarnowski. - „Dobrym krokiem w tym kierunku jest powszechnie (niestety) błędnie stosowany Art. 25 RODO, ale to dopiero początek. Certyfikacja także – przynajmniej dla niektórych obszarów wykorzystania IoT np. w ochronie zdrowia – może być dobrym rozwiązaniem, choć na niej nie może się skończyć. Co więcej problematyczne w certyfikacji mogą być same zasady, które muszą być dopasowane do sposobu wykorzystania urządzenia IoT. Przykładowo inne wymagania powinny obowiązywać wobec urządzeń pracujących w energetyce, a inne w ochronie zdrowia. Nikt nie chce żeby urządzenie podtrzymujące życie pacjenta w szpitalu nagle dokonało restartu przerywając prace. Ciągłe testowanie i monitorowanie bezpieczeństwa jest także elementarnym wymogiem”.

Tekst powstał w ramach cyklu #CyberPaździernik. Cyberbezpieczeństwo dotyczy nas wszystkich – niezależnie od wykonywanego zawodu i wykształcenia czy miejsca zamieszkania. Nie zapominajmy o tym – nie tylko w październiku, który jest „Europejskim Miesiącem Cyberbezpieczeństwa”.


Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: redakcja@cyberdefence24.pl. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture. 

image
Fot. Reklama

 

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 2
Czajnik IOT
poniedziałek, 18 października 2021, 15:39

Nie dadzą :) Zapewne z czasem nie będzie istniał wybór zakupu czajnika bez funkcji sieciowych, a czajnika podłączonego do Internetu bo ten drugi będzie normą, ale żeby coś komunikowało się z internetem i miało dostęp do naszych danych czy innych naszych sieci to zazwyczaj musimy podać własne dane uwierzytelniające. Nawet jeśli komuś będzie się chciało udostępniać "czajnik" w Internecie to istnieje jeszcze możliwość blokowania / filtrowania ruchu który do Internetu przepuszczamy. Więc to całe straszenie końcem świata IOT to chyba tylko kolejny element w świecie który straszy wszystkim i wszędzie.

Kiks
niedziela, 17 października 2021, 18:19

VLAN. I nieprawdą jest, że większość "nowoczesnych routerów daje taką możliwość, bo bardzo często jeżeli w ogóle jest obsługa VLAN to z bardzo kiepską implementacją tego rozwiązania. Zresztą są różne VLANy. I nawet VLAN nie daje całkowitej ocrony pzed przeniknięciem szkodliwego pakietu. I jakie to nowoczesne routery rozmówca ma na myśli? Bo większość tych popularnych producentów nie aktualizuje swoich routerów nawet tych z najwyższej półki. Dostaną może jedną, dwie łatki i koniec filmu.

Tweets CyberDefence24