Jak informuje CERT Orange w ostatnim raporcie nt. cyberbezpieczeństwa następuje wyraźny wzrost liczby ataków związanych z „Internetem Rzeczy” (Internet of Things – IoT). Liczba urządzeń podłączanych do sieci stale rośnie. Każde takie urządzenie to potencjalna ofiara ataku, tym bardziej że można odnieść wrażenie, iż przy ich projektowaniu kwestie bezpieczeństwa rozważano na końcu. - Jeśli nawet lodówce, pralce czy inteligentnej żarówce nie da się zrobić wielkiej krzywdy, to zawsze mogą służyć jako urządzenia „zombie, wzmacniające siłę ataku botnetu”.
“Internet Zombi”
Raport CERT Orange wskazuje, że bezpieczeństwo urządzeń „Internetu Rzeczy” jest fatalne – a dane będą naruszane w szybszym tempie niż w jakiekolwiek innej grupie technologii. Przystosowanie technologii jest tu sprawą najwyższej wagi, a bezpieczeństwo wyraźnie odłożono na dalszy plan. Urządzenia te stanowią element podatnyna naruszenia prywatności, a rok 2016 tylko uwydatni ryzyka związane z tym bogatym źródłem danych, przekształcając Internet Rzeczy w niebezpieczny Internet Zombi.
IoT w aucie. Ubezpieczyciel dopasuje składkę polisy, a w tym czasie haker…
Zdaniem twórców raportu z CERT Orange na temat włamań do systemów sterujących samochodami dyskusje trwają od kilku lat, jednak dopiero w 2015 roku udało się przeprowadzić włamanie bez fizycznego podłączania do diagnostycznych podsystemów auta.
Eksperymentator analizował urządzenie o nazwie Snapshot – rozszerzenie podłączane do diagnostycznego portu OBD-II, umożliwiające korzystanie z podsystemu diagnostycznego samochodu. Wyjściowym pomysłem, który przyświecał projektowi Snapshot, była możliwość zbierania informacji o niektórych parametrach prowadzonego samochodu. Korelując je, można by np. określić styl jazdy danego kierowcy, choćby po to, by dostosować do niego składkę ubezpieczeniową.
Urządzenia podłączane do portu OBD-II komunikują się z resztą podsystemów samochodu za pośrednictwem szyny CAN (Controller Area Network). Przykładem może być transmisja z podsystemu odpowiedzialnego za wykrywanie kolizji, informująca podsystem kontroli poduszek powietrznych o konieczności ich uruchomienia.
W nowych samochodach do CAN podłączane są m.in. hamulce, poduszki powietrzne, tempomat czy wspomaganie kierownicy. Z badań wynika, iż Snapshot nie tylko komunikuje się z krytycznymi systemami pojazdu, ale również sam utrzymuje łączność ze zdalnymi węzłami w celu przekazywania informacji za pośrednictwem sieci komórkowej.
Oznacza to ni mniej, ni więcej, tylko możliwość kontrolowania krytycznych systemów ponad dwóch milionów samochodów, w których zainstalowano Snapshot (do stycznia 2015 roku), z jednego lub kilku centralnych węzłów. Hollywood staje się rzeczywistością, a gdy dowiemy się, że transmisja odbywa się nie tylko bez szyfrowania, ale nawet bez uwierzytelniania stron ogranicza nas już tylko wyobraźnia. Tegoroczne eksperymenty przyniosły już nieco przerażające efekty w postaci włamania do systemu jadącego autostradą samochodu, przejęcia kontroli nad jego radiem i klimatyzacją, pobrania danych geolokalizacyjnych oraz ingerencji w mechanizmy przyspieszenia i hamowania.
CERT Orange Polska rekomenduje:
Zanim podłączysz jakieś urządzenie do systemów sterujących samochodu, zastanów się nad aspektami bezpieczeństwa. Jeśli nie jest to absolutnie niezbędne, lepiej unikać
Włącz kamerę i niech wszyscy zobaczą co robisz
Blady strach padł kilka miesięcy temu na wielu użytkowników sieci, bardziej korzystających z kamerek internetowych. „Winny” nazywa się Shodan i jest wyszukiwarką, wykorzystującą możliwość ujawniania urządzeń podłączonych do Internetu na całym świecie, w tym niezabezpieczonych kamer internetowych. Innymi słowy haker może się włamać do naszego domu i zobaczyć co w nim robimy, jeśli nasze urządzenia alarmowe podłączone są do sieci. Może też zajrzeć na nasza kanapę, kiedy gramy w PS4 z włączoną kamerą. Wyobraźnia podpowiada, że niezabezpieczone kamery mogą zaobserwować wiele czynności użytkowników sieci, ale nie kwestie obyczajowe są tutaj najgorsze, gdyż zagrożone są bardziej kluczowe dla bezpieczeństwa ludzi produkty.
Należą do nich urządzenia osobiste jak np. wearables, ale i sprzęty domowego Internetu Rzeczy jak routery, cyber-nianie czy piloty do zabezpieczenia inteligentnych domów lub w końcu zarządzające systemami grzewczymi. Ale to nie koniec. Bo hakerów bardziej od prywatnych spraw użytkowników może zainteresować kontrola nad kamerami miejskimi, światłami drogowymi, elektronicznym sprzętem medycznym czy urządzeniami w elektrowniach.
Jak twierdzi Trend Micro zagrożenie technologii inteligentnych jest bardzo wysokie. Raport TM informuje, że w 2015 roku odnotowano znacznie więcej ataków na urządzenia podłączone do Internetu. Okazało się, że nie są one wolne od zagrożeń. Jak potwierdził przeprowadzony przez Trend Micro eksperyment GasPot, wśród zagrożonych systemów należących do Internetu rzeczy znalazły się inteligentne samochody i firmy – w tym firmy strategiczne zarządzające groźnymi dla ludzi substancjami. W USA większa się liczba prób ataków na tego typu przedsiębiorstwa.
Zdaniem Trend Micro tradycyjny system kontroli nadzoru i akwizycji danych nie powinien być podłączony do Internetu, szczególnie w branżach strategicznych. Ale nie jest to normą. Jeśli naprawdę jest to konieczne, to ich bezpieczeństwo powinno być na najwyższym poziomie, a dostęp do nich bardzo ograniczony. Raport firmy Trend Micro ujawnia, że brak takich zabezpieczeń może grozić sabotażem ze strony hakerów czy nawet terrorystów.
Źródło: CERT Orange, Trend Micro
Oprac. T.J.