Relacja z webinaru Internet Rzeczy a bezpieczeństwo IT (Canon, 28 czerwca 2018)

Szacunkowy czas czytania: 2 minuty

 

28 czerwca 2018 brałam udział w 45-minutowym webinarze organizowanym przez Canon. Webinar prowadzony był w języku angielskim, a prelegentami byli eksperci z Canon i Pen Test Partners.

Głównym zagadnieniem poruszonym w trakcie wydarzenia było bezpieczeństwo urządzeń Internetu Rzeczy (IoT – Internet of Things, czyli np. drukarki, wyposażenie budynków inteligentnych, inteligentne sprzęty AGD, czy nawet zabawki).
Szacuje się, że w 2017 roku do sieci było podłączonych około 8,4 miliardów urządzeń IoT (dane z webinaru), a do 2020 będzie ich 20 miliardów (dane ze strony warner.senate.gov).

Największym problemem związanym z IoT, który został wymieniony, była nieświadomość użytkowników. Firmy często bazują na standardowych zabezpieczeniach lub domyślnych hasłach (które są często powszechnie dostępne w specyfikacji technicznej danego urządzenia). Brakuje też szkoleń dla pracowników.

Najciekawsze przykłady luk bezpieczeństwa w urządzeniach IoT:

  • inteligentny czajnik obsługiwany zdalnie przez aplikację – standardowe hasło do modułu wi-fi jest podane w ogólnodostępnej specyfikacji technicznej. Znaczny procent użytkowników nie ma zmienionego hasła, a same czajniki można było zlokalizować za pomocą stworzonej na potrzeby włamania sieci. Więcej o tym przypadku: tutaj.
  • mówiąca lalka – zabawka odpowiada na pytania używając połączenia z siecią. Lalka miała skonfigurowaną listę przekleństw i innych nieodpowiednich słów, których nie wolno jej było używać ze względu na obecność dzieci. Baza danych była nieodpowiednio zabezpieczona i można było ją zhakować, m.in. wprowadzając do niej cytaty z „50 twarzy Greya”. Więcej: tutaj.
  • inteligentna lodówka – szyfrowany przesył danych nie był w tym urządzeniu domyślny. Dzięki temu można było przechwycić dane dostępowe do e-maili Gmail podłączonych do lodówki. Więcej: tutaj.

Co grozi użytkownikowi, gdy ktoś przejmie kontrolę nad jego urządzeniem?
Haker może zażądać okupu (np. w bitcoinach), może też zdobyć dane dostępowe do naszej sieci lub e-maila i wykorzystać je do dalszych włamań. W przypadku, gdy ktoś włamie się np. do naszego systemu inteligentnego ogrzewania domu, nie będzie nam do śmiechu, gdy przejmie kontrolę i zażąda okupu! O ile czajnik możemy po prostu odłączyć i go nawet wyrzucić/schować do piwnicy, to w przypadku mniej mobilnych urządzeń, które kontrolują procesy w biurze lub domu, może to być duży problem.

Co ciekawe, szukając dodatkowych informacji o w/w incydentach, przekonałam się, że w większości przypadków, aplikacje zarządzające IoT przeznaczone na system iOS są lepiej zabezpieczone niż te na Androida.

Zmiany w prawodawstwie
Ze względu na to, że ataki na urządzenia IoT są coraz częstsze, a skala użytkowania ich coraz większa, zagadnienie to zainteresowało amerykańskich senatorów. W sierpniu 2017 kilku z nich przygotowało projekt ustawy, która ma zakazywać używania niesprawdzonego sprzętu w rządowych agencjach i departamentach. W ustawie zawarto minimalne wymagania z zakresu bezpieczeństwa, które muszą spełniać te urządzenia. Więcej na ten temat: tutaj.


Na sam koniec zapraszam do zapoznania się z 20-stronicowym raportem Canona „Internet Rzeczy a bezpieczeństwo IT: 4 kroki do bezpiecznego biura”.