Foto: Karel Žižka

Když se pračka domluví s kávovarem a napadne servery Googlu

Firmy chytřerozhovor 6 min čtení

Používáte ve své domácnosti nějaké to chytré zařízení? Nebo o tom zatím jen přemýšlíte? Chytré žárovky, spotřebiče, ventily na topení, kamery nebo zabezpečovací technika jsou obrovským trendem. Zároveň jsou to ale potenciálně nebezpečná zařízení, která se snadno mohou stát obětí počítačových pirátů.

Líbí se vám článek? Sdílejte ho:

Používáte ve své domácnosti nějaké to chytré zařízení? Nebo o tom zatím jen přemýšlíte? Chytré žárovky, spotřebiče, ventily na topení, kamery nebo zabezpečovací technika jsou obrovským trendem. Zároveň jsou to ale potenciálně nebezpečná zařízení, která se snadno mohou stát obětí počítačových pirátů.

Související článek

Chytré žárovky se Čechům hrnou do bytů i domů. Na kolik vás vyjdou?

Pohodlné ovládání a způsob, jak si doma vytvořit jedinečnou atmosféru. Chytré osvětlení je trend, který postupně zaplavuje nové, rekonstruované i původní domy a byty. Vyhovět přitom může řešení za už pár stovek. Kdo chce chytře rozsvěcet a zhasínat celý dům třeba z dovolené, musí se připravit na investici za desítky tisíc.

Jaké hackerské útoky ve spojení s chytrými prvky domácnosti hrozí, nebo se dokonce reálně dějí? Velmi dobře to ví Simona Musilová ze společnosti Avast, která se jako bezpečnostní analytička na internet věcí specializuje. I proto dokáže poradit, jak případné riziko napadení omezit na minimum. Kromě práce pro Avast byla Simona Musilová ještě nedávno součástí projektu Stratosphere Lab, jenž působí na půdě Fakulty elektrotechnické ČVUT a který se právě výzkumu bezpečnosti internetu věcí věnuje.

Co vás přivedlo ke zkoumání zabezpečení zařízení chytré domácnosti?

Bylo to kvůli zneužitelnosti těchto zařízení. Na internet věcí dnes narazíte prakticky všude, nejenom v domácnostech, kde se udává, že je dvacet osm procent používaných připojených zařízení. Internet věcí je třeba výraznou součástí zdravotnictví. Například i kardiostimulátory jsou připojené na internet, což může být z určitého pohledu docela strašidelné.

V roce 2016 nastal velký útok, který se jmenoval Mirai. Fungoval tak, že pronikal prostřednictvím zkoušení jednoduchých jmen a hesel, jako je například admin a admin, zkrátka hesel, která jsou takzvaně defaultní. Jeho tvůrci tehdy na internetu infikovali mnoho zařízení, která následně zneužili tak, že do nich nahráli program, který útočil na jiná zařízení v síti. Takto převzali kontrolu nad mnoha zařízeními, šlo především o kamery. Ve výsledku útočníci dokázali na pár dnů zlikvidovat velké internetové servery. Mirai můžeme dodnes v síti zaznamenat.

„Jít na eBay a pořídit si chytré žárovky za dva dolary je to nejhorší, co můžete udělat,“ říká Simoma Musilová, specialistka na bezpečnost internetu věcí. -

Jak jste se dostali k výzkumu v této oblasti?

V roce 2018 byl zveřejněný průzkum, kdy postavili do sítě takzvané honeypoty, což jsou počítače, které mají schválně nastavená jednoduchá hesla. A čekalo se, co se bude dít. To byla celá pointa. Více než sedmdesát procent útoků šlo na telnetový protokol. Bylo to zajímavé zjištění, protože telnet je od roku 2006 nahrazován bezpečnějším protokolem SSH.

Náš výzkum odstartoval tím, že jsme začali sledovat počet telnetových zařízení na internetu. Dotazovali jsme se každou hodinu na dva telnetové porty, kolik zařízení s tímto portem je na internetu otevřených. Někteří z nás si mysleli, že počet zařízení využívajících telnet bude prudce klesat. Jiní zase očekávali, že jejich množství kvůli internetu věcí poroste. Rok a půl je ale tento počet zařízení stabilní. Na základě toho jsme začali řešit, co se na telnetu vlastně děje a zda existuje nástroj, který by dokázal sdělit, že se na IoT zařízení někdo pokusil přihlásit.

Související článek

Petr Bena z Alza.cz: Pustit kurýra do bytu, když nejste doma? I tady se míra citlivosti posouvá

Největší český e-shop Alza.cz už zdaleka neprodává jen počítače a spotřební elektroniku. Během let se z něj stal obchod, kde si pořídíte prakticky vše. Navíc se nebojí nových trendů a technologií. Takže vám prodá solární panely na střechu domu, doveze vám zboží taxíkem, který zrovna nemá zákazníka, a uloží vám objednaný balíček do kufru zamčeného auta. O tom všem jsme si povídali s obchodním ředitelem Alzy Petrem Benou.

Jak váš nástroj na detekci nepřátelských útoků chytrých zařízení funguje?

Dokážeme zjistit zadané uživatelské jméno a heslo, protože server se na něj vždy zeptá. Umíme zachytit určité znaky komunikace. Snažíme se zjišťovat i charakteristiky konkrétního člověka, který sedí za klávesnicí a přihlašuje se. Nástroj vzniklý na ČVUT vytváří osobní profil uživatele na základě toho, jak píše. Ví třeba to, kolik času uplyne mezi zmáčknutím dvou kláves. Umíme detekovat, kolik uživatel udělá chyb, a proto musí následně mazat a upravovat. Detekujeme, jak člověk napsal jméno a heslo, protože i v tom může udělat chybu. Víme, kdy se přihlásil, odkud i jak dlouho byl přihlášený.

Rada číslo jedna je změnit si heslo na něco komplikovaného.

K čemu se to hodí?

V případě, že vám někdo ukradne heslo, vezme počítač a bude se snažit přihlásit, nepůjde mu to. Jeho profil bude jiný než váš. Pokud nástroj podle vytvořeného profilu zjistí, že jde o někoho jiného, pak mu zakáže přístup a informuje admina sítě. Kromě ochrany zařízení můžeme poskytnout statistiky toho, co se v síti děje, a to počet IP adres, které se tam přihlašují, i počet IP adres, které se snaží poslat jméno a heslo.

Existují nějaká data ohledně útoků na chytrá zařízení?

Nějaká data jsou, ale jsou to jen data z honeypotů. Jsou společnosti, které mají honyepoty po celém světě, ale údaje budou vždy zkreslené.

Související článek

Deset smart vychytávek, které na sebe strhly lavinu zájmu. Budete je chtít i vy?

Chcete mít doma něco opravdu originálního a světového? Prošli jsme za vás úspěšné projekty na crowdfundingovém serveru Indiegogo a vybrali jsme ty nejzajímavější.

Jaké jsou vaše rady pro bezpečnější chytrou domácnost?

Rada číslo jedna je změnit si heslo na něco komplikovaného. Lidé se k tomu obvykle nepřiznají, ale jejich myšlení je často zvláštní. Například moje maminka tvrdí, že je jí to jedno, protože nemá v počítači žádné osobní údaje. Pokud ale mám přístup do počítače, pak dokážu zneužít i hardware, což už běžný člověk nevidí.

Kromě toho doporučuju koupit si pořádný router a nekupovat chytrá zařízení z Číny. Jít na eBay a pořídit si chytré žárovky za dva dolary je to nejhorší, co můžete udělat. Co lze očekávat za dva dolary? Pokud bude chtít výrobce ještě něco vydělat, tak to nikdy nebude bezpečné. Aby se zařízení zabezpečila, je třeba investovat minimálně čas a dražší, výkonnější hardware. Já věřím společnostem, které dobře znám. Chyby jsou ve všem, ale jde o to, zda jich bude hodně, nebo málo. Pokud si něco vyberete, vygooglete si to. Přečtěte si recenze. Píší se blogy, komunita se snaží podávat vše tak, aby tomu rozuměli všichni uživatelé. A také se podívejte na stránky výrobce. Pokud to výrobce myslí s bezpečností vážně, pak má na stránkách detailní popis toho, jak se zařízení zabezpečuje.

Co při podcenění bezpečnosti lidem hrozí?

Z mého pohledu rozeznávám dva typy útoků. Jednak je to útok proti konkrétnímu uživateli. Například pokud budete mít kameru, pak se nabourám do kamery a mohu vás vidět. Druhou možností je, že útočníci chtějí zařízení zneužít, aby byli schopni ovládat hardware, tedy výpočetní sílu zařízení. A to, i když je to malá kamerka, co toho moc neumí. Pokud totiž budete mít sto tisíc takových kamer, pak se jejich síla nasčítá. To je velmi nebezpečné pro třetí strany, protože pokud budu mít já jako útočník pod palcem sto tisíc zařízení, pak z každého z nich mohu napadnout třetí stranu. A může to být kdokoliv, třeba servery Googlu. Potom budete těžko někomu vysvětlovat, že máte kameru a ta má špatné heslo.

Související článek

Video: Piloti v roli diváků. Airbus do vzduchu poslal letadlo, které odstartovalo zcela samo

Autonomní auta bez řidičů dnes už nepřekvapí. Výrobce letadel Airbus ale vyvinul systém, který dokáže do vzduchu bez zásahu pilota poslat i obří dopravní letadlo. Francouzská firma ve vývoji hodlá dál pokračovat. Cílem je, aby její letoun mohl také autonomně přistávat a pohybovat se letové ploše.

Jak se bude vyvíjet množství útoků?

Útoků bude přebývat, protože bude přibývat zařízení a poptávka bude obrovská. Aby se uspokojila, nebude tolik času věnovat se bezpečnosti a dořešit tuto problematiku. Výrobci budou tlačit cenu dolů, a jak dobře víme, vše souvisí s penězi.

Témata:
Líbí se vám článek? Sdílejte ho:
link odkaz
Reklama