W przypadku korporacyjnych urządzeń IoT pieniądze nie zapewniają bezpieczeństwa

FIRMA

Kosztowne urządzenia IoT w Twojej firmie? Niech Cię nie zwiedzie wysoka cena – „inteligentne” nadal znaczy „podatne na atak”

Po latach ostrzeżeń ekspertów, niski stopień bezpieczeństwa urządzeń IoT został bezlitośnie obnażony przez serie ataków DDoS jesienią 2016 r. W największym z nich wykorzystano wiele zainfekowanych malware’em urządzeń IoT do uderzenia na amerykańskiego dostawcę Dyn, w następstwie czego przestał działać Twitter, Spotify i wiele innych usług korzystających z infrastruktury Dyn. Miesiąc wcześniej celem podobnego ataku stała się witryna piszącego o bezpieczeństwie dziennikarza Briana Krebsa.

Do czasu jesiennych wydarzeń, z pewnymi wyjątkami, scenariusze ataków wykorzystujących internet rzeczy były raczej paliwem do dyskusji, niż rzeczywistością. Czy haker mógłby przejąć kontrolę nad termostatem w biurze i zażądać okupu za przykręcenie ogrzewania? Czy lodówkę w biurowej kuchni można by wykorzystać jako przyczółek do inwazji na firmową sieć? Co jest bardziej atrakcyjne dla przestępców: samo urządzenie, czy znajdujący się za nim serwer, w którym przechowywane są dane?

Najnowsze ataki DDoS z pewnością dodadzą wagi argumentom Komisji Europejskiej, która proponuje wprowadzenie systemu etykietowania urządzeń IoT uznanych za „bezpieczne”. Chodzi o to, żeby uczulić na kwestie bezpieczeństwa nie tylko nabywców, ale przede wszystkim producentów, którym rozpaczliwie brakuje motywacji, żeby skuteczniej zabezpieczać urządzenia. Czy etykietowanie produktów pozwoli osiągnąć ten cel, to się dopiero okaże.

Niestety, jak pokazuje sprawa zainfekowanej cyfrowej nagrywarki wideo (DVR), niedawno badana przez F-Secure Cyber Security Services, ten deficyt motywacji nie ogranicza się do producentów tanich urządzeń.

Przypadek nawiedzonej nagrywarki

Pewien szef firmy inwestycyjnej kazał zainstalować u siebie nagrywarkę cyfrową wysokiej klasy (sprzedawaną za około 1000 dolarów) jako część systemu bezpieczeństwa dla domów i małych firm. Zintegrował ją z resztą systemu według instrukcji producenta i zabezpieczył urządzenie poprawnym hasłem.

Jedna z kamer bezpieczeństwa była wycelowana w jego biurko i monitor. Dwie rzeczy wzbudziły w nim podejrzenia, że ktoś mógł włamać się do jego nagrywarki. Po pierwsze, światełka na urządzeniu migotały, kiedy nie powinny. Po drugie, kiedy próbował inwestować w pewne firmy, jego oferty były konsekwentnie przebijane. Zaczął zastanawiać się, czy ktoś nie ogląda tych ofert na ekranie komputera za pośrednictwem kamery bezpieczeństwa.

Dochodzenie naszego zespołu CSS potwierdziło podejrzenia: ktoś rzeczywiście przejął kontrolę nad urządzeniem. Luka w zabezpieczeniach nagrywarki pozwoliła hakerowi zmienić hasło zdalnie przez internet, bez znajomości istniejącego hasła, a następnie pobierać zapisany materiał wideo. Dochodzenie zaprowadziło nas na rosyjskojęzyczne forum, na którym omawiano tę szczególną podatność.

Grafika pokazuje, jak hakerzy znajdują luki w zabezpieczeniach i jak nimi handlują

Kto zhakował nagrywarkę i dlaczego? Nie jesteśmy pewni; wskazywanie winnych jest zarówno trudne, jak i niebezpieczne. Nie wiemy też, czy podejrzane przebijanie ofert nie było zwykłym zbiegiem okoliczności.

Skontaktowaliśmy się z producentem nagrywarki. Podaliśmy mu szczegółowe informacje o luce w zabezpieczeniach, ale nie był zainteresowany jej załataniem. Ten szczególny model wyszedł już ze sprzedaży i dostępny jest nowy – choć trudno powiedzieć, czy nie ma w nim tej samej luki.

Pieniądze nie kupią wszystkiego

Przypadek ten pokazuje, że w obecnej sytuacji rynkowej produkt droższy niestety nie musi być bezpieczniejszy – po prostu ma więcej funkcji. Choć nabywcy produktów IoT z wyższej półki mogą uważać, że są bezpieczni, to tylko pobożne życzenia.

Dopóki producenci urządzeń IoT nie stawią czoła stojącym przed nimi wyzwaniom, użytkownicy będą musieli rozważyć, czy podłączenie urządzenia do sieci jest tego warte. W przypadku nagrywarki DVR łączność internetowa pozwala właścicielowi oglądać swoje mieszkanie zdalnie, za pośrednictwem aplikacji, ale jednocześnie stwarza ryzyko, że urządzenie dostanie się pod kontrolę napastnika.

Czy masz urządzenia IoT w swoim środowisku korporacyjnym? Oto przydatna lista, która informuje, co mogą zrobić producenci i właściciele urządzeń IoT, żeby lepiej je zabezpieczyć.

Ten artykuł został zaadaptowany z naszego najnowszego raportu, The State of Cyber Security 2017. Pobierz pełen raport, aby dowiedzieć się więcej o najnowszych trendach i zagadnieniach bezpieczeństwa cyfrowego. 

Tagi

Oceń artykuł

0 głosów

0 komentarzy

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

Może Ci się też spodobać

%d bloggers like this: