O kamerach i podatności: jak IoT może naruszyć Twoją przewagę konkurencyjną

Inteligenty Świat

Firma F-Secure znalazła liczne luki w zabezpieczeniach kamer IP Foscam, które umożliwiają napastnikowi przejęcie kontroli nad urządzeniem. A problem bynajmniej nie ogranicza się do jednej marki i modelu.

 Aktualizacja: 19 czerwca 2017 – firma Foscam zaktualizowała wbudowane oprogramowanie kamer, żeby wyeliminować opisywane tu luki w zabezpieczeniach. Badamy aktualizację oprogramowania, aby potwierdzić, że problem został rozwiązany.

Internet rzeczy puka do naszych drzwi, przynosząc ekscytujące możliwości, oszczędność kosztów i wzrost efektywności. Jednak ten wspaniały nowy świat ma ciemną stronę, którą dobrze podsumowuje coś, co nazywamy Prawem Hypponena: jeśli coś jest inteligentne, to jest podatne na atak.

F-Secure i firmy takie jak my nieustannie odkrywają podatności w „rzeczach” podłączonych do internetu, a prawo Hypponena niedawno znów zostało potwierdzone poprzez odkrycie licznych luk w zabezpieczeniach dwóch kamer bezpieczeństwa chińskiej firmy Foscam. Jak opisano w naszym nowym raporcie, zidentyfikowaliśmy w nich 18 różnych luk, które mogłyby umożliwić napastnikowi przejęcie kontroli nad kamerą oraz oglądanie i pobieranie wideo.

To nic nowego – wszyscy słyszeliśmy historie o hakerach podglądających niczego niepodejrzewające ofiary. Nie należy jednak zapominać, że urządzenie to nie jest tylko kamerą, ale również serwerem. Podatnym na atak serwerem, który może stanowić furtkę do reszty sieci, jak Janne Kauhanen z F-Secure wyjaśnia w tym wideo.

Jeśli urządzenie to znajduje się w sieci firmowej, a napastnik uzyska do niego dostęp, to może zainfekować je malware’em, który zapewni mu dostęp do reszty sieci i jej zasobów.

Ewolucja sieci

Granice sieci od wielu lat stopniowo się zacierają. „Uchmurowienie”, konsumeryzacja i mobilny personel sprawiają, że urządzenia, zasoby i dane, które kiedyś były w środku, teraz są na zewnątrz, a to co było na zewnątrz, znalazło się w środku. Internet rzeczy prowadzi do dalszej erozji granic, ponieważ inteligentne „rzeczy” rozciągają sieć daleko poza stacje robocze, laptopy, smartfony lub tablety.

Kauhanen formułuje to w taki sposób: „IoT wprowadza do sieci więcej urządzeń, o których nie myślimy jak o urządzeniach sieciowych. W ten sposób powstaje ukryte IT, czyli sytuacja, w której firmy nie wiedzą o wszystkich urządzeniach znajdujących się w ich sieciach. A jeśli o czymś nie wiesz, nie możesz tego zabezpieczyć”.

Zaniedbywanie zabezpieczeń

Harry Sintonen, nasz konsultant ds. bezpieczeństwa, który znalazł luki, mówi, że jeszcze nie widział tak źle zaprojektowanego urządzenia. „Trudno o gorsze luki w zabezpieczeniach – mówi. – Pozwalają one napastnikowi zrobić właściwie wszystko, co mu się spodoba. Może wykorzystać je jedna po drugiej albo w dowolnej kombinacji, aby uzyskać większe przywileje w urządzeniu i sieci”.

Wiele spośród problemów trapiących tę kamerę jest skutkiem zaniedbań. Nie zadbano o to, żeby domyślne hasła były losowe, żeby wprowadzenie zbyt wielu błędnych haseł blokowało dalsze próby zalogowania się, żeby dostęp do kluczowych plików i katalogów był ograniczony. Inna sprawa to funkcje, które nie powinny się tam znaleźć, takie jak ukryty dostęp przez Telnet czy zakodowane „na sztywno” poświadczenia, które pozwalają napastnikowi obejść nawet unikatowe hasło użytkownika.

Wszystko to sprowadza się do jednego: chronicznego lekceważenia kwestii bezpieczeństwa przez producentów urządzeń. Problem ten jest powszechny w inteligentnych „rzeczach”. Bezpieczeństwo nie jest atrakcyjne marketingowo, więc producenci nie chcą w nie inwestować. Tak powstają legiony niezabezpieczonych kamer, termostatów, nagrywarek wideo, czajników, do wyboru do koloru.

Problem ten nie wpływa wyłącznie na posiadaczy tych urządzeń. Zeszłej jesieni w bezprecedensowych atakach DDoS wykorzystano armie niezabezpieczonych, zainfekowanych urządzeń IoT do sparaliżowania dużych połaci internetu. Ataki te dowiodły, że lekceważąc bezpieczeństwo IoT, narażamy na ryzyko cały internet.

Wyszukiwanie i infekowanie tych urządzeń nie stanowi problemu dla napastników, ponieważ producenci bardzo ułatwili im zadanie. Jak mówi Kauhanen: „Jeśli jedno z tych urządzeń jest w Twojej sieci, to gwarantuję, że hakerzy je znajdą”.

Rozwiązanie

Choć sprawa wydaje się beznadziejna, jest promyk nadziei, twierdzą eksperci F-Secure. Choć regulacje prawne nigdy nie są idealnym rozwiązaniem, to pomogłyby zwrócić uwagę producentów na bezpieczeństwo.

„Wiele branż przechodzi przez podobny proces, kiedy ludzie uświadamiają sobie problemy z bezpieczeństwem – mówi Sean Sullivan, doradca ds. bezpieczeństwa w F-Secure – Na przykład samochody; w końcu zrozumieliśmy, że pasy bezpieczeństwa to dobry pomysł. To samo dzieje się teraz z internetem rzeczy. Za dziesięć lat sytuacja się wyklaruje. Pytanie brzmi, czy chcesz, żeby w tym czasie problemy te naruszyły Twoją przewagę konkurencyjną?”.

Firmy, które chcą stawić czoła temu problemowi, muszą upewnić się, że urządzenia tego rodzaju znajdują się w oddzielnej sieci, niedostępnej w internecie. A to oznacza przyjęcie holistycznego, wielowarstwowego podejścia do bezpieczeństwa. Zorientuj się, co tak naprawdę dzieje się w Twojej sieci. Zrozum swoją powierzchnię ataku i zminimalizuj ją.

Co do firm, które budują urządzenia IoT, jeśli teraz skupią się na bezpieczeństwie, zyskają przewagę później, kiedy regulacje zaczną wchodzić w życie. Jeśli więc projektujesz inteligentne rzeczy, od samego początku zadbaj o bezpieczeństwo oprogramowania. Wprowadzenie procesów zapewniających bezpieczeństwo produktu i zainwestowanie choćby skromnych środków w zabezpieczenia pozwoli Ci odróżnić się od innych. Może to zapewnić Ci przewagę, zwłaszcza kiedy zostaną uchwalone odpowiednie przepisy. Możesz dowiedzieć się więcej o projektowaniu bezpiecznych systemów z przemówienia Ollego Segerdahla, głównego konsultanta F-Secure ds. bezpieczeństwa,.

 

Tagi

#IoT

Oceń artykuł

0 głosów

0 komentarzy

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

Może Ci się też spodobać

%d blogerów lubi to: