Smart neznamená vždy múdre riešenie

Digitalizácia a informatizácia, asi dve najskloňovanejšie slová modernej doby, zasahujú viac či menej do všetkých oblastí života bežných ľudí. Moderné technológie už nie sú výsadou úzkej skupiny nadšencov. Dostupnosť a jednoduchosť používania technologických vychytávok za posledné desaťročie začal revolúciu, ktorá sa prejavila v masovom rozšírení zariadení bez rozdielu adresáta. Mobilné smartphony, výkonné notebooky či inteligentné hodinky – to je len špička ľadovca.

Disponovať zariadením, ktoré možno považovať za moderné alebo „smart“, dnes už nie je žiadny problém. Spoločnosti však niet čo vyčítať – takéto riešenia nám pomáhajú v práci, uľahčujú nám bežné činnosti alebo jednoducho robia prístupnejšími oddych a zábavu. Vývoj jednotlivých systémov a služieb je priam nezastaviteľný. Môžeme však svorne tvrdiť, že v položke „inovácie“ je zahrnutá aj „dôvera“? Možno o niečom modernom hovoriť, že je to zároveň aj bezpečné?

Internet vecí (Internet of Things)

Internetové pripojenie je v dnešnej dobe akoby nevyhnutnou súčasťou každého moderného zariadenia a stáva sa akýmsi štandardom, nad ktorým už nikto akosi nepremýšľa ale automaticky s ním počíta. Táto premisa je predpokladom vzniku obrovskej siete, ktorá stojí niekde uprostred globálneho internetu a exponenciálne rastie. Súhrnne túto sieť nazývame Internet vecí, čo je bezpochyby veľmi príznačný názov.

Zjednodušene pod Internetom vecí (v skratke IoT) rozumieme prepojenie zariadení, ktoré disponujú internetovou konektivitou. V konečnom dôsledku sem počítame všetko, čo je aktívne pripojené na internet a explicitne využíva sieť nie len na fungovanie, ale najmä na komunikáciu s ostatnými zariadeniami. V ideálnej konfigurácii je IoT fantastickým nástrojom. Pomáha, uľahčuje, zabáva či dokonca rozhoduje.

Kyberparadoxy alebo ako nám môže uškodiť hacknutá chladnička

Poďme sa ale pozrieť na to, ak sa pokúsime z „dokonalých“ zariadení urobiť „dokonalé“ nástroje na kompromitáciu či zneužitie. Ruku na srdce, koľkí z nás sa pri kúpe smart zariadení zamýšľajú okrem dizajnu, funkcií a ceny aj nad ich zabezpečením? Využívať výhody moderných technológií je jedna vec, no na druhej strane stojí ich bezpečnosť a dôvera v ich fungovanie tak, ako sme požadovali pri ich kúpe.

Ak si predstavíme, aké množstvo zariadení je v sieti pripojených a na aké účely sa používajú, dostávame zaujímavé fakty. V dnešnej dobe sa tzv. smart riešenia používajú v každej oblasti nášho života. Či už sú to inteligentné domácnosti, v ktorých sú pripojené smart chladničky či žiarovky, alebo smart televízory pripojené na internet. Konektivita však nie je hlavný problém týchto zariadení. Tým je už okrídlená veta – bezpečnosť nebola požiadavkou pri vývoji.

Čo sa stane, ak narušíme ideálne nadstavenie IoT v bežnej smart domácnosti? Ako príklad môžeme uviesť inteligentnú chladničku. Tá nám poskytuje servis nie len v podobe správne nadstavenej teploty pre jednotlivé oddiely potravín, ale napríklad aj pri nákupoch tým, že na dotykovom displeji vypíše presne to, čo nám v chladničke chýba. Na prvý pohľad sada funkcionalít, ktoré sú veľmi užitočné. Čo sa však stane, ak sa do tejto chladničky dostane škodlivý kód? Funkcie chladničky sa zmenia, už nám nebude hlásiť, čo máme v obchode kúpiť, lebo jej displej nám bude napríklad hlásiť, že máme zaplatiť výkupné. Povieme si, mrzuté, no ako tak vieme fungovať ďalej. No čo v prípade, ak kvôli takémuto škodlivému kódu prestane fungovať regulácia teploty? Vonkajšia teplota sa blíži k štyridsiatke, v chladničke máme rýchlo kaziace sa potraviny…a to sme uviedli len veľmi jednoduchý príklad.

Predstavte si však, že sa vám niekto neoprávnene nabúra do vášho alarmu. Alebo bez vášho vedomia začne prezerať videozáznamy z vášho kamerového systému a len tak z dlhej chvíle bude zdieľať zábery z interiéru vášho domu na internete. To isté platí aj o smart televízore s videokamerou a pripojením na inernet, bezdrôtových reproduktoroch či webkamerách k počítaču. Myslíte si, že vám sa to nemôže stať? Že vy nie ste pre útočníkov zaujímavý cieľ? S pravdepodobnosťou hraničiacou s istotou sa mýlite. Kyberzločinci si svoje obete v IoT nevyberajú. Proste útočia.

Ešte alarmujúcejšou skutočnosťou je možnosť zneužitia jednotlivých zariadení IoT. Pomocou skriptov, ktoré sa dnes na darkwebe vyskytujú v stovkách, dokáže útočník prekonfigurovať nadstavenia jednotlivých zariadení a tie spojiť do obrovského botnetu a pomocou riadiaceho servera všetky naraz ovládať a využívať na rôzne účely – napríklad na DDoS útoky alebo distribúciu malvéru. Vo väčšine prípadov o tom samotný vlastník zariadenia ani nevie.

Len žiadnu paniku!

Aj keď sa z vyššie uvedeného zdá, že budúcnosť IoT je čiernejšia, ako to deklarujú výrobcovia zariadení, nemusí to byť až také bezútešné. Stačí len, aby zákazníci donútili výrobcov a vývojárov k väčšej zodpovednosti. Je to dlhý a zložitý proces, nakoľko uvedomenie si, že investícia do bezpečnosti je zároveň investíciou do budúcnosti jednotlivých zariadení, prichádza len pomaly. Čo však môžeme ako jednotlivci urobiť, ak chceme využívať všetky výdobytky modernej techniky a pritom dôverovať svojim zariadeniam, že sú bezpečné?

Existuje množstvo odporúčaní, ktoré môžeme zhrnúť v niekoľkých bodoch:

1. Pri nákupe IoT zariadení je hlavným lákadlom dizajn či technologická vyspelosť, no v prvom rade by mal užívateľ zhodnotiť bezpečnosť jednotlivých zariadení. Šifrovaný prenos dát, možnosť nadstavenie užívateľských privilégií alebo niekoľko faktorová autentifikácia sú parametre, na ktoré by ste mali hľadieť v prvom rade.

2. Ak si nie ste istí výberom zariadenia, pýtajte sa. Odborníkov, predajcov, používateľov. Internet je plný recenzií na veľké množstvo produktov. Ak kupujete takéto zariadenie v kamennom obchode, vyskúšajte si ho priamo na mieste, najmä či spĺňa aspoň základné bezpečnostné požiadavky.

3. Ak ste sa rozhodli pre zariadenie z portfólia IoT, ktoré je bezpečné a technologicky vyspelé, nezabúdajte, že práve používateľ je častokrát najväčšou zraniteľnosťou. Zmeňte pôvodné heslá a využívajte všetky bezpečnostné prvky, ktoré vám zariadenie ponúka.

4. Dôležitou predispozíciou správneho fungovania akéhokoľvek zariadenia, pripojeného na internet, je správne nakonfigurovaná domáca sieť. Kvalitný router, šifrované spojenie a správne zadefinované privilégií jednotlivých používateľov sú základom, bez ktorých nemožno bezpečne fungovať.

Čo dodať záverom? Pohybovať sa v prostredí IoT a vyberať vhodné zariadenie pre súkromné, ale i firemné účely je náročné. No kúpa správneho produktu nie je nemožný cieľ. Bezpečnosť informačných technológií nie je instantný nápoj, ktorý sa predáva v krabičke po desať kusov. Je to neustály progres činností a služieb, ktoré si vyžadujú odborné znalosti. Tak, ako sú dostupné moderné technológie, sú dostupné aj poznatky z oblasti bezpečnosti. Neignorujme preto fakt, že naša bezpečnosť na internete je rovnako dôležitá ako naša fyzická bezpečnosť v reálnom svete. Spomeňte si na túto vetu, keď budete šoférovať vaše smart auto. Inteligentná domácnosť či inteligentná firma sa predsa nedá vybudovať na hlúpych zariadeniach.

(Autor: SK-CERT)

« Späť na zoznam