fb
28. 4. 2023 12:10

Počet útoků na zařízení internetu věcí roste, kyberzločinci útočí na IP kamery, chytré žárovky i vysavače

Podle odhadů společnosti Statista bude do roku 2030 po celém světě téměř 30 miliard zařízení internetu věcí (IoT). Zařízení, jako jsou interaktivní hračky, chytré žárovky, kamery nebo třeba vysavače a ultrazvu­ky, nám zlepšují život, ale přináší s sebou i nová rizika a hrozby. Tato zařízení jsou pro kyberzlo­čin­ce atraktivním terčem a jejich zabezpečení je často v žalostném stavu. Zastaralé operační systémy, nezáplatované zranitelnosti, nepravidelné aktualizace, používání výchozích hesel a další slabiny z nich dělají snadný cíl.

Navíc je nutné zabezpečit software i hardware a výrobci mnohdy nemají příliš velkou motivaci investovat do zabezpečení, zejména v případě levnějších produktů.

„Jedním z motivů pro útok na zařízení internetu věcí jsou krádeže dat a špehování. Přihlašovací údaje, e-maily, adresy, platební karty, telefonní čísla a podobně lze výhodně prodat na darknetu. Hacknuté kamery lze zase jednoduše použít k špionážním účelům nebo vydírání. Pokud útočníci proniknou do zařízení, mohou jej zneužít různými způsoby, měnit jeho funkce, způsobit na zařízení škody nebo jej použít k šíření malwaru na další zařízení a jako nečekaný vstupní bod při útoku na podnikovou síť. Výkonnější IoT zařízení mohou kyberzločinci použít jako součást rozsáhlé sítě pro DDoS útoky,“ říká Miloslav Lujka, Country Manager společnosti Check Point Software Technologies.

Některé botnety totiž obsahují desítky tisíc nebo i miliony infikovaných zařízení, která „zotročí“ a jejichž výkon používají k nelegálním činnostem. Nechvalně známý IoT botnet Mirai byl například v roce 2016 použit k masivním útokům na společnost Dyn, poskytovatele DNS, a vyřadil z provozu mnoho služeb, včetně YouTube a Twitteru. Alarmující je, že Mirai patří v posledních týdnech mezi nejagresivnější kybernetické hrozby pro české organizace. A sílu IoT zařízení se snaží zneužívat i další botnety, jako jsou Mozi, Echobot, BotenaGo nebo Moonet. Některé botnety si lze pronajmout na darknetu za pár desítek dolarů, což je připomínka komplexnosti kyberzločinu.

Jak vyplývá ze zveřejněné analýzy společnosti Check Point, v prvních dvou měsících roku 2023 se každý týden stalo obětí kyberútoků zaměřených na IoT zařízení v průměru 54 % organizací. Jedna taková organizace čelila týdně téměř 60 útokům zaměřeným na IoT zařízení, což je o 41 % více než v roce 2022 a více než trojnásobek oproti roku 2021. Útokům běžně čelí například routery, IP kamery, digitální videorekordéry, síťové videorekordéry nebo tiskárny, výjimkou ale nejsou ani chytré televize nebo vysavače. Kyberzločinci si dobře uvědomují, že IoT zařízení jsou jednou z nejzranitelnějších částí sítě, přičemž většina z nich není řádně zabezpečena ani spravována. A úspěšný útok umožní následně proniknout i do podnikové sítě.

Sharp increase in cyber attacks targeting IoT devices

Nejčastěji jsou napadaná evropská IoT zařízení.
Nejčastěji jsou napadaná evropská IoT zařízení.

Nejvyššímu počtu útoků na IoT zařízení čelí vzdělávací a výzkumné instituce. V průměru na jednu organizaci směřuje neuvěřitelných 131 útoků týdně, což je více než dvojnásobek celosvětového prů­mě­ru a o 34 % více než v loňském roce. Ve školních sítích je velké množství osobních údajů, což ze studentů a škol činí lukrativní cíle. Útočníci mají stále více možností i vzhledem k častější vzdálené výuce a k nárůstu nových a nezabezpečených IoT zařízení ve škol­ních sítích. Hackeři také dobře vědí, že školy buď neinvestují, nebo si nemohou dovolit investovat do robustních bezpečnostních tech­no­lo­gií. To hackerům usnadňuje phishingové i ransomwarové útoky.

Average weekly IoT cyber attacks per organization by sector - Jan-Feb 2023 vs. 2022

K identifikaci a zneužití zranitelností ve webových aplikacích a rozhraních API se běžně používají skenery zranitelností. Tyto nástroje lze použít k odstraňování slabin, ale mohou je používat i kyberzločinci. Nejoblíbenější jsou nástroje OAST (Out-of-band security testing) a Interact.sh. Skenování útočníkům pomáhá identifikovat potenciální oběti.

Oblíbeným terčem kyberútoků jsou výkonné kamery, ale podívejme se i na několik dalších příkladů, které jsou varováním, že podcenit nelze vůbec nic:

  • Chytrá žárovka – Zranitelnosti v populárním protokolu ZigBee umožňovaly hackerům zneužít chytré žárovky a řídící jednotku k šíření ransomwaru nebo spywaru v podnikových a domácích sítích. Řada organizací nemá vůbec tušení, že by jejich bezpečnost mohla být narušena útok vedeným přes žárovky.
  • Chytré hračky – Z webové platformy interaktivních hraček společnosti Vtech bylo možné získat citlivá data, včetně čísla platební karty, adresy, koníčků, jména dětí a podobně. Ještě nebezpečněji bylo možné hacknout panenky „Hello Barbie“, které poslouchaly dítě, rozpoznaly jeho řeč a dokázaly odpovídat na otázky. Hračka měla mikrofon, reproduktor a přes internet posílala slova k analýze a vytvoření odpovědí. Pokud ale někdo pronikl do části, kde se hlas přenáší a ukládá (na serveru), mohl mít přístup ke kompletnímu obsahu celé komunikace. Lze si představit bezpočet způsobů, jak podobné informace zneužít.
  • Chytrý vysavač – Check Point dříve objevil a publikoval informace o zranitelnost v chytrých domácích produktech LG SmartThinQ. Zranitelnost v mobilní a cloudové aplikaci LG SmartThinkQ umožnila přihlásit se vzdáleně do cloudové aplikace SmartThinQ a převzít kontrolu nad uživatelským účtem LG, včetně možnosti získat kontrolu nad vysavačem a jeho integrovanou videokamerou. Zranitelnost mohla umožnit špehovat domácnost a útočníci získali možnost ovládat prakticky jakékoliv zařízení LG SmartThinQ, například vypínat a zapínat myčky na nádobí, pračky atd.

Prevence, nikoli detekce

Podobně bychom ve výčtu zranitelných zařízení a možnostech zneužití mohli pokračovat ještě řadou dalších příkladů. Dostat se ke zranitelným zařízením může být lehčí, než se zdá. „Například přes vyhledávač Shodan lze najít nezabezpečená IoT zařízení, takže miliony domácností je možné špehovat jejich vlastními kamerami. Že je vaše zařízení infikované a součástí botnetu, můžete zjistit mimo jiné poklesem jeho výkonu. Ale podobně jako v reálném světě i v tom kybernetickém je potřeba klást důraz na prevenci. Taky asi nebudete chtít odhalit lupiče v maskách, až když vám v noci budou prohledávat dům. Podobně je potřeba eliminovat hrozby a útoky v kybernetickém světě, ještě než mohou způsobit nějaké škody,“ dodává Miloslav Lujka.

Je potřeba si uvědomit, že nelze slepě spoléhat na výrobce. Než si nějaké zařízení koupíte, podívejte se na jeho bezpečnostní funkce, porovnejte to s konkurencí a také se informujte, co po koupi udělat, aby vše fungovalo bezpečně. U automobilů se zajímáte nejenom o výbavu a pohodlí, ale i o to, zda vás auto ochrání v případě nehody. Zajímat se o kyberbezpečnost by mělo být stejně automatické. Nakupujte zařízení od důvěryhodných značek, které kladou důraz na bezpečnost, a zařízení pravidelně aktualizujte. Nikdy nepoužívejte přednastavená hesla a aktivujte si vícefaktorové ověřování, segmentujte sítě, monitorujte svoje prostředí, šifrujte a aplikujte autentizační prvky, ale také používejte pokročilé zabezpečení.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Kontakty - Více o časopisu
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 3 IT Systems 1-2 IT Systems 12 IT Systems 11
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1