5 na 10 urządzeń IoT ma dziury w zabezpieczeniach. Każde urządzenie znajdujące się w firmie, niezależnie czy jest to zamek na kartę magnetyczną, inteligentny włącznik światła czy bezprzewodowa drukarka, może być wektorem wejścia dla cyberprzestępcy. Testy przeprowadzone przez TestArmy CyberForces pokazały, że aż 5 na 10 popularnych sprzętów IoT ma dziury w systemach bezpieczeństwa.
Zgodnie z szacunkami IDC, w 2019 roku światowe wydatki na Internet Rzeczy mają wynieść 745 mld dolarów, czyli o 15,4 proc. więcej niż w roku ubiegłym. Jednocześnie na zabezpieczanie inteligentnych urządzeń nadal przeznaczany jest zaledwie ułamek tej kwoty (1,5 mld dolarów w 2018 roku). Trudno się więc dziwić, że blisko 20% organizacji w ciągu ostatnich trzech lat zaobserwowało przynajmniej jeden atak oparty na IoT (raport Gartner: „Forecast: IoT Security, Worldwide, 2018”), a Internet Rzeczy niezmiennie uznawany jest za jeden z najbardziej zagrożonych sektorów technologii.
– Dobry firewall czy monitoring infrastruktury sieciowej to obecnie zbyt mało, aby mówić o efektywnej ochronie przed cyberzagrożeniami. Jeżeli firma chce korzystać z inteligentnych urządzeń, a przy tym eliminować ryzyko skutecznie przeprowadzanych cyberataków, konieczna jest dokładna analiza wszystkich wykorzystywanych przez nią systemów, zarówno tych fizycznych, jak i wirtualnych – mówi Szymon Chruścicki, ekspert z firmy TestArmy CyberForces, która przebadała popularne urządzenia IoT pod kątem ich podatności na cyberwłamanie.
Połowa urządzeń IoT ma luki w systemach bezpieczeństwa. W tym drukarka prezesa znanej firmy
Aby udowodnić ryzyko związane z korzystaniem z nieodpowiednio zabezpieczonych urządzeń podłączanych do sieci, eksperci z TestArmy CyberForces przeprowadzili dwa testy penetracyjne. W pierwszym zbadali poziom zabezpieczeń popularnych sprzętów IoT dostępnych w sklepach. W drugim podjęli próbę włamania się do systemu znanej korporacji obracającej setkami tysięcy danych sobowych pochodzących ze zgód marketingowych. Wyniki obu testów dały do myślenia:
Połowa przebadanych urządzeń IoT posiada luki w systemach bezpieczeństwa
Pod lupą ekspertów od cyberbezpieczeństwa znalazły się popularne urządzenia wykorzystywane w smart firmach i smart domach – m.in. inteligentne przełączniki i włączniki światła, inteligentne żarówki, programowalne termostaty, słuchawki czy lampki na USB. Okazało się, że aż 5 na 10 z przetestowanych urządzeń IoT posiadało dziury w oprogramowaniu. Złamanie systemu i dostanie się do sieci bezprzewodowej, do której były podłączone, zajmowało ekspertom nie więcej niż kilkadziesiąt minut (ok. 30 minut w przypadku najtańszych urządzeń).
Drukarka otwiera dostęp do wrażliwych danych i… gabinetu prezesa
Każda firma wyposażona w urządzenia podłączane do sieci narażona jest na atak cyberprzestępcy, szczególnie gdy korzysta z niezweryfikowanych pod kątem bezpieczeństwa sprzętów. Do takiej sytuacji doszło w jednej ze znanych na rynku korporacji, zajmującej się przetwarzaniem wrażliwych danych osobowych pochodzących ze zgód marketingowych.
Podczas zaplanowanych testów infrastruktury bezpieczeństwa eksperci z TestArmy CyberForces odkryli, że firmowy system posiada lukę pozwalającą na uzyskanie zdalnego połączenia z bezprzewodową, zintegrowaną z laptopami pracowników drukarką. Odkryli też możliwość podłączenia się do firmowych kamer bezpieczeństwa, sterowania nimi, a nawet odbierania obrazu “na żywo”. Po podejrzeniu wprowadzanych przez pracowników 6-cio cyfrowych kodów do zamków magnetycznych, przeprowadzili więc udany atak socjotechniczny. Po godzinach pracy, posługując się uzyskanymi kodami, weszli do biura, zostawiając tajemniczą kartkę i wizytówkę.
– Zawsze wychodzę z firmy jako ostatni, więc byłem mocno zdziwiony, gdy rano zobaczyłem na biurku kartkę z informacją, że “test socjotechniczny firmy został ukończony” oraz wizytówkę do eksperta od cyberbezpieczeństwa. Po nawiązaniu kontaktu wyszło, że cała sytuacja była prowokacją, a jej celem ukazanie katastrofalnych konsekwencji, do których mogłoby dojść, gdyby luka w systemach bezpieczeństwa nie została wykryta i załatana. Przypomnę, że nasza firma operuje wrażliwymi danymi osobowymi. Nie możemy pozwolić sobie na naukę na błędach. Dlatego na bieżąco śledzimy sytuację, wychwytujemy wszystkie potencjalne czynniki zagrażające cyfrowemu bezpieczeństwu i odpowiednio szybko na nie reagujemy – mówi Konrad, prezes zaatakowanej spółki (imię zostało zmienione).
Jakie jeszcze urządzenia IoT mogą zawieść? Zobaczmy najprostsze i najtańsze czytniki kart magnetycznych, które mają chronić pomieszczenia przed dostępem osób nieupoważnionych. Choć wydają się bezpieczne, tak naprawdę są bardzo łatwe do złamania. Karty magnetyczne posiadają swoje ID, najczęściej nadrukowywane na ich wierzchniej części. Wystarczy więc aparat fotograficzny z dobrym zoomem lub bezpośredni kontakt z posiadaczem, aby poznać numer i zakodować go na własnej karcie, zyskując dostęp do chronionej przestrzeni.
Oczywiście, bardziej zaawansowane karty posiadają wewnętrzny mikroprocesor, a sklonowanie sygnału otwierającego zamek wymaga umiejętności technicznych. Niemniej koszt całego przedsięwzięcia to ok. 30 zł. Wystarczy bowiem zakupić moduł WiFi oparty na chipie ESP8266 (ok. 12 zł), odpowiednio go zaprogramować i podpiąć pod niego moduł czytnika kart RFID (ok. 15 zł). Poza tym urządzenie musi znajdować się blisko czytnika, co nie jest trudne, bo jest tylko trochę większe od pendrive i można je dodatkowo spłaszczyć. – Zasięg przesyłania sklonowanego sygnału w przestrzeni biurowej wynosi ok. 20 m, więc wystarczy przejść się po klatce schodowej, aby urządzenie bezprzewodowo odczytało numery kart należących do osób przebywających w biurze – tłumaczy Sebastian Gilon, twórca takich urządzeń, ekspert ds. cybersecurity w TestArmy CyberForces.
Nieodpowiednio zabezpieczonych urządzeń IoT na rynku jest mnóstwo. Nie ucichła jeszcze afera po tym, jak ujawniono, że australijskie smart watche TicTocTrac oraz inteligentne zegarki Enox z Islandii posiadają luki w oprogramowaniu pozwalające cyberprzestępcom na śledzenie używających ich dzieci. Nie zapominając o dużej aferze ostatnich lat, kiedy lalka My Friend Cayla od Genesis Toys została wycofana z rynku niemieckiego po tym, jak okazało się, że zabawka bez wiedzy innych nagrywała i transmitowała rozmowy.
IoT to wielkie zagrożenie, ale jeszcze większy potencjał – o ile kwestie bezpieczeństwa tych urządzeń będą traktowane priorytetowo.
Źródło: TestArmy CyberForces
opracował: Arkadiusz Gawłowski