facebook LinkedIN LinkedIN - follow
IT SYSTEMS 1-2/2018 , IT Security

(Ne)bezpečnost internetu věcí

Ivan Svoboda


AnectPro úvahy o tom, jak nebezpečný může být Internet věcí, si nejdřív musíme uvědomit, jak a kde nám vlastně slouží a pomáhá.


Úvod – co je Internet věcí?

Internet věcí (Internet of Things, IoT) představuje rychle narůstající celosvětovou síť nejrůznějších zařízení (např. vozidel, vytápění, výrobních strojů, odpadkových košů apod.), která jsou vybavena různě složitou či jednoduchou elektronikou, softwarem, senzory a síťovou konektivitou. Právě ta těmto zařízením umožňuje vzájemně se propojit mezi sebou nebo s nějakým centrálním řídícím uzlem. Cílem propojení tak může být buď pouze jednosměrný sběr dat z těchto zařízení do centra, např. sběr informací z teplotních senzorů z domácnosti, nějaké výrobní linky, transportních prostředků či skladovacích prostor. Ve druhém případě jde naopak o možnost zasílání instrukcí z centra do těchto prvků pro jejich ovládání, např. dálkové zapnutí vytápění v domě. Samozřejmě největší přínos získáme v okamžiku, kdy tyto přenosy dat fungují obousměrně, třeba když z teplotního senzoru zjistíme, že je teplota v místnosti nízká, a pošleme povel k jejímu zvýšení.

Internet věcí a umělá inteligence

K výše uvedeným možnostem internetu věcí se logicky postupně přidává i možnost využití umělé inteligence (AI), aby výše zmíněný úkon (např. úprava teploty dle její aktuální naměřené hodnoty) nemusel dělat člověk, ale vyřídil ho za něj stroj/počítač. Možnosti a schopnosti umělé inteligence se zároveň velice rychle zvyšují do té míry, aby např. náš domácí digitální asistent věděl sám od sebe, jaká je pro nás optimální teplota, a neustále ji automaticky hlídal a sám upravoval. Ve skutečnosti jde ale technologie ještě dál a moderní digitální asistent může třeba vědět, kdo z členů domácnosti je doma, kdo má rád jakou teplotu v domě, hudbu, osvětlení apod. Většinou se přitom jedná o asistentky – např. Cortana od Microsoftu, Siri od Apple nebo Alexa od Amazonu; jen Google používá genderově neutrální pojmenování „Hey Google“. Tyto asistentky mají dokonce snahu i dopředu odhadovat, co je pro vás nejlepší, jakou budete mít náladu, na jakou hudbu či film budete mít chuť, atd.

Z výše uvedeného příkladu si asi všichni umíme představit, jak by nám tato umělá inteligence ve spojení s Internetem věcí uměla znepříjemnit život, pokud se k tomu rozhodne sama (vizte katastrofické filmy typu Terminátor apod.), nebo když špatně vyhodnotí naše potřeby, udělá nějakou jinou chybu, či ji někdo zneužije se zlým úmyslem.

Rozšíření a význam IoT

Podle různých průzkumů (např. odhady společnosti Gartner) lze odhadovat, že celkové množství „věcí“, které jsou dnes připojeny k internetu, se pohybuje na hranici cca 8 miliard a během několika let (do roku 2020) naroste zhruba třikrát, tedy na 20 miliard. Aktuální využití „chytrých zařízení“ v domácnostech zahrnuje například následující oblasti:

  • Automatizace domácností a domů: vytápění, osvětlení, úklid, bezpečnost apod.
  • Pohodlí a zdraví: zdravotní senzory, monitory pohybu a sportu.
  • Zábavu: chytré televize a centra domácí zábavy.

Využití IoT v komerčním nebo průmyslovém sektoru již dnes zahrnuje například aplikace pro monitorování spotřeby energie v nejrůznějších oblastech s cílem její úspory, nebo monitoring a řízení dopravy či sledování nejrůznějších parametrů v zemědělství.

Narůstajícím trendem je i postupné „ochytřování měst a budov“; nejvyšší přínosy vykazuje IoT například v úsporách energie, v automatizaci nejrůznějších podpůrných činností typu chytrých odpadních košů či kontejnerů, které samy nahlásí, pokud jsou plné, a přivolají si obsluhu k jejich vysypání.

Jaká jsou rizika zneužití IoT?

Dovolím si rozdělit rizika IoT na jedné straně pro využití v domácím a osobním životě, a na druhé straně pro využití v podnikovém a veřejném životě. To, co je pro obě tyto sféry společné, jsou základní principy možného zneužití IoT v následujících oblastech:

  • zneužití IoT k přímému poškození, nebo vydírání uživatele (fyzické osoby, podniku či státní či veřejné organizace),
  • zneužití IoT jako přístupového bodu, přes který se lze dostat k jiným cenným aktivům,
  • zneužití IoT jako výpočetního a komunikačního zdroje k jiným účelům (např. k DDoS útoku na někoho jiného, či k těžbě kryptoměny apod.).

Rizika v domácí a osobní sféře

V této sféře se nejvyšší rizika týkají možného zneužití IoT k ohrožení života a majetku fyzických osob. Představte si např. změnu fungování zdravotnických pomůcek, jako jsou kardiostimulátory, inzulinové pumpy apod. Tímto způsobem může dojít i k tragickým dopadům na zdraví pacienta. Traduje se informace, že americký viceprezident Dick Cheney v roce 2007 pro jistotu nechal vypnout bezdrátovou komunikaci svého kardiostimulátoru z obavy před možným kyberteroristickým útokem. K ohrožení života ale může dojít i při převzetí kontroly nad chytrým autem (ovládnutí brzd a dalších součástí).

Rizika si můžeme představit nejlépe v kombinaci s využitím umělé inteligence, viz příklady zneužití digitálních hlasových asistentek. V USA došlo k případu, kdy byla digitální asistentka zneužita nevědomky dítětem, které si objednalo hračky a bonbony. Následně se případ znásobil, když v televizi o tomto případu mluvili v reportáži a digitální asistentky ve spoustě domácností poslouchaly a „poslechly příkaz“ zadaný reportérem v televizi. Naštěstí v tomto případě zafungovalo bezpečnostní opatření na úrovni potvrzování nákupní transakce. Ale představte si situaci, kdy zloděj v noci slušně požádá vaši domácí digitální asistentku, aby vypnula alarm a otevřela dveře. Obecně platí, že každý nástroj, který přináší pohodlí a užitek svému majiteli, může přinést pohodlí a užitek i zlodějům.

Finančního profitu však mohou útočníci dosáhnout i formou „pouhého“ kybernetického vydírání, nikoliv útokem. Vaše lednička a mrazák např. můžou přestat chladit, v zimě přestane topení topit, dojde k vypínání elektřiny a vody, pokud nezaplatíte požadované „výpalné“. Podobně vám může i sušička a pračka schválně zničit oblečení, vysavač po bytě rozfouká špínu apod.

Chytrá televize a další prvky domácí zábavy potom mohou být zneužity k odposlechu, nebo dokonce nahrávání citlivých a zneužitelných záběrů. Bohužel, mikrofony, kamery a připojení k internetu se stále častěji stávají součástí nejrůznějších domácích zařízení, včetně dětských hraček (např. panenek).

V další oblasti jsou domácí přístroje zneužívány k útokům např. DDoS. Třeba v roce 2016 došlo k masivnímu celosvětovému útoku na zařízení s operačním systémem Linux a jejich zneužití v botnetu MIRAI. Do tohoto botnetu byly zapojeny především domácí kamery a routery. Tento botnet byl využit v masivních DDoS útocích na webové systémy různých společností.

Nedávno společnost CheckPoint publikovala zprávu o vznikající mega-armádě botů „IoTroop“, do které se útočníci snaží „naverbovat“ statisíce až miliony zařízení typu IP kamery a domácí routery. Nejnovějším trendem se nyní stává utajené zneužívání výpočetního výkonu domácích počítačů k tajné těžbě kryptoměny, kde útočníci dosáhnou požadovaného zisku mnohem jednodušeji.

Rizika v podnikové sféře

V podnikové sféře jsou známé případy, kdy špatně spravované prvky ve firmách byly zneužity k přístupu do vnitřní sítě. Může se jednat např. o kávovar, klimatizaci nebo akvárium. Tento typ prvků však často vůbec není v evidenci a správě podnikového IT.

Dennodenně také dochází k připojování milionů průmyslových prvků do běžných interních administrativních sítí. Donedávna byly komunikační sítě průmyslových prvků buďto zcela odděleny od internetu, nebo jejich komunikace probíhala na specifických protokolech. Ekonomické přínosy související s možností snadnějšího využívání obrovského množství průmyslových dat však vedou k tomu, že jsou tyto prvky připojovány do běžných sítí a internetu, čímž přecházejí na běžné internetové komunikační protokoly.

Z tohoto odvětví jsou známé případy, kdy došlo k cílenému poškození funkce některých průmyslových prvků pomocí malwaru a přeprogramování funkcí daných prvků. Tím nejznámějším je aféra Stuxnet, kde došlo k poškození funkce odstředivek v jaderném komplexu v Íránu, nebo případ narušení výrobní linky ve slévárně v Německu.

Jaké jsou možnosti řešení těchto rizik?

Zaprvé je nutné si uvědomit, že nárůst využití IoT je trendem, který nelze zvrátit, a ani nemá smysl tomu bránit; ekonomické a jiné přínosy jsou totiž obrovské.

  1. Naopak je nutné si uvědomit, že každý dobrý sluha může být i zlým pánem. Čím víc se u nás doma nebo ve firmách a městech bude IoT rozšiřovat, tím více budeme na funkcích těchto moderních prvků závislí. A čím zajímavější data budou tyto prvky generovat, tím se automaticky stáváme zranitelnějšími. Před nákupem každého moderního IoT prvku dobře přemýšlejte o tom, zda:
    • Opravdu potřebujete internetové či jiné připojení daného přístroje? Jaké výhody vám to přinese a stojí tyto výhody za riziko, které to s sebou přináší? Jakým způsobem sesbíraná data využijete, respektive kdo je vlastně bude využívat a k čemu?
    • Pokud ano, ptejte se výrobce (hledejte v parametrech): Jaké je zabezpečení komunikace? Jaké jsou možnosti aktualizace a záplatování nových bezpečnostních děr? Jaká je důvěryhodnost daného výrobce a jeho dalších partnerů, např. vývojářů mobilní aplikace pro ovládání daného systému?
  2. Pravidelně si doma či ve firmě dělejte inventuru všech „chytrých“ prvků.
    • Přinejmenším byste měli vědět, které prvky se připojují na síť, jaká data odesílají, zda k nim má někdo „zvenku“ přístup apod.
    • Sledujte, zda nejsou publikovány nové zranitelnosti, respektive zda verze firmwaru daného zařízení není příliš zastaralá, a pokud existují možnosti upgradu, rozhodně je využívejte, pokud je to možné a pokud přicházejí z důvěryhodných zdrojů.
  3. Zablokujte vše, co není nezbytné.
  4. Sledujte, co tato zařízení dělají, a zpozorněte, pokud „se chovají divně“.
  5. Mějte připravené postupy, jak dané zařízení bezpečně odpojit nebo nahradit, pokud se začne chovat nebezpečně.

Řešení rizik v domácnostech

Je jasné, že v běžných domácnostech se z výše uvedených rad většině lidí asi podaří splnit jen část. Z toho pohledu je asi vhodné, aby fungoval společný tlak jednak všech spotřebitelů, ale i státních orgánů vůči všem výrobcům, které by měly „nutit“ k postupnému zvyšování bezpečnostních standardů u jejich produktů a k zavádění vyšší bezpečnosti v provozu. Například jim zavést povinnost vydávat bezpečnostní opravy nalezených chyb, myslet na možnosti aktualizace apod.

Řešení rizik v podnikovém prostředí

Ve firmách a dalších organizacích by naopak měla být vyžadována výrazně vyšší úroveň kybernetické hygieny. IT ředitelé a bezpečnostní manažeři by měli prosadit pravidla, že do podnikové sítě (drátové či bezdrátové) se nesmí připojit žádné zařízení bez jejich vědomí, a dodržování tohoto pravidla kontrolovat a vynucovat. Zcela jistě jim lze doporučit i dodržování všech dalších uvedených principů.

Velký problém může nastat, pokud již máte velké množství zařízení se zastaralým programovým vybavením a pokud tato zařízení nejsou schopna projít jakoukoliv úpravou kódu či pokud je tato úprava riziková z pohledu možných neznámých dopadů do jiných funkcí apod. V takovém případě asi nezbývá, než tato jednotlivá zařízení nebo celý jejich segment „obalit“ doplňkovými bezpečnostními nástroji a procesy, které umožní alespoň sledovat potenciální nebezpečné aktivity, rychle na ně reagovat a útok zastavit.

Ivan Svoboda Ivan Svoboda
Autor článku je poradcem pro kybernetickou bezpečnost společnosti Anect.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.


Inzerce

Konec papírování, digitalizujte a usnadněte si práci!

IT Systems 3/2024V aktuálním vydání IT Systems jsme se zaměřili na vývoj digitalizace ve světě peněz, tedy v oblasti finančnictví a pojišťovnictví. Dozvíte se například, proč je aktuální směrnice PSD2 v inovaci online bankovnictví krokem vedle a jak by její nedostatky měla napravit připravovaná PSD3. Hodně prostoru věnujeme také digitalizaci státní správy a veřejného sektoru, která nabírá obrátky.