Internet vecí – dobrý sluha, ale zlý pán

S nástupom internetu vecí, pre ktorý sa vžila skratka IoT (Internet of Things), pribudli miliardy rozličných zariadení a senzorov schopných pripojiť sa na internet a šíriť, prípadne si medzi sebou vymieňať dáta. Navyše tieto zariadenia v čoraz väčšej miere fungujú „bez dozoru“, teda autonómne alebo poloautonómne.

Doň patria napríklad smart chladničky, práčky, smart televízory, kamery, set-top boxy, komponenty z infraštruktúry inteligentných domácností, autá, s ktorými možno komunikovať na diaľku prostredníctvom internetových a mobilných aplikácií, a podobne. Ich ochrana sa totiž v súčasnosti mimoriadne podceňuje.

Aby sme boli konkrétni – v súčasnosti  je ich podľa spoločnosti Statista vyše 23 miliárd, v roku 2025 by ich však malo byť už viac než 75 miliárd. A niektoré  z nich zbierajú a archivujú citlivé údaje, týkajúce sa napríklad zdravotného stavu.

Väčšina z nich je pritom chránená minimálne alebo nechránená. Nejde pritom len o rôzne fitnesnáramky a smart hodinky, ale o ďalšie „nositeľné“ zariadenia prenášajúce dáta medzi pacientom a zdravotníckym personálom, napríklad kardiostimulátory, implantáty alebo inzulínové pumpy. Koncom roku 2017 spoločnosť Johnson & Johnson informovala pacientov, že na jednom  modely ich inzulínových púmp bola objavená bezpečnostná diera umožňujúca hekerom ovládnuť zariadenie a pacienta predávkovať inzulínom. Pumpa však nebola pripojená na internet, útočník sa musel nachádzať v jej bezprostrednej blízkosti. Je to len jeden z príkladov, ako matno zariadenia patriace k internetu vecí zneužiť.

Koncom roku 2016 zasiahol niektoré dôležité weby masívny DDoS útok. Ide o typ útoku, pri ktorom sa zasiahnutá internetová služba alebo server zahltí obrovským množstvom požiadaviek, ktoré nestíha spracovať, a tak sa stane pre bežných používateľov dočasne nedostupným. Na tomto útoku bolo nezvyčajné to, že sa na ňom podieľalo vyše 150-tisíc infikovaných televízorov, chladničiek a práčok, zapojili sa doň zariadenia patriace pod internet vecí. Takisto bol zaznamenaný prípad, keď hekeri cez kamery v infikovaných smart televízoroch nahrávali páry súložiace pred televízorom a tieto nahrávky potom predávali pornografickým webom.

Nebezpečenstvu sú však vystavené aj deti. V roku 2015 v Nemecku zničili na internet pripojenú bábiku Cayla. Tej ste mohli položiť otázku, ona na webe vyhľadala odpoveď. Jej bluetooth modul však nebol dostatočne zabezpečený, hekeri ho mohli ovládnuť a využiť na odpočúvanie toho, čo sa v domácnosti  s bábikou deje. Preto autority rozhodli, že bábika musí byť stiahnutá z predaja a zničená.

V prípade takýchto hračiek a ďalších vecí pripojených na internet treba zvážiť niekoľko vecí:

  1. Či daná vec musí byť pripojená na internet a ak áno, či nonstop.
  2. Neodsúhlaste automaticky všetko, čo aplikácia na ovládanie takejto hračky požaduje. Častokrát sú to údaje ako dátum narodenia, adresa, meno, mená súrodencov a geolokácia. Tie sú mimoriadne zaujímavé pre zlodejov identity.
  3. Ak môžete, hneď zmeňte predvolené heslo zariadenia.
  4. Kontrolujte aj pripojenie – na trhu sa napríklad objavila hračka s projektorom, ktorá chcela súhlas na odstránenie hesla pre Wi-Fi a na zmenu bezpečnostných nastavení telefónu – nedokázala totiž pracovať s komplikovanejším heslami.
  5. Buďte si vedomí toho, že akákoľvek nová vec alebo hračka, ktoré sú pripojené k internetu môžu znížiť kvalitu zabezpečenia domácej siete voči útokom hekerov a sprístupniť im citlivé informácie – preto veľmi pozorne kontrolujte proces ich inštalácie a nezabúdajte ani na ich aktualizácie.

 

(mk)