6. IoT hrozby – smart zariadenia útočiace bez vášho vedomia

10 najväčších hrozieb, Firemná bezpečnosť 29. marca 2023
IoT hrozby nahladovy obrazok

Tento článok je súčasťou seriálu 10 najväčších hrozieb.

Chytré zariadenia nepredstavujú pre firmy iba veľkých pomocníkov, ale aj významné hrozby. Problémom je ich obrovský počet, slabé zabezpečenie a často aj nezáujem o ich správu. Ak si ale nedáte pozor, útočníci môžu zneužiť vašu IoT infraštruktúru na masívne kybernetické útoky. Šieste miesto v rebríčku 10 najväčších hrozieb patrí IoT hrozbám.

V článku sa dočítate:

  • Prečo sú IoT zariadenia také zraniteľné,
  • prečo treba nahradiť starý router,
  • ako dokážu útočníci zneužiť vaše IoT zariadenia na DDoS útoky,
  • ako dokážu IoT zariadenia vyvíjať psychologický nátlak na obete ransomvérových útokov,
  • a ako ochrániť IoT infraštruktúru?

Čo patrí medzi firemné IoT zariadenia?

Bežní používatelia poznajú IoT zariadenia najmä z domácností. Ide napríklad o chytré hodinky, hlasových asistentov či inteligentné vysávače. Zjednodušene môžeme povedať, že IoT zariadenia sú všetky prístroje, ktoré sú napojené na internet. V prípade firiem však tieto zariadenia tvoria väčšinou zložitejší komplex ako v smart domácnosti.

Medzi firemné IoT zariadenia patria napríklad bezpečnostné kamery, senzory pohybu, požiaru či iných parametrov. Takisto sem zaraďujeme aj brány a vstupné systémy napojené na web, ktoré majú na starosti fyzický prístup do priestorov firmy.

K internetovej sieti sú často napojené aj priemyselné stroje, ktoré tvoria samostatnú kategóriu – Industrial IoT ((IIoT). Ide o výrobné linky a systémy určené na spracovanie a produkciu výrobkov, napríklad v automobilkách alebo závodoch určených na spracovanie vyťažených minerálov.

Samostatnou kapitolou sú kritické systémy, ktoré majú na starosti distribúciu elektriny, spracovanie, čistenie a distribúciu vody či distribúciu tepla. Medzi IoT zariadenia patria aj linky na výrobu a spracovanie potravín a manažment dopravy, napríklad smart križovatky.

Čo zaraďujeme medzi IoT hrozby?

  • Malvér, ktorý IoT zariadenia napáda
  • IoT botnety zneužívané na masívne DDoS útoky
  • Zneužívanie IoT na sledovanie obete
  • Hromadné sledovanie, napríklad prostredníctvom IP kamier
  • Prienik do siete prostredníctvom IoT zariadenia
  • Shadow IT

Nápomocné, ale aj zraniteľné

Vo svete sú miliardy zariadení pripojených k internetu. Zlou správou je, že veľká časť z nich má nedostatočné zabezpečenie. V mnohých prípadoch chýbajú aj základné bezpečnostné prvky ako unikátne silné heslo pre každé zariadenie. IoT majú často nakonfigurované slabé heslá z výroby, ktoré dokážu útočníci uhádnuť a zneužiť na pripojenie sa do siete.

„Často sa stáva, že používatelia nasadia tieto zariadenia, ale ďalej sa o ne už nestarajú. Typickým príkladom sú routre, ktoré kým fungujú, nikto nerieši. Takto sa stane, že niekto nevymení router aj 10 rokov. Platí pritom, že čím je zariadenie staršie, tým je aj zraniteľnejšie, lebo je v lepšom prípade neaktualizované, v horšom neaktualizovateľné,“ vysvetľuje Ondrej Kubovič, špecialista na digitálnu bezpečnosť spoločnosti ESET.

IoT zariadenia môžu byť slabým miestom, cez ktoré útočníci dokážu získať prístup do celej firemnej siete. Pre komunikáciu v lokálnej sieti sa navyše používajú spravidla nešifrované protokoly, vďaka čomu dokáže útočník získať prístup k obsahu komunikácie a prípadne aj do ďalších zariadení. Dáta uložené na danom IoT zariadení sú tiež často slabo chránené, prípadne uložené bez šifrovania a teda voľne dostupné. Z infikovaného zariadenia vedia útočníci navyše ukradnúť aj citlivý obsah či zmapovať ostatné zariadenia v sieti.

Najčastejšie vektory útokov na firemné IoT zariadenia:

– Zraniteľnosti, často staré aj niekoľko rokov
– Slabé heslá z výroby, ktoré nikto nezmenil
– Nešifrovaná komunikácia
– Nešifrované uložené dáta

Väčšinou platí, že čím je firma väčšia, tým viac IoT zariadení aj využíva. V prípade veľkých firiem správcovia ani nemusia vedieť, že majú do siete pripojené niektoré IoT zariadenia. Častým problémom je totiž pripájanie takýchto zariadení bez vedomia administrátorov, takzvané shadow IT.

Zneužívanie IoT na DDoS útoky

Slabé zabezpečenie IoT zariadení môže ľahko vyústiť do ich infikovania škodlivým kódom. Známy je napríklad malvér Mirai, respektíve jeho novšie varianty, ktorý bol zverejnený na hackerských fórach ešte v roku 2016. Mirai a jemu podobné druhy malvéru pritom dokážu vyhľadať zariadenie a po infekcii ho začleniť do botnetu.

Botnet je sieť infikovaných zariadení a počítačov, ktoré sú pod kontrolou útočníkov. V takejto skupine sú často aj stovky tisícov infikovaných zariadení, ktoré vykonávajú rozkazy útočníkov bez toho, aby o tom vedeli používatelia. Vaše IoT zariadenia tak môžu byť zneužité na koordinované kybernetické útoky, najčastejšie ide o prípady DDoS útokov.

Čo to je DDoS útok?

DDoS útok, z anglického Distributed Denial of Service, je typ kybernetického útoku, pri ktorom sa páchatelia snažia narušiť alebo znefunkčniť webovú stránku, sieť či inú online službu tým, že ju preťažia veľkým množstvom falošných alebo nevyžiadaných požiadaviek.

Podľa správy o kybernetickej bezpečnosti ESET Threat Report T3 2022 cielili útoky založené na malvéroch typu Mirai najčastejšie na DVR zariadenia značky MVPower, ktoré majú nezaplátanú zraniteľnosť z roku 2017. Útočníci však často kompromitovali aj zariadenia so staršími zraniteľnosťami, napríklad routre Linksys so zraniteľnosťou z roku 2014 alebo routre ZyXEL so zraniteľnosťou z roku 2017. Väčšina zraniteľností zneužívaných pri podobných útokoch je z rokov 2012 až 2019.

6 hrozba Ondrej Kubovic

Mnoho hrozieb, napríklad v routeroch, sa dá odstrániť jednoduchým reštartom alebo návratom do výrobných nastavení. Takéto úkony malvér nedokáže prežiť. Problém je ale v tom, že útoky botnetov fungujú na masívnej automatizovanej báze. Znamená to, že ak je zariadenie stále zraniteľné a nedá sa aktualizovať, o niekoľko minút spravidla dochádza k jeho opätovnému infikovaniu. Jedinou cestou je vymeniť takéto zariadenie za novšie.

Ondrej Kubovič, špecialista na digitálnu bezpečnosť, ESET

Tému zneužívania IoT zariadení na DDoS útoky bohužiaľ častokrát používatelia ignorujú. Je to preto, že takéto útoky sa ich väčšinou priamo netýkajú. Ich zariadenie sa síce na DDoS útoku podieľa, ale súčasť v botnete má na fungovanie samotného zariadenia minimálny, alebo žiadny vplyv.

IoT zneužité na sledovanie

IoT zariadenia majú často prístup k mimoriadne citlivým a osobným informáciám. Inteligentný asistent napríklad disponuje údajmi o režime, zvykoch či preferenciách používateľa. Ak dôjde k úniku takýchto informácií, predstavuje to problém v online aj offline svete.

Potenciálnu hrozbu v sebe skrývajú aj bezpečnostné kamery, ku ktorým by mohli útočníci získať prístup. Slabé zabezpečenie vchodových kamier umožnilo napríklad hackerom získať prístup k videu, ktoré snímali. Ak by sa útočníkom podarilo získať prístup k firemným kamerám, mohli by ich zneužiť na krádež citlivých informácií, vydieranie či ďalšiu kriminalitu.

Doposiaľ uverejnené články z rebríčka 10 najväčších hrozieb

6. IoT hrozby
7. Fyzické hrozby
8. Pokročilé hrozby
9. Nedostatok bezpečnostných špecialistov
10. Hrozby zvnútra firmy

IoT v službách ransomvéru

IoT zariadenia môžu byť aj súčasťou ransomvérových útokov, pri ktorých útočníci žiadajú od obetí, aby zaplatili výkupné. Známe sú prípady, v rámci ktorých získali útočníci prístup k tlačiarňam napojeným do firemnej siete. Okrem zašifrovania dát tak začali firemné tlačiarne chrliť žiadosti o výkupné. Hackeri sa takýmto spôsobom snažili vyvíjať na zasiahnutú organizáciu psychologický nátlak.

Čoraz diskutovanejším, ale ešte stále skôr zriedkavým problémom, je ransomvér špecificky sa zameriavajúci na inteligentné budovy, takzvaný siegeware. Takýto útok zneužíva digitálne systémy sieťovo prepojenej budovy napríklad na prerušenie dodávky elektrickej energie, odstavenie výťahov či vypnutie klimatizácie. Útočníci sa vyvolaním chaosu snažia prevádzkovateľa budovy presvedčiť, že kontrolu nad systémom získa až po zaplatení výkupného.

Pozor na smart automobily

Chytré funkcie automobilov prinášajú okrem pohodlia aj bezpečnostné výzvy súvisiace s ich pripojením na internet. Známe sú viaceré prípady nabúrania sa do systémov áut. Europol napríklad zatkol 31 podozrivých členov gangu, ktorý dokázal otvoriť autá vďaka ich keyless technológii, naštartovať ich a odísť.    

Zariadenia, od ktorých závisí život

Veľkým rizikom sú útoky na nemocnice, v ktorých je od IoT zariadení závislý život pacientov. Mnohé zdravotnícke zariadenia používajú prístroje ako MRI či CT s embedovaným systémom Windows XP. Funkcionalita operačného systému je v tomto prípade síce do určitej miery obmedzená, no často je pripojený priamo do siete, čo predstavuje riziko pre infikovanie.

V prípade vysokopostavených osôb, napríklad topmanažérov, politikov alebo predstaviteľov bezpečnostných zložiek stojí za pozornosť aj na prvý pohľad okrajová téma medicínskych IoT zariadení ako sú kardiostimulátory či inzulínové pumpy. Takéto osoby sú totižto častejšie zaujímavé pre profesionálne zločinecké skupiny, ktoré dokážu využívať sofistikované nástroje.

Ak by sa útočníkom podarilo nabúrať do týchto zariadení, dokázali by napríklad zmeniť ich nastavenie či dávkovanie, čím by vážne ohrozili zdravie pacienta. Podobný útok je však mimoriadne náročný, pričom útočník by pravdepodobne musel byť blízko obete alebo získať prístup do softvéru jej lekára, ktorý monitoruje nastavenie zariadení.

Pri medicínskych IoT zariadeniach ale treba dodať, že sa vyrábajú primárne za účelom dlhej životnosti a vysokej spoľahlivosti. Keďže od nich závisí život človeka a ich inštalácia si v niektorých prípadoch vyžaduje chirurgický zákrok, nevymieňajú sa často ako napríklad telefón alebo počítač. Výrobcovia preto kladú nižší dôraz na ich IT bezpečnosť.

Ako chrániť firemné IoT zariadenia?

Mať prehľad o všetkých IoT zariadeniach zapojených vo firemnej sieti môže predstavovať výzvu, no ide o kľúčový predpoklad pri predchádzaní IoT hrozbám. Univerzálne bezpečnostné riešenia, ktoré by chránili firemné IoT zariadenia, sa na trhu v praxi zatiaľ neujali. Je to najmä pre nedostatočný výkon IoT hardvéru, ale aj pre obmedzenia samotného firmvéru a softvéru.

Časť hrozieb súvisiacich s IoT zariadeniami dokáže v rámci firemnej siete pokryť firewall, dostupný aj v riešeniach od spoločnosti ESET. Pri správne nastavených pravidlách dokáže firewall zabrániť IoT zariadeniam, aby útočili na počítače. Nástroj rozšírenej detekcie a reakcie XDR od spoločnosti ESET zas poskytuje kompletný prehľad o dianí na firemných počítačoch a dokáže upozorniť aj na hrozby prichádzajúce z IoT zariadení.

Komplexná ochrana IoT by mala pozostávať zo súboru opatrení, ktoré spolu minimalizujú šancu na úspešný útok:

  • Dostatočný prehľad o dianí vo firemnej sieti
  • Odstraňovanie zariadení, ktoré v sieti nemajú byť a zabránenie ich opakovanému pripojeniu
  • Nastavenie firemnej politiky vynucovania aktualizácií na zariadeniach, ktoré patria zamestnancom
  • Vymieňať staré zariadenia, ktoré nie je možné aktualizovať a preinštalovať staré operačné systémy, ktoré už nie sú podporované
  • Pri nákupe nových IoT zariadení dbať na ich bezpečnosť (napr. unikátne heslo z výroby)
  • Pravidelné aktualizovanie IoT zariadení
  • Pravidelný reštart IoT zariadení
  • Vypnúť sieťový protokol UPnP umožňujúci automatickú komunikáciu medzi zariadeniami v sieti
  • Vytvorenie oddelených sietí pre IoT, návštevníkov a ostatných interných zariadení (počítačov, mobilov, serverov)
  • Používanie silných hesiel, a ak je to možné, aj viacúrovňového overenia
  • Nastaviť viditeľnosť Wi-Fi siete iba pre vybrané zariadenia

7. Fyzické hrozby – strata mobilu, útočník priamo vo firme aj vojna

Digitálny svet existuje vďaka fyzickým nosičom, na čo firmy často zabúdajú pri svojom kybernetickom zabezpečení. Fyzické nástrahy sú aktuálne znásobené najmä častým presúvaním zamestnancov s firemnými zariadeniami medzi home-officom a kanceláriou.

Prečítať článok

Odporúčané články

BVF SIEM SOAR ilustracny obrazok
Dešifrujeme pre vás, Firemná bezpečnosť 21. marca 2024
Nástroje tímu SOC: SIEM a SOAR
BVF zranitelnosti VPN ilustracny obrazok
Dešifrujeme pre vás, Firemná bezpečnosť 13. marca 2024
Zraniteľnosti vo VPN sieťach strašiakom pre firmy