VGF szaklap

Védtelen okos eszközök – A Nagy Testvér már a múlté

| |  193 | |

Védtelen okos eszközök – A Nagy Testvér már a múlté

A mindennapi életben egyre gyakrabban használunk okos eszközöket, mobiltelefont, tablet-et otthonaink vezérléséhez, komfortosabbá tételéhez. Mindennapos használati tárgyaink is használják az internetet kommunikáció céljából. Vajon vannak-e ennek veszélyei? Mennyire vagyunk védettek, hogyan védekezhetünk?

Egyre több eszköz az interneten

Egy amerikai felmérés szerint 2018-ban 6,4 milliárd eszköz csatlakozott az internetre, 2020-ra ez a szám 21 milliárdra nőhet. Ma már mindennapos fogalom lett az IoT (Internet of Things), magyarra fordítva a Dolgok Internete. Azaz a leghétköznapibb eszköz is csatlakozhat az internetre (pl. egy csavarhúzó, egy kameráról, vagy egy mérőműszerről már nem is beszélve), és ezzel adatokat szolgáltathat a működésére vonatkozóan, sőt képes az egyes tárgyak összehangolt üzemeltetésére is. A legfontosabb kérdés ennek fényében a biztonság. A gyenge vagy gyári jelszavakkal védett eszközöket könnyen feltörik a hekkerek, és saját céljaikra használhatják fel őket. Például megfigyelhetik a lakók szokásait egy egyszerű szoba termosztáton keresztül, és alkalmas időpontban betörhetnek a lakásba. De vásárlói szokások kifürkészésére is könnyen használhatóak az ilyen eszközökből nyert adatok, így téve a profitmaximalizálás kifinomult eszközévé a kütyüinket. A Federal Trade Comission (FTC), vagyis az amerikai fogyasztóvédelmi hivatal 2015-ben adta ki az IoT eszközgyártóknak szóló irányelveit, melyek betartásával biztonságosabb eszközök kerülnek a fogyasztóhoz. Azonban jelenleg még semmi nem szabályozza jogszabályi, törvényi szinten az ilyen készülékek biztonságos működtetésére vonatkozó feltételeket.

A veszély nem légből kapott

Hogy mennyire valós veszélyről van szó, és nem riogatásról, álljon itt néhány példa. David Jacoby, a Kaspersky Lab munkatársa saját lakását hackelte meg. Annak járt utána, hogy az otthonában található intelligens eszközök – két, különböző gyártótól származó hálózati (NAS) tároló, okostévé, műholdvevő és nyomtató – használata milyen kockázatokkal jár. Az eredmény sokkoló volt: a hálózati tárolóknál 14, az okostévénél egy sérülékenységet fedezett fel, míg a routerben több rejtett, távoli vezérlést lehetővé tevő funkciót talált.  Az okos TV-k az első széles körben elterjedt eszközök, amelyekkel kapcsolatban megfogalmazódtak kritikák a sérülékeny adatbiztonsággal kapcsolatban. A nagy gyártókat folyamatosan azzal vádolják, hogy követik a nézők TV nézési szokásait és ezeket az adatokat megosztják a hirdetőkkel. Egyre nő az aggodalom, hogy a nézői szokások ismerete segíti a hackereket, a lakásban található eszközök feltörésében. A vizsgált berendezések alapjelszava szintén gyenge volt, sok konfigurációs fájl nem megfelelő jogosultságokkal rendelkezett, és a jelszavakat egyszerű szövegben, mindenféle titkosítás nélkül tárolta. Ezen sérülékenységek révén többek között megfertőzhető az okoseszközhöz csatlakoztatott PC, man-in-the-middle típusú támadással pénz lopható az okostévé tulajdonosától, ha az a berendezésen keresztül vásárol online tartalmakat, valamint hozzáférés szerezhető az otthoni Wi-Fi-hálózatot használó többi eszközhöz.

Az okosautókat a legkönnyebb feltörni?

Nem biztonságosak az internetre kapcsolódó okosautók sem: egy, az IAB Spanyolország marketing- és digitálismédia-szervezet által – több más céggel közösen – készített tanulmány szerint a járművekhez készült okostelefonos appok ellopott bejelentkezési adatainak segítségével megállapítható a gépkocsi tartózkodási helye, és az ajtók távoli hozzáféréssel kinyithatók. A kutatás során vizsgált autómárkánál további problémát okozhat a Bluetooth-vezérlő frissítése, mert az ezt tartalmazó, internetről letöltendő fájl nem titkosított, ellenben számos információt tartalmaz az autóban futó belső informatikai rendszerekről, és módosításával lehetővé válik egy rosszindulatú program futtatása. Aggályosnak találták a kutatók ugyanennél a márkánál, hogy egyes szoftverfunkciók SMS-ek révén kommunikálnak a járműben lévő SIM-kártyával, ugyanis a kommunikáció feltörésével hamisított üzenetek küldhetők, és a hackerek saját rosszindulatú utasításaikra cserélhetik fel az eredetieket.

A babaőröket sem kímélik

A legkapósabbak a hackerek ranglistáján a webkamerák. A Shodan-nal (az okos eszközök keresője) nagyon könnyen találhatunk védtelen webkamerákat a világ bármely részén. A hálózatra kapcsolt babafigyelő kamerák sem ismeretlenek a hackerek számára. Az év elején több mint 1000 on-line babafigyelő elérhetőségét posztolták. Nem sokkal később egy Indianai házaspár felfedezte, hogy valaki feltörte 2 éves gyermekük babafigyelőjét és zenét és hátborzongató zajokat játszott le. A szakértők szerint a wifi-s lámpakapcsolók és lámpák szinte teljesen nélkülözik a hálózati adatbiztonsági képességeket. A hackerek teljes egészében olvasni tudják az adatfelhőbe menő információkat. Ez nem minden esetben a gyártó hibája, az adatátviteli protokollok is sérülékenyek.  

Ne várj a gyártóra: védekezz!

Ne várjuk azonban ölbe tett kézzel, hogy a gyártók kifejlesszék a védelmeket, valamint a törvényhozók megalkossák az IoT eszközök használatának alapvető szabályait. Mindenekelőtt menjünk elébe a dolgoknak, nézzünk utána, hogy eszközeink firmware-ének létezik-e a jelenleg használtnál frissebb változata. Ha igen, telepítsük ezeket az összes rendelkezésre álló biztonsági frissítéssel együtt. Második lépésként változtassuk meg az eszközök gyári felhasználónevét és jelszavát, ugyanis ezekkel próbálkoznak először a hackerek, amikor megpróbálják feltörni eszközeinket. Kiemelt szerep jut a védekezésben a hálózati routernek. Ezek többsége lehetővé teszi, hogy elkülönített hálózati csoportokat hozzunk létre a különféle eszközök számára, így például kialakíthatunk egy szegmenst a PC-nknek, nyomtatónknak, hálózati tárolónknak és a többi, „hagyományos” informatikai berendezésünknek, egy másikat mobileszközeinknek (tabletünknek, okostelefonunknak), egy harmadikat pedig a játékkonzolunknak, okostévénknek és más problémás készülékünknek. Ezáltal ha feltörik okostévénket, a támadó csak annak hálózati szegmensébe jut be, ahonnan nem fér hozzá PC-nkhez vagy hálózati tárolónkhoz.

Mindezeken felül érdemes megfontolni hét alapvető lépés használat előtti elvégzését, hogy okos eszközeink még inkább védettek legyenek.

  1. Keressünk az Interneten véleményeket, teszteket és híreket a kiválasztott eszközzel kapcsolatban.
  2. Győződjünk meg, hogy az eszköz rendelkezik erős felhasználó névvel és jelszóval.
  3. Rendszeresen cseréljük az eszközök hálózati hozzáférési engedélyeit.
  4. Olvassuk el az eszköz adatvédelmi leírását, hogy milyen adatokat, hol és meddig tárol az eszköz.
  5. Ne használjuk azt a szolgáltatást, ami túlzottan beleavatkozik a magánéletünkbe.
  6. Frissítsük az eszköz szoftverét, ezzel is csökkentve a lehetséges biztonsági kockázatokat. 
  7. Figyeljük a gyártó kommunikációját (web, e-mail, blog, stb.) fontos értesítésekért. Az eszközök gyári beállításai nem mindig a legmagasabb szintű biztonságot jelentik, ezek megváltoztatása biztonságosabb lehet a számodra.

 

Okosotthon