Miliony zařízení ohrožují internetovou síť. Máme je doma skoro všichni

aktualizováno 
V domácnostech jsme si nainstalovali miliony zařízení, která jsou připojená k internetu. Ale na rozdíl od počítačů do nich nemůžeme nainstalovat bezpečnostní software, leckdy ani změnit přístupové heslo a na zabezpečení bohužel často nemyslel ani výrobce. To se nám nyní může nepříjemně vymstít.

Špatně zabezpečená IoT zařízení se mohou proměnit „zombie“ pěšáky bot-netů a páchat zlo. | foto: koláž Technet.czProfimedia.cz

O zabezpečení zařízení připojených k internetu, jako jsou chytré televizory, tiskárny nebo IP kamery, se zatím hovořilo jen v souvislosti s ohrožením soukromí uživatelů.

„Řešili jsme případ páru, který byl natočen při milování ve svém obýváku pomocí chytrého televizoru, nad kterým někdo převzal kontrolu. Záznam se prostě objevil na webu,“ uvedla v květnu pro server DailyMail Laura Higginsová z agentury Revenge Porn Helpline, která se na odstraňování nedomluveně zveřejněných choulostivých záběrů specializuje.

Nezabezpečené IP kamery najdete leckde. Na zahradách, chodbách, sportovních...

Nezabezpečené IP kamery najdete leckde. Na zahradách, chodbách, sportovních hřištích, večerkách ...

Stále častěji se objevují případy, kdy se na veřejnost dostávají záběry z IP kamer domácího zabezpečení, ke kterým by mimo majitele nikdo neměl mít přístup. Existuje například web Insecam, který přístupy na nechráněné kamery katalogizuje a nabízí k zobrazení. Původně nabízel i pohledy do obýváků, ložnic a dětských pokojů, ale nyní jsou tyto náhledy do úplného soukromí z katalogu vyřazeny. Ale jak provozovatelé webu upozorňují, všechny streamy pocházejí z nezabezpečených kamer, proto i ty vyřazené lze stále dohledat, jen nejsou nabízeny v jejich katalogu.

Někdy se do soukromí uživatelů ponoří přímo výrobci zařízení. Vlnu nevole vzbudily například trvale aktivované mikrofony televizorů Samsung s hlasovým ovládáním nebo skenování obsahu připojených pevných disků a monitorování uživatelských činností u televizorů LG. V obou případech vše doprovázela čiperná síťová komunikace se servery výrobce.

Nyní se však díky škodlivému kódu Mirai rýsuje i nová hrozba, v objektivním pohledu svými důsledky mnohem větší. Tato zařízení mohou být na dálku infikovaná útočníkem a zneužita k jiným účelům, než pro jaké běžně slouží.

Nová hrozba: chytré domácí spotřebiče útočí na síť

Nejpravděpodobnějším viníkem masivního internetového útoku z minulého týdne byly totiž právě různé k internetu připojené domácí spotřebiče napadené výše zmíněným škodlivým kódem.

Například server Netflix měl problémy s dostupností ještě v pozdních nočních...

Útok na DNS servery jedné společnosti ovlivnil provoz mnoha služeb v celosvětovém měřítku.

Ten využívá právě chybějícího, nebo nedostatečného zabezpečení síťových rozhraní těchto zařízení, kvůli kterému se může nahrát do jejich paměti, kde čeká na povel od „provozovatele”. V tu chvíli využije systémové prostředky hostitelského zařízení (tedy třeba chytré žárovky, nebo televizoru) a začne na útočníkem definované adresy posílat velké množství nesmyslných požadavků. Pokud se do takového útoku zapojí stovky tisíc či miliony zařízení, napadené servery nápor neustojí a přestanou stíhat odbavit požadavky skutečných uživatelů. V případě DNS serverů se problém může řetězovou reakcí šířit dále a problém roznést na velké území, jak jsme toho byli svědky v pátek 21. října.

Zapojení těchto spotřebičů do takzvaných bot-netů, tedy sítě centrálně řízených škodlivým kódem zotročených zařízení, je obrovský problém. Zejména proto, že mnoho z nich nelze uživatelsky lépe zabezpečit a ty nakažené často není možné nákazy zbavit.

Problém prvníŽádné, nebo „defaultní“ heslo

Otroci škodlivého kódu Mirai se rekrutují z nijak či špatně zabezpečených domácích spotřebičů připojených k síti. Ty, co nemají vlastní uživatelské rozhraní, ale přistupuje se k nim pomocí aplikace v chytrém telefonu, často nejsou chráněny nijak, nebo všechny stejným uživatelským jménem a heslem, které daný výrobce používá. Mirai tak vlastně stačí jen identifikovat zařízení a zkusit „defaultní“ přihlašovací údaje. Pokud je úspěšný, zařízení infikuje.

„Při vývoji některých připojených zařízení se na zabezpečení evidentně vůbec nemyslelo, často jde totiž o výrobce domácích spotřebičů, kteří s IT nemají příliš zkušeností,“ uvedl pro Technet.cz Marco Preuss, ředitel týmu výzkumu a analýzy společnosti Kaspersky Lab. „V takových případech nemůže uživatel bezpečnostním komplikacím nijak předejít, maximálně může zařízení od internetu odpojit,“ dodává Preuss.

Změna hesla u HD DVR Mediaboxu od UPC. Raději zvolte složitější.

Změna hesla u HD DVR Mediaboxu od UPC. Zvolte nějaké složitější.

Nedostatečně zabezpečená jsou však často i zařízení, která lze uživatelsky zabezpečit. Typicky třeba routery, síťová uložiště NAS nebo IP kamery. Nejčastější chybou uživatelů je, že nezmění základní přihlašovací údaje a zařízení je tak volně přístupné například s notoricky známou kombinací admin/admin.

To ostatně potvrdil nedávný průzkum společnosti Eset, vycházející z uživateli spuštěných testů bezpečnostních balíků Smart Security. „Test se zaměřil na kontrolu výchozích uživatelských jmen a hesel a jejich nejčastěji používaných kombinací. Je znepokojující, že v jednom případě ze sedmi byl útok úspěšný,” komentuje výsledek Peter Stančík, bezpečnostní evangelista společnosti Eset. Dodejme, že zkušební skupinou byli lidé, kteří se o bezpečnost zajímali alespoň natolik, že si bezpečnostní balík zakoupili (nebo alespoň nainstalovali 30denní zkušební verzi). Výsledek tak může být optimističtější, než je skutečný stav.

Rada redakce: U každého zařízení připojeného do internetové sítě se pokuste změnit přihlašovací údaje, tedy zejména heslo. Postup vždy najdete v návodu k obsluze. Pamatujte, že heslo „heslo123“ je stejně slabé jako heslo defaultní, tedy to od výrobce.

Problém druhýStarý firmware

Firmware je programovým kódem, který řídí prakticky veškerou dnešní elektroniku. Právě firmware určuje její chování, funkce, grafické rozhraní a další vlastnosti. V propagačních materiálech bývá „výměna firmwaru“ popisována jako možnost, jak výrobek naučit novým funkcím. Ještě důležitější je však možnost výrobce opravit bezpečnostní a jiné chyby, které byly ve dřívějších verzích firmwaru objeveny.

Nastavení aktualizace firmware u síťového úložiště WD MyCloud. Aktuální verzi...

Nastavení aktualizace firmware u síťového úložiště WD MyCloud. Aktuální verzi vždy nainstaluje sám.

Aktualizovat firmware v elektronice připojené k internetu je velmi důležité, protože dříve zjištěné chyby jsou využívány útočníky a jejich škodlivými kódy a pouze přístroj s nejnovějším firmwarem je před jejich zneužitím chráněn. „Ideální je v přístroji aktivovat funkci automatického stažení a instalace firmwaru. Díky tomu může být zařízení dobře chráněno i bez pozornosti uživatele,“ radí bezpečnostní specialista Kaspersky Lab, Marco Preuss. „Někteří výrobci bohužel zajišťují podporu svých výrobků jen během prodeje a poté s vývojem nových verzí přestanou. A některá zařízení nejsou na výměnu firmwaru připravena vůbec,“ dodává Preuss.

Rada redakce: Pokud zařízení nemá funkci automatické aktualizace firmwaru (nebo alespoň notifikace nových verzí), nezapomeňte v pravidelných intervalech dostupnost nových verzí kontrolovat. Je dobré si před aktualizací vyhledat, zda po instalaci neměli uživatelé se zařízením problémy - pak se vyplatí s aktualizací o jednu verzi počkat. V případě automatických aktualizací lze předpokládat, že ji výrobce důkladněji testuje, nebo alespoň opraví obratem. Pokud zařízení aktualizaci firmware neumožňuje, je potenciálně nebezpečné a stává se tak adeptem na výměnu.

Problém třetíChybí jednotné standardy

Se zvyšujícím se počtem chytrých zařízení v domácnosti by se mělo zvyšovat i pohodlí jejích obyvatel. Zároveň se však zvyšují nároky na čas a znalosti potřebné pro jejich správné nastavení a údržbu.

„Je třeba si uvědomit, že celé odvětví internetu věcí a chytrých spotřebičů je vývojově v začátcích. Zásadním problémem je absence jednotných standardů, většina výrobců pracuje na vlastních platformách, které zpravidla nejsou s těmi konkurenčními kompatibilní. Veškeré úkony správy a zabezpečení tak musí uživatel dělat u každého jednoho zařízení zvlášť, což je neúnosné,“ komentuje současný stav Preuss.

Příklad: Chytré zásuvky od TP-Linku s IP kamerkami od D-Linku spolupracovat...

Příklad: Chytré zásuvky od TP-Linku s IP kamerkami od D-Linku spolupracovat nebudou a v jednom rozhraní je neobsloužíte.

Do vzájemné kompatibility se zatím výrobci nijak nehrnou, protože stále žijí v naději, že právě ten jejich systém se natolik rozšíří, že se stane standardem, pro který budou ostatní výrobci kupovat licence. Různé produkty tak zatím využívají různá proprietární řešení, různé protokoly a komunikační systémy.

Navíc kvůli tomu dnes třeba neexistuje aplikace, která by provedla „antivirovou“ kontrolu u všech zařízení připojených v domácí síti, a proto má uživatel jen malou šanci zjistit, zda se jeho zařízení nestalo členem bot-netu.

Rada redakce: Při výběru chytrého zařízení zvažte, která další zařízení si budete chtít v blízké době pořídit a zda má taková zařízení vámi vybraný výrobce v nabídce. Tato rada se týká především senzorů a zařízení, která by mohla vzájemně interagovat.

Útoky povedou k rychlejším změnám

Jakmile se oficiálně potvrdí účast a podíl chytrých zařízení na DDoS útocích z minulého týdne, lze předpokládat, že se tato relativně nová hrozba stane podnětem pro systémové změny týkající se elektroniky připojené do internetu a internetové sítě obecně.

Jak? To lze zatím jen odhadovat. Tlak na sjednocení standardů je však jednou z pravděpodobných variant. Soupeřících je spousta, například HomeKit od Applu, Brillo od Googlu, AllJoyn od Allseen Alliance, Artik od Samsungu, MyHome od D-Linku a těmi seznam zdaleka nekončí.

Trochu větší úlohu by mohly hrát i domácí routery. „Myslím si, že v budoucnosti budou hrát centrální body, tedy například routery, mnohem větší roli. Kvalitní zabezpečení jednotlivých zařízení v sítí by stálo nemalé prostředky, například už jen z hlediska potřebných hardwarových prostředků, a ty by se nepříjemně podepsaly na ceně takových spotřebních zařízení, jako jsou třeba chytré žárovky. Řešit zabezpečení na úrovni brány celé domácnosti k internetu nyní vypadá jako efektivnější a i pro uživatele příjemnější řešení,“ uvedl Marco Preuss.

Křišťálová Lupa 2016

Mohlo by vás zajímat: Černobyl

Černobylská havárie se stala 26. dubna 1986 v černobylské jaderné elektrárně na Ukrajině (tehdy část Sovětského svazu). Vzpomínka na tragédii v těchto dnech oživila televizní minisérie Černobyl.

Téma Černobyl v článcích Technet.cz:
Brzda místo plynu a plyn místo brzdy. To byl Černobyl
Havárie neskončí před rokem 2065. Černobyl polyká tuny vody a miliardy eur
Výbuch roztavil beton a tisícitunový poklop létal vzduchem. Černobyl 1986

Nejčtenější

Scéna jako z hororu. Na střeše mrakodrapu vrtule rozsekala cestující

Havárie vrtulníku N619PA na střeše budovy PAN AM 16.5. 1977

Části zdeformované vrtule se do ulic New Yorku řítily jako smrtící neřízené projektily. Vrtulník společnosti New York...

Třímachový zabiják letadlových lodí Suchoj T-4 byl velkým žroutem rublů

Suchoj T-4

Historie letectví se pozoruhodnými stroji jenom hemží. Jedním takovým byl i sovětský bombardér Suchoj T-4. Vznikl pouze...

Osudový omyl. První a poslední přistání proudového letadla v Olomouci

MiG-21F trupového čísla 0618 s nímž v Olomouci tragicky havaroval kadet Omran...

Bylo mu 23 let, když se u Přerova učil létat na vysoce výkonném letounu Mig-21F. Podcenil však zadání úkolu a při...

Kilogram má novou definici. Jeho fyzická podoba ztratila 50 mikrogramů

Kopie originálu kilogram z Paříže v americké laboratoři Sandia. Podobné vzory

Od 20. května začala platit nová definice kilogramu. Ta již nebude mít fyzickou podobu, ale bude odvozená od pevné...

Jarní aktualizace Windows 10 je ke stažení. Microsoft se moc nepředvedl

Světlý motiv v jarní verzi Windows 10  2019

Microsoft uvolnil ke stažení velkou jarní aktualizaci Windows 10. Nečekejte však žádné velké změny. Většina se odehrála...

Další z rubriky

Tipy na weby: mixujte skladby na „gramcích“ nebo poznejte Česko

Ilustrační foto - hudba

Zásoba hudby s možností nahrát svoji, dva gramofony a řada funkcí. To jsou přednosti služby You.dj pro míchání hudby....

Tipy na weby: odhalte svůj rodokmen a zjistěte, kde máte nejvíc jmenovců

Ilustrační foto - lidé

Nejčastějším českým příjmením jsou Novákovi. Na webu KdeJsme.cz také zjistíte, jaké pořadí patří vašemu příjmení a kde...

Počet lajků schováme, budete pak víc sdílet. Instagram bude privátnější

Šéf Instagramu, Adam Mosseri, ukazuje experiment se skrytým počtem lajků u...

Sociální síť Instagram hledá způsoby, jak povzbudit uživatele ke sdílení. Šéf Instagramu ukázal změny, které mají...

Najdete na iDNES.cz