W 2015 r. badacze z Kaspersky Lab postanowili sprawdzić, jak realne jest zagrożenie dotyczące Internetu Rzeczy (IoT). Wyniki okazały się niepokojące, dlatego 2 lata później eksperci przeprowadzili kolejne badania w tym obszarze. Spośród 8 losowo wybranych urządzeń IoT — od inteligentnego żelazka po pojazd szpiegujący, połowę dało się zhakować z powodu ustawienia słabych haseł.   

Urządzenia IoT aktywnie korzystają z połączenia sieciowego, które pozwala im współdziałać ze sobą lub środowiskiem zewnętrznym. Ze względu na dużą liczbę i różnorodność dostępnych urządzeń, Internet Rzeczy stał się atrakcyjnym celem cyberprzestępców. Przykładem mogą tu być rekordowe ataki DDoS z 2016 r., które zostały przeprowadzone przy pomocy ogromnej sieci zainfekowanego sprzętu (tzw. botnet) składającej się z routerów, kamer IP, drukarek oraz innych urządzeń. Po włamaniu się do urządzeń IoT cyberprzestępcy mogą, na przykład, wykorzystać je do przeprowadzania nielegalnych działań. Atakujący, który uzyskał nielegalny dostęp do urządzenia IoT, może także szantażować i szpiegować jego właściciela lub wyłudzić od niego pieniądze. Zainfekowane urządzenie może też po prostu przestać działać prawidłowo, chociaż z pewnością nie jest to najgorsze, co może się zdarzyć. 

Mając na uwadze powyższe zagrożenia, badacze z Kaspersky Lab postanowili sprawdzić, czy sytuacja zmieniła się w wyniku raportów dotyczących inteligentnych urządzeń IoT oraz incydentów, jakie już miały miejsce. Aby dowiedzieć się tego, jeszcze raz poddali analizie kilka losowo wybranych inteligentnych urządzeń, wśród których znalazły się: bateria, ładowarka, sterowany za pomocą aplikacji samochód-zabawka, odkurzacz, żelazko, kamera IP, smartwatch oraz inteligentne centrum sterowania domem. Wyniki są niepokojące: spośród 8 zbadanych urządzeń tylko 1 spełniło wymagania badaczy w zakresie bezpieczeństwa.    

Ponadto, połowę z urządzeń dało się zhakować i łatwo wykorzystać do własnych celów ze względu na brak przezorności producentów w zakresie ustawień haseł. Pomijając fakt, że urządzenia te korzystały z domyślnych, nieskomplikowanych haseł, w niektórych przypadkach nie było możliwości ich zmodyfikowania. W niektórych przypadkach hasło zostało nawet zunifikowane dla wszystkich urządzeń z danej linii produktów.

Badacze z Kaspersky Lab zalecają użytkownikom podjęcie następujących działań w celu zabezpieczenia się przed zakupem podatnych na zagrożenia inteligentnych urządzeń:

1. Przed zakupem urządzenia IoT poszukaj w internecie informacji dotyczących wykrytych luk w zabezpieczeniach. Internet Rzeczy stanowi obecnie gorący temat i wielu badaczy wykonuje świetną pracę, identyfikując problemy dotyczące bezpieczeństwa tego rodzaju produktów: od elektronicznych niań po sterowane za pomocą aplikacji strzelby. Możliwe, że urządzenie, które zamierzasz kupić, zostało już zbadane przez specjalistów ds. bezpieczeństwa. Często można również sprawdzić, czy zidentyfikowane w urządzeniu problemy zostały już załatane.
   
   
   
2. Nie zawsze dobrym posunięciem jest kupowanie produktów, które dopiero co pojawiły się na rynku. Oprócz standardowych błędów, które występują w nowych produktach, istnieje większe prawdopodobieństwo, że niedawno wprowadzone do sprzedaży urządzenia będą zawierały luki w zabezpieczeniach, które nie zostały jeszcze wykryte przez badaczy bezpieczeństwa. Najlepszym rozwiązaniem jest kupować produkty, dla których udostępniono już kilka aktualizacji oprogramowania.
   
   
   
3. Wybierając obszar swojego życia, który chcesz uczynić nieco bardziej „inteligentnym”, rozważ zagrożenia dla bezpieczeństwa. Jeśli Twój dom jest miejscem, gdzie przechowujesz wiele rzeczy o dużej wartości materialnej, warto zainstalować profesjonalny system alarmowy, który zastąpi lub uzupełni aktualny, sterowany za pomocą aplikacji system alarmu w domu; lub ustawić obecny system w taki sposób, aby wszelkie potencjalne luki w zabezpieczeniach nie miały wpływu na jego działanie. 

Zobacz pełny raport poświęcony bezpieczeństwu urządzeń Internetu Rzeczy

Autor:

Piotr Kupczyk, Kaspersky Lab Polska