IoT (ang. Internet of things – Internet rzeczy) oraz urządzenia inne niż komputery to z punktu widzenia cybersecurity poważne wyzwanie. Z jednej strony są dobrodziejstwem i nierzadko koniecznością, ale wraz z ich implementacją, stajemy się podatni na nowe zagrożenia. Są w zasadzie w sieciach komputerowych wszystkich firm i instytucji na świecie. Zwykle traktowane są jako kolejny sprzęt, który po prostu w firmie jest, bo być musi. Przeważnie nie zastanawiamy się nad tym co tego typu urządzenie robi poza jego podstawową funkcją. Weźmy pod uwagę np. wyposażony w WiFi ekspres do kawy czy lodówkę. Wiem, że to przykłady bardzo przerysowane, niemniej jednak świetnie oddają o co chodzi.
WiFi… boję się otworzyć lodówkę!
Jak w starej anegdocie o Leninie: dzień pierwszy…, dzień drugi…, dzień siódmy – boję się otworzyć lodówkę. No właśnie – mam wrażenie, że WiFi obecnie „pakowane” jest do wszystkiego. OK – nie mam nic przeciwko, ale każdy powinien się zastanowić nad dwiema kwestiami: czy faktycznie chce / musi z tego WiFi korzystać oraz czy jest świadomy zagrożeń oraz dobrych praktyk jak takie urządzenie bezpiecznie do sieci bezprzewodowej podłączyć.
Sam w domu mam kilka tego typu urządzeń i w odniesieniu do przynajmniej dwóch z nich mam wątpliwości co do konieczności podłączania ich do internetu. Pierwsze, to waga elektroniczna (wysyłająca wyniki pomiarów do chmury). Drugim jest urządzenie wielofunkcyjne do gotowania, tzw. multicooker (XXXXmix), który z internetu pobiera aktualizacje m.in. przepisów. W obydwu tych urządzeniach możliwość podłączenia do internetu jest wartością dodaną. Bez tego podstawowa funkcja sprzętu także jest spełniona – waga waży, a robot pomaga w przygotowywaniu posiłków. Połączenie z internetem jedynie ułatwia korzystanie z tych urządzeń oraz dodaje nowe funkcje. Niestety – wszystko ma swoją cenę.
Darmowe nie do końca darmowe.
Korzystając z takich sprzętów dajemy się profilować, czyli płacimy danymi o samych sobie. Jak słusznie się uważa – w internecie nic nie jest darmowe – jeśli takie się wydaje, to i tak jakoś za to płacimy. Wartość udostępnianych danych o nas, naszych nawykach, preferencjach, jest ogromna i liczne firmy słono płacą za dostęp do nich. Drugą kwestią, którą należy tutaj poruszyć, jest bezpieczeństwo sieci w której znajdują się urządzenia szeroko rozumianego IoT. Każde urządzenie, które można podłączyć do internetu w domu czy firmie, stanowi swego rodzaju komputer. Mniej lub bardziej zaawansowany, ale nadal komputer. To od producenta i jakości zaimplementowanego przez niego oprogramowania w głównej mierze zależy poziom naszego bezpieczeństwa. Czy zatem my, jako użytkownicy, możemy przyczynić się do zminimalizowania ryzyka podczas korzystania z takich rozwiązań? Tak i nie. Nie, bo często producent nawet nie wypuszcza aktualizacji dla swoich rozwiązań. Tak, bo jesteśmy w stanie zredukować potencjalne zagrożenia związane z dołączaniem takich urządzeń do sieci. Najprostszym sposobem ograniczenia ryzyka ze strony urządzeń „niekomputerowych” jest odseparowanie ich od reszty sieci, czyli tzw. segmentacja. Oprócz tego warto zablokować ruch od i do takiej odseparowanej sieci na urządzeniu brzegowym.
Inne ryzykowne sprzęty w sieci
Nie są to jedyne urządzenia, które nienadzorowane mogą namieszać w firmowych zasobach. Świetnym przykładem sprzętu, który bardzo często jest wykorzystywany przy włamaniach do sieci są kamery IP oraz szeroko rozumiany sprzęt sieciowy sam w sobie. Mam na myśli routery, switche, punkty dostępowe. Do listy potencjalnie niebezpiecznych urządzeń podłączanych do sieci lokalnej niewątpliwie należą także serwery NAS, telefony IP, drukarki, streamery obrazu i dźwięku czy inne systemy konferencyjne. Tutaj także dobrą praktyką jest odpowiednia segmentacja sieci. W razie przełamania zabezpieczeń takiego sprzętu, intruz pozostanie odseparowany od kluczowych zasobów.
Nie można także zapominać o systematycznym aktualizowaniu oprogramowania takich urządzeń. To właśnie niewystarczająca częstotliwość wgrywania przez użytkowników aktualizacji pozwalała „exploitować” pewne serwery NAS. Ostatnio opisany przykład problemu z kamerami jednego z wiodących producentów może nie prowadził do uzyskania dostępu do sieci, ale spowodował naruszenie prywatności wielu użytkowników. W tym ostatnim przypadku doszło do błędu w implementacji po stronie serwisu chmurowego. Pamiętajmy, że wszystko, co jest wysłane do sieci (także do potencjalnie zabezpieczonej chmury producenta), może prędzej czy później trafić w niepowołane ręce.
Szkolenia z cyberbezpieczeństwa, czyli czego nie wiesz o otaczającym świecie
M.in. te przesłanki przyświecały nam przy opracowywaniu szkolenia Company (Un)Hacked. Jednym z jego celów jest pokazanie i uzmysłowienie jak wiele otaczających nas urządzeń może zostać wykorzystanych przy ataku. Przedstawiamy kursantom, że nie tylko właściwa implementacja, ale także codzienne korzystanie z nich jest wyzwaniem. Kiedyś sieć informatyczna w firmie składała się jedynie z komputerów, serwerów oraz połączeń między nimi. Dzisiaj są to także smartfony, zaawansowany sprzęt sieciowy, kamery, szeroko rozumiany IoT, usługi w chmurze i inne. Im więcej tego typu sprzętów i rozwiązań, tym więcej wyzwań w zakresie bezpieczeństwa.
Nasze szkolenie zawiera w sobie omówienie wielu zagrożeń związanych z tą tematyką. Od profilowania i pozyskiwania danych o nas, po wykorzystanie obrazu z kamer. Uczymy kursantów jak cyberprzestępca korzystając z ogólnodostępnych baz (np. z mediów społecznościowych), może dowiedzieć się więcej, niż chcieliśmy upublicznić. Pokazujemy jak wydawałoby się niewinne opublikowanie na stronie firmowej informacji z życia organizacji może posłużyć do zbudowania targetowanej kampanii. Wreszcie prezentujemy w jaki sposób niewystarczająco chronione kamery internetowe mogą pomóc cyberprzestępcy chronić się przed zdemaskowaniem.
Przykłady, które pojawiają się w naszym szkoleniu, opierają się na zdarzeniach bezpośrednio dotykających nas, naszych klientów czy opisanych w mediach. To nie jest fikcja – takie ataki i wykorzystanie słabości w sieci zdarzały się w przeszłości. Niestety – obserwując z jaką beztroską podchodzimy do kwestii bezpieczeństwa, możemy śmiało wyrokować, że będą się one również zdarzały w przyszłości!