Įspėja įmones: ataką galite patirti ir iš darbuotojo siurblio

Įsilaužti į kompiuterį ar telefoną – nelengva užduotis net patyrusiam programišiui, todėl piktavalių žvilgsniai pastaraisiais metais krypsta į kitus įrenginius. Tiksliau, milijardus jų. Kalbame apie daiktų internetą (angl. „Internet of Things“, IoT) – prie interneto jungiamus prietaisus, kurių saugumui nei gamintojai, nei juos naudojantys žmonės daug dėmesio paprastai neskiria.

Tyrimų ir konsultavimo milžinė „Gartner“ skaičiuoja, kad šiuo metu pasaulyje yra arti 6 milijardų IoT įrenginių. Kitos tyrimų bendrovės pateikia dar didesnius skaičius. Į juos įeina įvairiausi įrenginiai, kurie vienaip ar kitaip gali prisijungti prie interneto – nuo kūdikių stebėjimo kamerų, išmaniųjų lempų, termometrų ir kitos smulkmės, iki valdymo balsu asistentų, išmaniųjų dulkių siurblių ar televizorių.

„Daugelis žmonių šių įrenginių nelaiko kompiuteriais, nors, iš esmės, jie tokie yra – turi visus esminius komponentus ir, svarbiausia, gali prisijungti prie interneto. Būtent tai traukia programišius: kadangi šie įrenginiai neapsaugoti ir lengvai pažeidžiami, jais galima nesunkiai pasinaudoti tiek įsilaužiant į namų tinklą, tiek rengiant didelio masto atakas“, – sako „Baltic Amadeus“ pardavimų direktorius Irmantas Bankauskas.

IoT atakos parklupdo net milžinus

Kokios galingos ir niokojančios gali būti IoT „zombių“ atakos, įsitikinti teko jau ne kartą: nuo „Stuxnet“, „Silex“ ir „Mirai“ iki naujausių „Dark Nexus“, „Mukashi“, „LeetHozer“. Šie užkrėstų įrenginių tinklai įprastai kuriami skenuojant internetą ir ieškant neapsaugotų IoT daiktų, prie kurių galima prisijungti naudojant standartinius, gamintojo viešai nurodomus slaptažodžius.

Subūrus dešimtis ar net šimtus tūkstančių tokių „zombių“, inicijuojamos galingos atsisakymo aptarnauti (Distributed Denial of Service, DDoS) atakos, kuomet didelis kiekis IoT įrenginių vienu metu kreipiasi į konkrečią sistemą. Kol ši bando atsakyti į fiktyvias termometrų, kamerų ir siurblių užklausas, tikri vartotojai jos pasiekti negali. IoT atakos paskandino net tokius milžinus, kaip „Twitter“, „Reddit“, „Netflix“, „Airbnb“ ir kitus.

„Riziką didina tai, kad yra daugybė IoT įrenginių rūšių ir gamintojų, skiriasi kiekvieno prietaiso veikimo principai ir protokolai, šifravimo metodai. Prekyboje esančiame įrenginyje atradus saugumo spragų, saugumo atnaujinimus įdiegti būna sunku ir problemos lieka neišspręstos. Be to, IoT įrenginiai turi didesnę aibę atakos vektorių, kadangi kartu su jais dažnai naudojamos papildomos sistemos, pavyzdžiui, mobilioji programėlė ar internetinė aplikacija, kuriomis taip pat gali būti pasinaudota vykdant atakas“, – pastebi I. Bankauskas.

Įsilaužia ir į kameras, ir į termometrus

Bet DDoS atakomis viskas nesibaigia – pasinaudodami IoT įrenginiais, programišiai gali įsilaužti į įmonės ar namų tinklą ir tokiu būdu pasiekti kitus prie jo prisijungusius įrenginius ar net vidines sistemas.

Tokių pavyzdžių jau buvo ne vienas. Bene labiausiai nuskambėjo atvejis, kuomet programišiai, prisijungę prie kazino akvariumo termometro, sugebėjo nugvelbti vidinę duomenų bazę su žaidėjų asmeniniais duomenimis. Ne kartą skelbta ir apie kūdikių stebėjimo kamerų pažeidimus, kuriais pasinaudoję įsilaužėliai galėjo stebėti ar net kalbėti su kūdikiais. O štai 2016-aisiais dviejų Suomijos Lapenrantos miesto butų gyventojai beveik savaitę kentė šaltį, mat jų termostatus atakavo programišiai.

„Baltic Amadeus“ ekspertas pabrėžia, kad IoT atakų ir įsilaužimų reikia ne laukti, o jiems ruoštis. „Užtikrinti įmonės įrenginių ir sistemų saugumą, kai žmonės dirba biure, galima įvairiomis priemonėmis, pradedant vidinio tinklo šifravimu ir stebėjimu, baigiant prieigos ribojimu. Tačiau dėl karantino darbuotojams išsikrausčius dirbti iš namų, ši užduotis tapo kur kas keblesnė. Tuo pačiu namų tinklu, kuriuo žmonės jungiasi prie vidinių įmonės sistemų ir siunčia jautrius duomenis, gali naudotis dar keliolika kitų įrenginių, kurių įmonės IT specialistai niekaip stebėti ar kontroliuoti negali“, – teigia I. Bankauskas.

Išeitys yra kelios. Pirma, darbo reikmėms naudoti atskirą interneto prieigą, pavyzdžiui, mobilųjį internetą. Antra, ryšio saugumą užtikrinti naudojant virtualų privatų tinklą (angl. Virtual Private Network). Trečia, prieigą prie įmonės sistemų suteikti tik konkretiems, žinomiems įrenginiams. Ketvirta, įdiegti tinklo ir sistemų darbą analizuojančią sistemą, kuri įspėtų apie įtartiną veiklą.