Išmaniųjų daiktų saugumo spragos. Kaip nuo jų apsisaugoti?

Publikuota: 2017-12-16
Leonaras Marozas. Asmeninio archyvo nuotr.
svg svg
Leonaras Marozas. Asmeninio archyvo nuotr.
UAB „CUJO Baltic“ kibernetinio saugumo specialistas

Anksčiau botnetai buvo naudojami siųsti laiškus, viliojančius Somalio princų turtais arba siūlančius magiškas tabletes, skatinančias vyrišką potenciją. Šiandien rizikos kitokios, didesnės. Botnetų kūrėjai kėsinasi į privatumą, finansinius duomenis ir asmeninę informaciją. Taikiklyje atsidūrė ir didelės kompanijos bei šimtai tūkstančių jų klientų.

Botnetas – tai kenkėjiška programine įranga užkrėstų įrenginių, prijungtų prie interneto, armija. Įrenginiams, vadinamiems „zombiais“, komandos perduodamos per C&C (angl. Command and control) programinę įrangą, kurią valdo jos kūrėjai. Jei botneto savininkas turi savo „armijoje“ kelias dešimtis tūkstančių užkrėstų įrenginių, jis jau gali atlikti pakankamai pavojingas atakas.

Botnetai keičiasi ir plečiasi

Praeityje gana populiaru būdavo C&C centrus kuri specifiniuose IRC kanaluose (Internet Relay Chat arba IRC yra ryšio protokolas ir ankstyvoji interneto paslauga, skirta gyvai bendrauti internete). Tačiau mažėjant šio protokolo populiarumui ir paprastėjant tokios komunikacijos blokavimo galimybėms, botnetų valdymo centrai perkelti į P2P (angl. Peer to Peer), TOR (angl. The Onion Router) tinklus.

Botnetai dabar bene dažniausiai naudojami DDoS atakoms (liet. paskirstyto atsisakymo aptarnauti) ir masiniam nepageidaujamų laiškų arba slamštlaiškių (angl. SPAM) siuntimui. Žmonių sąmoningumas ir išprusimas IT saugumo srityje auga. Todėl vis mažėja tų, kurie užkimba už „pasiūlymų“, atkeliaujančių su nepageidaujamais e. laiškais. Visgi, siunčiami milijonai tokių e. laiškų. Tad jei „užkimba“ bent keli procentai gavėjų, aukos skaičiuojamos tūkstančiais. Ir to paprastai užtenka tam, kad piktavalių misija būtų laikoma pavykusia.

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

Botnetas „Mirai“

Pastaruoju metu iškilo atskiras botnetų segmentas – daiktų interneto (angl. Internet of Things arba IoT) botnetai. Sparčiai augant daiktų interneto rinkai, kuri nebuvo sukurta galvojant apie saugumą, galimybių vykdyti atakas gerokai padaugėjo. 2016 m. tokia išmaniųjų skrudintuvių, šaldytuvų ir kitų buities prietaisų armija parodė savo galybę iki šiol didžiausios iš IoT įrenginių sudaryto botneto „Mirai“ atakos metu.

„Mirai“ botnetas sukurtas užkrečiant šimtus tūkstančių neapsaugotų IoT įrenginių. Pati ataka buvo labai paprasta: panaudota 60 įprastinių gamyklinių (angl. default) slaptažodžių ir vartotojų vardų, kurių vartotojai įprastai nepasikeičia. Taip piktavaliai gavo prieigą prie minėtų buities prietaisų.

Visi kartu šie įrenginiai DDoS atakos metu sugeneravo 1 terabitą siekiančią srauto apimtį prieš Prancūzijos kompaniją OVH. Nesvarbu, kad šiame „Terminator 3: Rise of the machines” primenančiame scenarijuje dalyvavo menką skaičiuojamąją galią turintys įrenginiai: esmė ir didžioji galia slypi jų kiekyje. 2016 m. ataką atliko iki 100.000 užkrėstų IoT įrenginių.

Apsisaugoti nuo tokio tipo atakų, kaip DDoS, yra praktiškai neįmanoma. Dėl masiškai generuojamo perteklinio srauto, serveriai tiesiog negali aptarnauti realių klientų, taip pažeidžiant vieną saugumo triados – konfidencialumas, integralumas, prieinamumas – punktų.

„Mirai“ parodė IoT potencialą kenkėjiškoms veikloms. Kaip tas potencialas yra ir bus išnaudojamas, jau kitas klausimas. Nors teigiama, kad „Mirai“ botnetas sustabdytas, o jį sukūręs asmuo identifikuotas, pavojus išliko, nes žinių, kaip organizuoti tokias atakas, turi daugybė žmonių.

Tai patvirtina ir vis į viešumą iškylančios „Mirai“ variacijos, kurių paskutinė – lapkričio pabaigoje staigiai išplitęs botnetas, išnaudojantis „ZyXEL“ modemų pažeidžiamumą.

Botnetas „Reaper“

2017 m. spalį pradėjo sklisti pavojaus signalas apie naują, IoT skirtą kenkėjišką programinį kodą „Reaper“. Tikslus jo užkrėstų įrenginių skaičius nėra žinomas ir svyruoja nuo kelių dešimčių tūkstančių iki kelių milijonų įrenginių. Šio kenksmingo kodo plitimas kitoks nei „Mirai“. Tai jau nebėra primityvus galimų gamyklinių prisijungimo duomenų tikrinimas, skenuojant įrenginius, rastus internete. „Reaper“ naudojasi „skylėmis“, kurios šiemet atrastos maršrutizatorių, kamerų ir kitų įrenginių programinėje įrangoje. „Reaper“ yra sudėtingesnis ir „tylesnis“ už „Mirai“, jo veiksmai nėra taip aiškiai matomi. Bet turima informacija rodo, kad yra kaupiama „zombių“ armija. Kam ji bus panaudota, kol kas neaišku. Galbūt dar didesnei DDoS atakai. Tačiau įmanoma ir tai, kad šis, kol kas besiformuojantis, kenkėjas tiesiog išnyks, užtaisius saugumo spragas.

Kad ir kaip būtų, ne veltui daugelyje pastarojo meto IT grėsmių ataskaitų ir prognozių, IoT (ne)saugumas įvardijamas kaip viena didžiausių problemų.

Reikalingi saugumo standartai

Prognozuojama, kad 2020 m. pasaulyje bus nuo 25 iki 50 mlrd. prie interneto prijungtų įrenginių. Šiuo metu nėra nei saugumo reglamento, nei standarto, kuriuo galėtų ir turėtų laikytis IoT įrenginių ir jiems skirtos programinės įrangos gamintojai. Šie darbai laukia ateityje. O kol kas reikia susitaikyti su tuo, kad rinka yra perpildyta įvairiais neaiškaus pobūdžio ir nežinia kiek saugiais išmaniaisiais duonos skrudintuvais, druskinėmis, kiaušinių dėtuvėmis ir kitais panašaus pobūdžio daiktais. Kiekvienas toks įrenginys, pajungtas į tinklą – dar vienas langas, kurį naudodami hakeriai gali kėsintis į vartotojo namų saugumą ir privatumą. O žinant, kad IoT įrenginiai naudojami ir medicinos, sveikatos apsaugos srityse bei automobiliuose, atsiranda ir reali grėsmė žmogaus gyvybei.

IoT įrenginiai daugiausia yra skirti kasdienybės pagražinimui ar patobulinimui. Todėl nereikia tikėtis, kad žmogus, įsigijęs išmanųjį šaldytuvą, norės praleisti valandą ar dvi jį konfigūruodamas ir tikrindamas, ar įrenginys nėra pažeidžiamas. Tokių įrenginių saugumu turėtų būti pasirūpinta dar gamykloje.

Niekas negali teigti esantis 100% saugus. Bet šiokią tokią apsaugą gali suteikti programinė įranga ar išmanieji įrenginiai, skirti būtent IoT apsaugai. Kitas receptas – vartotojų švietimas. Štai kelios senos universalios taisyklės: nespausti neįprastų ar iš nežinomų šaltinių gautų nuorodų, neatidarinėti nelauktų dokumentų, kurti saugius slaptažodžius (bendrovės pavadinimas ir keli skaičiai nėra saugus slaptažodis), naudotis kelių sluoksnių slaptažodžių apsauga. Taip pat reikėtų įvertinti, ar tikrai tas naujas išmanus įtaisas, pranešantis, kiek kiaušinių liko pas jus šaldytuve, yra būtinas.

Leonaras Marozas yra UAB „CUJO Baltic“ kibernetinio saugumo specialistas ir Vilniaus Universiteto lektorius. Jis dėsto kursus, susijusius su duomenų sauga ir kenkėjišku programiniu kodu.

Autoriaus nuomonė nebūtinai sutampa su redakcijos pozicija.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

Norite pasiūlyti temą, turite pastabų, pasiūlymų ar klausimų? Parašykite „Verslo žinių“ redaktoriams.

Jei norite suteikti konfidencialios informacijos, rašykite vyr. redaktoriui rolandas.barysas@verslozinios.lt

„Wargaming Vilniaus“ vadovas: nuo rudens Lietuvoje suaktyvinsime specialistų samdą Premium

Baltarusijos žaidimų milžinė „Wargaming“ per metus Lietuvoje pasamdė apie keliasdešimt darbuotojų, o nuo...

Inovacijos
05:45
„Estateguru“ siekia pritraukti institucinių investuotojų, žada nepamiršti mažmeninių Premium

„Estateguru“ ruošiasi antram lėšų pritraukimo raundui. Startuolis ketina smarkiai padidinti veiklos apimtis,...

Rinkos
2022.06.30
„Samsung“ pirmoji pasaulyje pradeda masinę pažangių 3 nm lustų gamybą

„Samsung Electronics“ tapo pirmąja lustų gamintoja pasaulyje, pradėjusia masinę pažangių 3 nanometrų...

Inovacijos
2022.06.30
Rekordiniai Lietuvos žaidimų industrijos metai: naujos galimybės ir senos problemos Premium

Lietuvos žaidimų industrija pernai stiebėsi į viršų – plėtėsi vietos įmonės, taip pat atvyko naujų, kurios...

Inovacijos
2022.06.30
„Snapchat“ pristato mokamą prenumeratos paslaugą

Socialinio tinklo „Snapchat“ valdytoja „Snap“ trečiadienį pranešė, kad išleidžia mokamą paslaugų planą...

Inovacijos
2022.06.30
Darbo aplinka keičiasi iš esmės: „Xerox“ žengia permainų priešakyje Verslo tribūna

Skaitmeninimo iniciatyvos versle, ypač paskatino prigijęs hibridinio ar nuotolinio darbo modelis, ragina...

Išmani Lietuva
2022.06.30
Priimant sprendimus „Tele2“ siūlo nespėlioti: duomenų analitika leis pamatyti tendencijas ir priimti efektyvesnius sprendimus Verslo tribūna

Iš kur ir kaip juda žmonės mieste, kokia vieta paslaugų teikimui pati tinkamiausia, kaip ir kur buriasi...

Regioninis verslas
2022.06.30
Birželį pradėti ir baigti NT projektai Premium

Birželį Vilniuje pradėtos naujų daugiabučių, bendro gyvenimo būsto, biurų pastato statybos, Kaune ir...

Statyba ir NT
2022.06.30
„Teltonika Telematics“ vadovas: ne kiekviena klaida yra nusižengimas Premium

Trečias geidžiamiausias darbdavys Lietuvoje „Teltonika Telamatics“ dalijasi sėkmės istorija, kaip į...

Vadyba
2022.06.30
Turtingiausių strateginių įmonių vadovų TOP 10 – M. Armonaitis, M. Rudnickis, A. Latakas

Tarp strateginių Lietuvos įmonių vadovų pagal deklaruoto 2021 m. turto ir lėšų vertę išsiskyrė Klaipėdos...

Vadyba
2022.06.29
Tvari IT įranga – mada ar ateitis? Verslo tribūna

Kol vienos įmonės vis dar abejoja dėl investicinės grąžos į tvarumą, kitos gi imasi lyderystės ir brėžia...

Inovacijos
2022.06.29
A. Anušauskas: kiberatakų organizatoriai ieško silpnų vietų, galimi išpuoliai prieš verslą 1

Su Rusija siejamos organizuotos kibernetinės atakos prieš Lietuvą pirmąkart pasiekė tokį platų mastą, o radus...

Inovacijos
2022.06.29
Auga Aerokosmoso duomenų centro kuriamų sprendimų ir technologijų paklausa Verslo tribūna

Praėjusiais metais Vilniaus Gedimino technikos universiteto (VILNIUS TECH) Antano Gustaičio aviacijos...

Kuriantiems rytojui
2022.06.29
Ar verta skaitmeninius sprendimus migruoti į „debesį“? Verslo tribūna

JAV technologinių tyrimų ir konsultacijų įmonės „Gartner“ atliktas tyrimas rodo, kad iki 2025 m. bendrovių...

„Simitri“ patirtis ir milijoninė apyvarta pirmaisiais metais: kaip sukurti pelningą e. parduotuvę Premium 5

2020-aisiais įkurta e. parduotuvė „Simitri“ „nulūžo“ per 10 min. po to, kai jos įkūrėjai – influenceriai...

Gazelė
2022.06.29
NKSC: kibernetinės atakos tęsiasi, bet jų mastas mažesnis

Kibernetinės atakos prieš Lietuvos valstybines institucijas, verslą antradienį tęsiasi, tačiau jų mastas kiek...

Verslo aplinka
2022.06.28
„CityBee“ su JAV startuoliu „Qibus“ skina kelią nuotoliniam automobilių valdymui Premium

Nauja technologija jau sukurta ir patikimai veikia, bet jai dar trūksta daugiau bandymų ir parankaus teisinio...

Logistika
2022.06.28
„15min.lt“ patyrė kibernetinę ataką 2

Naujienų portalas „15min.lt“ antradienį skelbia patyręs DDoS (angl. Distributed Denial of Service) ataką.

Inovacijos
2022.06.28
Kovido bangos Lietuvoje iškelti startuoliai jau matuojasi užsienį Premium

Pandemijos metais išaugus psichinės sveikatos temų reikšmei, o eilėms pas psichologus ir psichoterapeutus...

Gazelė
2022.06.28
„Eavalyne.lt“ savininkė suplanavo keleriopą augimą Premium 5

Lenkijos kapitalo CCC įmonių grupė, prekiaujanti avalyne ir drabužiais, per artimiausius penkerius metus...

Prekyba
2022.06.28

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku