Išmaniųjų daiktų saugumo spragos. Kaip nuo jų apsisaugoti?

Publikuota: 2017-12-16
Leonaras Marozas. Asmeninio archyvo nuotr.
Leonaras Marozas. Asmeninio archyvo nuotr.
UAB „CUJO Baltic“ kibernetinio saugumo specialistas

Anksčiau botnetai buvo naudojami siųsti laiškus, viliojančius Somalio princų turtais arba siūlančius magiškas tabletes, skatinančias vyrišką potenciją. Šiandien rizikos kitokios, didesnės. Botnetų kūrėjai kėsinasi į privatumą, finansinius duomenis ir asmeninę informaciją. Taikiklyje atsidūrė ir didelės kompanijos bei šimtai tūkstančių jų klientų.

Botnetas – tai kenkėjiška programine įranga užkrėstų įrenginių, prijungtų prie interneto, armija. Įrenginiams, vadinamiems „zombiais“, komandos perduodamos per C&C (angl. Command and control) programinę įrangą, kurią valdo jos kūrėjai. Jei botneto savininkas turi savo „armijoje“ kelias dešimtis tūkstančių užkrėstų įrenginių, jis jau gali atlikti pakankamai pavojingas atakas.

Botnetai keičiasi ir plečiasi

Praeityje gana populiaru būdavo C&C centrus kuri specifiniuose IRC kanaluose (Internet Relay Chat arba IRC yra ryšio protokolas ir ankstyvoji interneto paslauga, skirta gyvai bendrauti internete). Tačiau mažėjant šio protokolo populiarumui ir paprastėjant tokios komunikacijos blokavimo galimybėms, botnetų valdymo centrai perkelti į P2P (angl. Peer to Peer), TOR (angl. The Onion Router) tinklus.

Botnetai dabar bene dažniausiai naudojami DDoS atakoms (liet. paskirstyto atsisakymo aptarnauti) ir masiniam nepageidaujamų laiškų arba slamštlaiškių (angl. SPAM) siuntimui. Žmonių sąmoningumas ir išprusimas IT saugumo srityje auga. Todėl vis mažėja tų, kurie užkimba už „pasiūlymų“, atkeliaujančių su nepageidaujamais e. laiškais. Visgi, siunčiami milijonai tokių e. laiškų. Tad jei „užkimba“ bent keli procentai gavėjų, aukos skaičiuojamos tūkstančiais. Ir to paprastai užtenka tam, kad piktavalių misija būtų laikoma pavykusia.

Botnetas „Mirai“

Pastaruoju metu iškilo atskiras botnetų segmentas – daiktų interneto (angl. Internet of Things arba IoT) botnetai. Sparčiai augant daiktų interneto rinkai, kuri nebuvo sukurta galvojant apie saugumą, galimybių vykdyti atakas gerokai padaugėjo. 2016 m. tokia išmaniųjų skrudintuvių, šaldytuvų ir kitų buities prietaisų armija parodė savo galybę iki šiol didžiausios iš IoT įrenginių sudaryto botneto „Mirai“ atakos metu.

„Mirai“ botnetas sukurtas užkrečiant šimtus tūkstančių neapsaugotų IoT įrenginių. Pati ataka buvo labai paprasta: panaudota 60 įprastinių gamyklinių (angl. default) slaptažodžių ir vartotojų vardų, kurių vartotojai įprastai nepasikeičia. Taip piktavaliai gavo prieigą prie minėtų buities prietaisų.

Visi kartu šie įrenginiai DDoS atakos metu sugeneravo 1 terabitą siekiančią srauto apimtį prieš Prancūzijos kompaniją OVH. Nesvarbu, kad šiame „Terminator 3: Rise of the machines” primenančiame scenarijuje dalyvavo menką skaičiuojamąją galią turintys įrenginiai: esmė ir didžioji galia slypi jų kiekyje. 2016 m. ataką atliko iki 100.000 užkrėstų IoT įrenginių.

Apsisaugoti nuo tokio tipo atakų, kaip DDoS, yra praktiškai neįmanoma. Dėl masiškai generuojamo perteklinio srauto, serveriai tiesiog negali aptarnauti realių klientų, taip pažeidžiant vieną saugumo triados – konfidencialumas, integralumas, prieinamumas – punktų.

„Mirai“ parodė IoT potencialą kenkėjiškoms veikloms. Kaip tas potencialas yra ir bus išnaudojamas, jau kitas klausimas. Nors teigiama, kad „Mirai“ botnetas sustabdytas, o jį sukūręs asmuo identifikuotas, pavojus išliko, nes žinių, kaip organizuoti tokias atakas, turi daugybė žmonių.

Tai patvirtina ir vis į viešumą iškylančios „Mirai“ variacijos, kurių paskutinė – lapkričio pabaigoje staigiai išplitęs botnetas, išnaudojantis „ZyXEL“ modemų pažeidžiamumą.

Botnetas „Reaper“

2017 m. spalį pradėjo sklisti pavojaus signalas apie naują, IoT skirtą kenkėjišką programinį kodą „Reaper“. Tikslus jo užkrėstų įrenginių skaičius nėra žinomas ir svyruoja nuo kelių dešimčių tūkstančių iki kelių milijonų įrenginių. Šio kenksmingo kodo plitimas kitoks nei „Mirai“. Tai jau nebėra primityvus galimų gamyklinių prisijungimo duomenų tikrinimas, skenuojant įrenginius, rastus internete. „Reaper“ naudojasi „skylėmis“, kurios šiemet atrastos maršrutizatorių, kamerų ir kitų įrenginių programinėje įrangoje. „Reaper“ yra sudėtingesnis ir „tylesnis“ už „Mirai“, jo veiksmai nėra taip aiškiai matomi. Bet turima informacija rodo, kad yra kaupiama „zombių“ armija. Kam ji bus panaudota, kol kas neaišku. Galbūt dar didesnei DDoS atakai. Tačiau įmanoma ir tai, kad šis, kol kas besiformuojantis, kenkėjas tiesiog išnyks, užtaisius saugumo spragas.

Kad ir kaip būtų, ne veltui daugelyje pastarojo meto IT grėsmių ataskaitų ir prognozių, IoT (ne)saugumas įvardijamas kaip viena didžiausių problemų.

Reikalingi saugumo standartai

Prognozuojama, kad 2020 m. pasaulyje bus nuo 25 iki 50 mlrd. prie interneto prijungtų įrenginių. Šiuo metu nėra nei saugumo reglamento, nei standarto, kuriuo galėtų ir turėtų laikytis IoT įrenginių ir jiems skirtos programinės įrangos gamintojai. Šie darbai laukia ateityje. O kol kas reikia susitaikyti su tuo, kad rinka yra perpildyta įvairiais neaiškaus pobūdžio ir nežinia kiek saugiais išmaniaisiais duonos skrudintuvais, druskinėmis, kiaušinių dėtuvėmis ir kitais panašaus pobūdžio daiktais. Kiekvienas toks įrenginys, pajungtas į tinklą – dar vienas langas, kurį naudodami hakeriai gali kėsintis į vartotojo namų saugumą ir privatumą. O žinant, kad IoT įrenginiai naudojami ir medicinos, sveikatos apsaugos srityse bei automobiliuose, atsiranda ir reali grėsmė žmogaus gyvybei.

IoT įrenginiai daugiausia yra skirti kasdienybės pagražinimui ar patobulinimui. Todėl nereikia tikėtis, kad žmogus, įsigijęs išmanųjį šaldytuvą, norės praleisti valandą ar dvi jį konfigūruodamas ir tikrindamas, ar įrenginys nėra pažeidžiamas. Tokių įrenginių saugumu turėtų būti pasirūpinta dar gamykloje.

Niekas negali teigti esantis 100% saugus. Bet šiokią tokią apsaugą gali suteikti programinė įranga ar išmanieji įrenginiai, skirti būtent IoT apsaugai. Kitas receptas – vartotojų švietimas. Štai kelios senos universalios taisyklės: nespausti neįprastų ar iš nežinomų šaltinių gautų nuorodų, neatidarinėti nelauktų dokumentų, kurti saugius slaptažodžius (bendrovės pavadinimas ir keli skaičiai nėra saugus slaptažodis), naudotis kelių sluoksnių slaptažodžių apsauga. Taip pat reikėtų įvertinti, ar tikrai tas naujas išmanus įtaisas, pranešantis, kiek kiaušinių liko pas jus šaldytuve, yra būtinas.

Leonaras Marozas yra UAB „CUJO Baltic“ kibernetinio saugumo specialistas ir Vilniaus Universiteto lektorius. Jis dėsto kursus, susijusius su duomenų sauga ir kenkėjišku programiniu kodu.

Autoriaus nuomonė nebūtinai sutampa su redakcijos pozicija.

Gauk nemokamą TECHNOLOGIJŲ savaitraštį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
Analitikai jau regi 2 trln. USD „Apple“ kapitalizaciją

JAV technologijų milžinė „Apple“, kuri jau dabar yra didžiausia JAV įmonė pagal savo rinkos vertę...

Rinkos
2020.01.20
Kuria pradžiamokslį, kaip stiprinti kibernetinį saugumą

„Kurk Lietuvai“ projekto dalyviai Krašto apsaugos ministerijoje (KAM) kuria Kibernetinio saugumo vadovą...

Gazelė
2020.01.18
„NEO Finance“ paslaugą „Neopay“ pasiūlė ir Latvijoje

Lietuvos finansų technologijų startuolis „NEO Finance“ žengė į Latviją, kur pasiūlė mokėjimo inicijavimo...

Technologijos
2020.01.17
„Google“ sugalvojo, kaip įvykdyti EK reikalavimus ir iš to dar uždirbti Premium

„Google“, kuriai Europos Komisija (EK) 2018 m. skyrė beveik 5 mlrd. USD baudą (4,3 mlrd. Eur), rado būdą,...

Technologijos
2020.01.16
„Rocket Software“ Vilniuje atidaro kompetencijų centrą

JAV informacinių technologijų bendrovė „Rocket Software“, besispecializuojanti įmonių veiklos modernizavimo...

Technologijos
2020.01.16
„Telia“ pradeda tiekti siaurajuostį daiktų interneto ryšį 1

Bendrovė „Telia Lietuva“ pradeda tiekti siaurajuostį daiktų internetą. Ši technologija, užtikrinanti ryšį su...

Technologijos
2020.01.16
„Fintech“ rinka: ko galime tikėtis 2020-aisiais Premium

Naujos technologijos ir besikeičiantys vartotojų poreikiai pastaraisiais metais sudrebino finansinių paslaugų...

Paslaugos
2020.01.16
I. Survila pardavė beveik visas „Citybirds“ akcijas, „Unicorn Scooters“ – ant prekystalio Premium 1

Paspirtukus gaminančios „Citybirds“ įkūrėjas Ignas Survila pardavė didžiąją dalį turėtų bendrovės akcijų ir...

Technologijos
2020.01.16
Kibernetinėms atakoms per mažų ar neįdomių nėra: kaip apsisaugoti Premium 1

Pusė smulkiojo ir vidutinio verslo (SVV) – 44% bendrovių – nemano, kad galėtų tapti kibernetinių atakų...

Gazelė
2020.01.15
Lietuvoje įkurtas pirmasis „fintech“ verslo klasteris

Lietuvoje sparčiai augantis finansinių technologijų („fintech“) sektorius žengia klasterizacijos...

Technologijos
2020.01.15
„Fima“ už 0,76 mln. Eur modernizuos stebėjimo sistemą Baltarusijos pasienyje 

Iki šių metų pabaigos planuojama atnaujinti Padvarionių užkardos (Bajorų kaimas, Medininkų sen., Vilniaus...

Technologijos
2020.01.15
Įdomiausios parodos „CES 2020“ inovacijos ir prototipai Premium

Kasmetė technologijų paroda CES vis nustebina, pralinksmina, o kartais palieka be žado ir priverčia mintyse...

Technologijos
2020.01.14
„Revolut Bank“ jungiasi prie Lietuvos bankų asociacijos 4

Jungtinės Karalystės finansinių technologijų (fintech) startuolis „Revolut“, Lietuvoje kuriantis...

Finansai
2020.01.14
Startuolis pasikinkė griežtėjančios pinigų plovimo prevencijos idėją Premium 3

Lietuvoje įkurtas reguliavimo technologijų, arba „regtech“, startuolis „Amlyze“ sukūrė pirmą Lietuvoje...

Rinkos
2020.01.14
Steigiamas 900 mln. Eur Inovacijų skatinimo fondas, veiks iki 2040 m. 

Ekonomikos ir inovacijų ministerija siūlo steigti Inovacijų skatinimo fondą,kuris pritrauktų investicijų į...

Pramonė
2020.01.13
„Tele2“ atidarė nuosavą kontaktų centrą

Telekomunikacijų bendrovė „Tele2“ atidarė nuosavą kontaktų centrą, kurio padaliniai įsikūrė Vilniuje ir...

Paslaugos
2020.01.13
Kalėdinėse reklamose – „Telia Lietuvos“ ir „Tele2“ dvikova Premium

Per kalėdinį periodą televizijos transliavo bemaž 7% daugiau reklamos sekundžių, 11% daugiau klipų.

Rinkodara
2020.01.13
Tik 1 iš 14 išradimų Lietuvoje sukuria moterys, siekiama tai pakeisti 2

Siekiant paskatinti moterų verslumą ir pagerinti lyčių balansą inovatorių bendruomenėje, startuoja iniciatyva...

Technologijos
2020.01.13
Pasitraukus „MailChimp“, lietuvių „Omnisend“ patrigubino pajamas Premium 1

Integruotos rinkodaros bendrovė „Omnisend“ pernai gavo apie tris kartus daugiau pajamų nei 2018 m. Įmonės...

Paslaugos
2020.01.13
5 technologijos, pakilusios iš pelenų Premium

Inovatyvias technologijas vartotojų kartais sunkiai priima. Dažnai taip nutinka todėl, kad kartu su nauju...

Technologijos
2020.01.11

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau