Išmaniųjų daiktų saugumo spragos. Kaip nuo jų apsisaugoti?

Publikuota: 2017-12-16
Leonaras Marozas. Asmeninio archyvo nuotr.
Leonaras Marozas. Asmeninio archyvo nuotr.
UAB „CUJO Baltic“ kibernetinio saugumo specialistas

Anksčiau botnetai buvo naudojami siųsti laiškus, viliojančius Somalio princų turtais arba siūlančius magiškas tabletes, skatinančias vyrišką potenciją. Šiandien rizikos kitokios, didesnės. Botnetų kūrėjai kėsinasi į privatumą, finansinius duomenis ir asmeninę informaciją. Taikiklyje atsidūrė ir didelės kompanijos bei šimtai tūkstančių jų klientų.

Botnetas – tai kenkėjiška programine įranga užkrėstų įrenginių, prijungtų prie interneto, armija. Įrenginiams, vadinamiems „zombiais“, komandos perduodamos per C&C (angl. Command and control) programinę įrangą, kurią valdo jos kūrėjai. Jei botneto savininkas turi savo „armijoje“ kelias dešimtis tūkstančių užkrėstų įrenginių, jis jau gali atlikti pakankamai pavojingas atakas.

Botnetai keičiasi ir plečiasi

Praeityje gana populiaru būdavo C&C centrus kuri specifiniuose IRC kanaluose (Internet Relay Chat arba IRC yra ryšio protokolas ir ankstyvoji interneto paslauga, skirta gyvai bendrauti internete). Tačiau mažėjant šio protokolo populiarumui ir paprastėjant tokios komunikacijos blokavimo galimybėms, botnetų valdymo centrai perkelti į P2P (angl. Peer to Peer), TOR (angl. The Onion Router) tinklus.

Botnetai dabar bene dažniausiai naudojami DDoS atakoms (liet. paskirstyto atsisakymo aptarnauti) ir masiniam nepageidaujamų laiškų arba slamštlaiškių (angl. SPAM) siuntimui. Žmonių sąmoningumas ir išprusimas IT saugumo srityje auga. Todėl vis mažėja tų, kurie užkimba už „pasiūlymų“, atkeliaujančių su nepageidaujamais e. laiškais. Visgi, siunčiami milijonai tokių e. laiškų. Tad jei „užkimba“ bent keli procentai gavėjų, aukos skaičiuojamos tūkstančiais. Ir to paprastai užtenka tam, kad piktavalių misija būtų laikoma pavykusia.

Botnetas „Mirai“

Pastaruoju metu iškilo atskiras botnetų segmentas – daiktų interneto (angl. Internet of Things arba IoT) botnetai. Sparčiai augant daiktų interneto rinkai, kuri nebuvo sukurta galvojant apie saugumą, galimybių vykdyti atakas gerokai padaugėjo. 2016 m. tokia išmaniųjų skrudintuvių, šaldytuvų ir kitų buities prietaisų armija parodė savo galybę iki šiol didžiausios iš IoT įrenginių sudaryto botneto „Mirai“ atakos metu.

„Mirai“ botnetas sukurtas užkrečiant šimtus tūkstančių neapsaugotų IoT įrenginių. Pati ataka buvo labai paprasta: panaudota 60 įprastinių gamyklinių (angl. default) slaptažodžių ir vartotojų vardų, kurių vartotojai įprastai nepasikeičia. Taip piktavaliai gavo prieigą prie minėtų buities prietaisų.

Visi kartu šie įrenginiai DDoS atakos metu sugeneravo 1 terabitą siekiančią srauto apimtį prieš Prancūzijos kompaniją OVH. Nesvarbu, kad šiame „Terminator 3: Rise of the machines” primenančiame scenarijuje dalyvavo menką skaičiuojamąją galią turintys įrenginiai: esmė ir didžioji galia slypi jų kiekyje. 2016 m. ataką atliko iki 100.000 užkrėstų IoT įrenginių.

Apsisaugoti nuo tokio tipo atakų, kaip DDoS, yra praktiškai neįmanoma. Dėl masiškai generuojamo perteklinio srauto, serveriai tiesiog negali aptarnauti realių klientų, taip pažeidžiant vieną saugumo triados – konfidencialumas, integralumas, prieinamumas – punktų.

„Mirai“ parodė IoT potencialą kenkėjiškoms veikloms. Kaip tas potencialas yra ir bus išnaudojamas, jau kitas klausimas. Nors teigiama, kad „Mirai“ botnetas sustabdytas, o jį sukūręs asmuo identifikuotas, pavojus išliko, nes žinių, kaip organizuoti tokias atakas, turi daugybė žmonių.

Tai patvirtina ir vis į viešumą iškylančios „Mirai“ variacijos, kurių paskutinė – lapkričio pabaigoje staigiai išplitęs botnetas, išnaudojantis „ZyXEL“ modemų pažeidžiamumą.

Botnetas „Reaper“

2017 m. spalį pradėjo sklisti pavojaus signalas apie naują, IoT skirtą kenkėjišką programinį kodą „Reaper“. Tikslus jo užkrėstų įrenginių skaičius nėra žinomas ir svyruoja nuo kelių dešimčių tūkstančių iki kelių milijonų įrenginių. Šio kenksmingo kodo plitimas kitoks nei „Mirai“. Tai jau nebėra primityvus galimų gamyklinių prisijungimo duomenų tikrinimas, skenuojant įrenginius, rastus internete. „Reaper“ naudojasi „skylėmis“, kurios šiemet atrastos maršrutizatorių, kamerų ir kitų įrenginių programinėje įrangoje. „Reaper“ yra sudėtingesnis ir „tylesnis“ už „Mirai“, jo veiksmai nėra taip aiškiai matomi. Bet turima informacija rodo, kad yra kaupiama „zombių“ armija. Kam ji bus panaudota, kol kas neaišku. Galbūt dar didesnei DDoS atakai. Tačiau įmanoma ir tai, kad šis, kol kas besiformuojantis, kenkėjas tiesiog išnyks, užtaisius saugumo spragas.

Kad ir kaip būtų, ne veltui daugelyje pastarojo meto IT grėsmių ataskaitų ir prognozių, IoT (ne)saugumas įvardijamas kaip viena didžiausių problemų.

Reikalingi saugumo standartai

Prognozuojama, kad 2020 m. pasaulyje bus nuo 25 iki 50 mlrd. prie interneto prijungtų įrenginių. Šiuo metu nėra nei saugumo reglamento, nei standarto, kuriuo galėtų ir turėtų laikytis IoT įrenginių ir jiems skirtos programinės įrangos gamintojai. Šie darbai laukia ateityje. O kol kas reikia susitaikyti su tuo, kad rinka yra perpildyta įvairiais neaiškaus pobūdžio ir nežinia kiek saugiais išmaniaisiais duonos skrudintuvais, druskinėmis, kiaušinių dėtuvėmis ir kitais panašaus pobūdžio daiktais. Kiekvienas toks įrenginys, pajungtas į tinklą – dar vienas langas, kurį naudodami hakeriai gali kėsintis į vartotojo namų saugumą ir privatumą. O žinant, kad IoT įrenginiai naudojami ir medicinos, sveikatos apsaugos srityse bei automobiliuose, atsiranda ir reali grėsmė žmogaus gyvybei.

IoT įrenginiai daugiausia yra skirti kasdienybės pagražinimui ar patobulinimui. Todėl nereikia tikėtis, kad žmogus, įsigijęs išmanųjį šaldytuvą, norės praleisti valandą ar dvi jį konfigūruodamas ir tikrindamas, ar įrenginys nėra pažeidžiamas. Tokių įrenginių saugumu turėtų būti pasirūpinta dar gamykloje.

Niekas negali teigti esantis 100% saugus. Bet šiokią tokią apsaugą gali suteikti programinė įranga ar išmanieji įrenginiai, skirti būtent IoT apsaugai. Kitas receptas – vartotojų švietimas. Štai kelios senos universalios taisyklės: nespausti neįprastų ar iš nežinomų šaltinių gautų nuorodų, neatidarinėti nelauktų dokumentų, kurti saugius slaptažodžius (bendrovės pavadinimas ir keli skaičiai nėra saugus slaptažodis), naudotis kelių sluoksnių slaptažodžių apsauga. Taip pat reikėtų įvertinti, ar tikrai tas naujas išmanus įtaisas, pranešantis, kiek kiaušinių liko pas jus šaldytuve, yra būtinas.

Leonaras Marozas yra UAB „CUJO Baltic“ kibernetinio saugumo specialistas ir Vilniaus Universiteto lektorius. Jis dėsto kursus, susijusius su duomenų sauga ir kenkėjišku programiniu kodu.

Autoriaus nuomonė nebūtinai sutampa su redakcijos pozicija.

Gauk nemokamą TECHNOLOGIJŲ savaitraštį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
„Ericsson“ sutiko su 1 mlrd. USD bauda kyšininkavimo byloje

Švedijos telekomunikacijų kompanija „Ericsson“ sumokės per 1 mlrd. USD  baudų ir taip užbaigs JAV institucijų...

Rinkos
2019.12.07
Profesorė S. Jarmalaitė: vėžys nebėra mirtina liga Premium

Genetikos profesorė, biologijos mokslų daktarė Sonata Jarmalaitė, Nacionalinio vėžio instituto (VNI)...

Laisvalaikis
2019.12.07
„World Summit Awards“ finale – net šeši Lietuvos projektai

Jungtinių Tautų globojamo Pasaulio viršūnių apdovanojimų (angl. World Summit Awards 2019) konkurso pirmąjį...

Paslaugos
2019.12.07
„Revolut“ žengia pirmuosius žingsnius į pensijų kaupimo rinką 3

Jungtinės Karalystės startuolis „Revolut“, turintis lietuvišką bankinę licenciją, žengia pirmuosius žingsnius...

Rinkos
2019.12.06
JAV persekioja su Rusijos valdžia siejamus kibernetinius nusikaltėlius

Jungtinės Valstijos paskelbė persekiojančios Rusijos kibernetinių nusikaltėlių grupuotę, kurios...

Verslo aplinka
2019.12.06
Autonominių fabrikų dar teks palaukti – 5G diegimas Lietuvoje prasidės 2021 m. Premium 3

Gigabitinę spartą, nejuntamą vėlinimą ir kitus pranašumus žadantis 5G ryšys Lietuvoje bus pradėtas diegti po...

Paslaugos
2019.12.06
„Swedbank“ pradeda siūlyti „Apple Pay“ mokėjimus 5

„Swedbank“ privatiems klientams, turintiems bekontaktes „Mastercard“ korteles, atveria „Apple Pay“...

Paslaugos
2019.12.05
Tarptautiniame „fintech“ reitinge Lietuvai atiteko 4 vieta

Jungtinės Karalystės bendrovės „Findexable“ sudarytame tarptautiniame finansinių technologijų („fintech“)...

Technologijos
2019.12.05
Startuolis „Perfection.AI“ pritraukė naują 150.000 Eur investiciją 

Prieš kiek daugiau nei metus veiklą pradėjęs startuolis „Perfection.AI“ (UAB „Perfectionai“), kuriantis...

Technologijos
2019.12.05
„Huawei“ prašo JAV atšaukti draudimą pirkti bendrovės įrangą 4

Kinijos telekomunikacijų milžinė „Huawei“ ketvirtadienį pranešė pateikusi prašymą JAV teismui atšaukti...

Paslaugos
2019.12.05
Konferencija BIM FORUM VILNIUS 2019: STATYBŲ DIENA Verslo tribūna

Š. m. lapkričio 21 d. Vilniuje įvyko konferencija BIM FORUM VILNIUS 2019: STATYBŲ DIENA. Trečią kartą...

Statyba ir NT
2019.12.05
Interviu su pagrindiniu „Light Conversion“ akcininku: įmonė įkurta siekiant išlaikyti protus per pirmąją emigracijos bangą Premium 3

Lietuvišku Billu Gatesu kartais vadinamas dr. Romualdas Danielius – geidžiamiausio darbdavio Lietuvoje UAB...

Technologijos
2019.12.05
Chirurginių operacijų komplikacijų riziką mažins pasitelkdami pažangias technologijas Verslo tribūna

2017 m. Londono Queen Mary universiteto atliktos mokslinės studijos duomenimis, kasmet po chirurgų peiliu dėl...

Technologijos
2019.12.04
„Google“ įkūrėjai traukiasi iš „Alphabet“ vadovų

Larry Page‘as ir Sergey Brinas, „Google“ įkūrėjai, paskelbė, kad traukiasi iš „Google“ valdančios kompanijos...

Technologijos
2019.12.04
„ACC Distribution“ tapo oficialiu „Xiaomi“ įrenginių distributoriumi Baltijos šalyse Verslo tribūna 8

Viena stambiausių didmeninės prekybos bendrovių „ACC Distribution“ Baltijos šalyse sudarė bendradarbiavimo...

Prekyba
2019.12.04
Kai klientai ateina iš uždaros bendruomenės, pardavimų prireikia po pusantrų metų Premium

Versle pasitikėjimas pelno gerų atsiliepimų, o šie augina klientų ratą. Bet jei klientus dar saisto tvirtos...

Gazelė
2019.12.04
„Bitės“ technologijų vadovas: ar Lietuva išliks greito interneto lydere pasaulyje? Verslo tribūna

„Internetas Lietuvoje – greičiausiais pasaulyje“. Tokias ir panašias antraštes esame įpratę matyti, tačiau...

Technologijos
2019.12.03
Ar veido atpažinimo sistemos įtvirtins visuotinį mūsų sekimą? Premium

Veido atpažinimo technologija – vienas svarbiausių naujųjų išradimų, galinčių transformuoti ekonomikos...

Verslo klasė
2019.12.03
Startuoja „TV3 Grupės“ turinio platforma „Go3“ 5

„Teliai“ vos spėjus savo turinio transliavimo platformą atverti visiems vartotojams, „TV3 Grupė“ (anksčiau...

Paslaugos
2019.12.03
„Crocs“ pasiekė aukštumas: kodėl klasikinės klumpės vėl „ant bangos“? Verslo tribūna

JAV kompanijos „Crocs“ batus oficialiai avi jau trečdalis Lietuvos: šalyje šį rudenį buvo parduotas...

Prekyba
2019.12.02

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau