Οι αδύναμοι κωδικοί πρόσβασης καθιστούν τις ΙοΤ συσκευές ευάλωτες σε επιθέσεις

14/12/2017 07:10

Φανταστείτε ότι θέλετε να κάνετε ένα δώρο στο παιδί σας και έτσι αποφασίσατε να του αγοράσετε ένα καταπληκτικό smart-controlled ασύρματο κατασκοπευτικό όχημα — ουσιαστικά μια κάμερα κατασκοπείας σε τροχούς, συνδεδεμένη μέσω Wi-Fi και με δυνατότητα διαχείρισης μέσω mobile εφαρμογής. Είναι πραγματικά ένα καταπληκτικό δώρο που του επιτρέπει όχι μόνο να το οδηγήσει, αλλά επίσης να τραβάει φωτογραφίες, να καταγράφει βίντεο, ακόμη και να αναπαράγει ήχο από απόσταση μέσω ενσωματωμένου ηχείου.

Ήταν τέλειο για να σας εντάξει στην εορταστική διάθεση της εποχής, αλλά αρκετές ημέρες μετά την αγορά του οχήματος ξαφνικά αρχίσατε να παρατηρείτε ότι κάτι δεν πήγαινε καλά και το όχημα ξέφυγε από τον έλεγχό σας. Άρχισε να κινείται σαν να υπακούει τις εντολές κάποιου τρίτου, να καταγράφει βίντεο που δεν θέλετε, αλλά και να χάνει ενέργεια ανεξήγητα γρήγορα. Πως συνέβη αυτό; Το πιο πιθανό είναι ότι αγοράσατε ένα ευάλωτο και επισφαλές δώρο.

Οι συνδεδεμένες έξυπνες συσκευές θεωρούνται γενικά πολύ βολικός τρόπος για να διευκολύνουμε τη ζωή μας. Αλλά σε ποιο βαθμό είναι ασφαλές να χρησιμοποιηθούν από άποψη ψηφιακής ασφάλειας; Το 2015 οι ερευνητές της Kaspersky Lab αποφάσισαν να εξετάσουν τη σοβαρότητα της απειλής πίσω από το Internet of Things (IoT). Τα αποτελέσματα ήταν ανησυχητικά, έτσι δύο χρόνια αργότερα αποφασίσαμε να διερευνήσουμε περισσότερο το ζήτημα. Από οχτώ τυχαία επιλεγμένες IoT συσκευές — από ένα έξυπνο σίδερο μέχρι ένα έξυπνο όχημα κατασκοπείας – οι μισές ήταν επικίνδυνες λόγω αδύναμων ρυθμίσεων στους κωδικούς πρόσβασης. Επιπλέον, μόνο μία συσκευή ικανοποίησε τις απαιτήσεις των ερευνητών και απεδείχθη ασφαλής.

 

Οι IoT συσκευές είναι βασικά συσκευές με συνδεσιμότητα δικτύου – εξοπλισμένες με ενσωματωμένη τεχνολογία που τους επιτρέπει να αλληλεπιδρούν μεταξύ τους ή με το εξωτερικό περιβάλλον. Λόγω του μεγάλου αριθμού και της ποικιλίας των διαθέσιμων συσκευών, το IoT έχει γίνει ένας ελκυστικός στόχος για τους ψηφιακούς εγκληματίες. Αυτό περιλαμβάνει, μεταξύ άλλων, τις πρωτοποριακές επιθέσεις DDoSτου 2016 που ξεκίνησαν με τη βοήθεια ενός μαζικού botnet που αποτελείται από routers, κάμερες IP, εκτυπωτές και άλλες συσκευές. Από τις επιτυχώς χακαρισμένες IoT συσκευές, οι εγκληματίες είναι σε θέση να κατασκοπεύουν ή ακόμα και να εκβιάζουν τους ανθρώπους. Άλλοι παράγοντες ενδέχεται να είναι ακόμα πιο επικίνδυνοι. Για παράδειγμα, το οικιακό σας δίκτυο μπορεί να χρησιμοποιείται για την εκτέλεση παράνομων δραστηριοτήτων ή από έναν ψηφιακό εγκληματία που έχει αποκτήσει πρόσβαση σε μια συσκευή IoT, ο οποίος θα μπορούσε να εκβιάσει – και να κατασκοπεύσει – τον ιδιοκτήτη του ή να υποκλέψει χρήματα από αυτόν. Η «μολυσμένη» συσκευή μπορεί αρκετά εύκολα να «σπάσει», αν και είναι σαφές ότι αυτό δεν είναι το χειρότερο πράγμα που μπορεί να συμβεί.

Με αυτό το σκεπτικό, οι ερευνητές της Kaspersky Lab αποφάσισαν να ανακαλύψουν εάν οι αναφορές για τα έξυπνα «IoT» προϊόντα και τα διάφορα γεγονότα που έχουν συμβεί, έχουν αλλάξει την κατάσταση. Η αλήθεια είναι ότι ανέλυσαν για άλλη μια φορά αρκετές τυχαία επιλεγμένες έξυπνες συσκευές, μεταξύ των οποίων ένας έξυπνος φορτιστής μπαταρίας, ένα ελεγχόμενο από εφαρμογή αυτοκίνητο-παιχνίδι, μία ελεγχόμενη από εφαρμογή έξυπνη ζυγαριά, μία έξυπνη ηλεκτρική σκούπα, ένα έξυπνο σίδερο, ένα έξυπνο ρολόι και ένα έξυπνο οικιακό hub. Τα ευρήματα ήταν πραγματικά ανησυχητικά: από τις οχτώ συσκευές που εξετάστηκαν, μόνο μία ικανοποίησε τις απαιτήσεις ασφάλειας των ερευνητών.

Επιπλέον, οι μισές συσκευές θα μπορούσαν να παραβιαστούν απλά λόγω έλλειψης επαγρύπνησης των πωλητών στις ρυθμίσεις κωδικών πρόσβασης. Αυτό περιλάμβανει τον προεπιλεγμένο κωδικό πρόσβασης και την αδυναμία αλλαγής του κωδικού πρόσβασης, ενώ σε ορισμένες περιπτώσεις ο κωδικός πρόσβασης ήταν ακόμη ενοποιημένος για όλες τις συσκευές στη γραμμή προϊόντων.

«Στην Kaspersky Lab παρακολουθούμε εδώ και χρόνια το θέμα της ασφάλειας των έξυπνων συσκευών. Βλέπουμε τώρα ότι οι διάφορες εκθέσεις για τα έξυπνα «IoT» προϊόντα και τα αυξανόμενα επίπεδα επαγρύπνησης των πωλητών συνέβαλαν στη μείωση του όγκου των μη ασφαλών έξυπνων συσκευών. Ωστόσο, το πρόβλημα εξακολουθεί να υπάρχει και οι έξυπνες συσκευές εξακολουθούν να μπορούν να βλάψουν τους ιδιοκτήτες τους, υποδεικνύοντας ότι υπάρχει πολύ περισσότερη δουλειά που πρέπει να καταβληθεί από τις εταιρείες ηλεκτρονικής ασφάλειας και τους πωλητές συνδεδεμένων συσκευών», σημειώνει ο Oleg Zaitsev, ειδικός ασφαλείας της Kaspersky Lab.

Οι ερευνητές της Kaspersky Lab συμβουλεύουν τους χρήστες να λάβουν τα ακόλουθα μέτρα για να προστατευθούν από την αγορά ευπαθών έξυπνων συσκευών:

  1. Πριν αγοράσετε μια συσκευή IoT, αναζητήστε στο Διαδίκτυο νέα για τυχόν ευπάθειες. Το Internet of Things είναι επί του παρόντος ένα πολύ καυτό θέμα και πολλοί ερευνητές κάνουν μεγάλη δουλειά για την εξεύρεση ζητημάτων ασφάλειας σε προϊόντα αυτού του είδους: από τα μόνιτορ μωρών μέχρι ελεγχόμενα από εφαρμογές όπλα. Είναι πιθανό η συσκευή που πρόκειται να αγοράσετε να έχει ήδη εξεταστεί από ερευνητές ασφάλειας και είναι συχνά πιθανό να διαπιστωθεί εάν τα ζητήματα που εντοπίστηκαν στη συσκευή έχουν επιδιορθωθεί ή όχι.
  2. Δεν είναι πάντα καλή ιδέα να αγοράσετε τα πιο πρόσφατα προϊόντα που κυκλοφορούν στην αγορά. Μαζί με bugs που ανιχνεύονται συνήθως σε νέα προϊόντα, οι συσκευές που έχουν παρουσιαστεί πρόσφατα είναι πιο πιθανό να περιέχουν ζητήματα ασφάλειας που δεν έχουν ακόμη ανακαλυφθεί από τους ερευνητές. Η καλύτερη επιλογή είναι να αγοράσετε προϊόντα που έχουν ήδη υποστεί αρκετές ενημερώσεις λογισμικού.
  3. Όταν επιλέγετε ποιο μέρος της ζωής σας θα κάνετε λίγο πιο έξυπνο, σκεφτείτε τους κινδύνους ασφάλειας. Αν το σπίτι σας είναι το μέρος όπου αποθηκεύετε πολλά αντικείμενα υλικής αξίας, θα ήταν πιθανώς καλή ιδέα να εγκαταστήσετε ένα επαγγελματικό σύστημα συναγερμού που μπορεί να αντικαταστήσει ή να συμπληρώσει το υπάρχον σύστημα συναγερμού στο σπίτι που ελέγχεται από εφαρμογές. ή να ρυθμίσετε το υπάρχον σύστημα με τέτοιο τρόπο ώστε τυχόν πιθανά τρωτά σημεία να μην επηρεάζουν τη λειτουργία του.

Για να ξεπεράσει τις απειλές, η Kaspersky Lab κυκλοφόρησε μια beta έκδοση της λύσης της για το «έξυπνο» σπίτι και το Internet of Things – το Kaspersky IoT Scanner. Αυτή η δωρεάν εφαρμογή για την πλατφόρμα Android ανιχνεύει το οικιακό δίκτυο Wi-Fi, ενημερώνοντας τον χρήστη σχετικά με τις συνδεδεμένες συσκευές και το επίπεδο ασφάλειας.

Στον ειδικό ιστότοπο Securelist.com μπορείτε να βρείτε περισσότερες πληροφορίες για τις έξυπνες συσκευές.

Πηγη https://www.itsecuritypro.gr/adynami-kodiki-prosvasis-kathistoun-tis-iot-syskeves-evalotes-se-epithesis/