Ludzie i style

Internet rzeczy niebezpiecznych

Hakerskie ataki na inteligentne domy

W wyszukiwarce Shodan można znaleźć obrazy nadawane na żywo przez niezabezpieczone kamery internetowe. W wyszukiwarce Shodan można znaleźć obrazy nadawane na żywo przez niezabezpieczone kamery internetowe. Prasit Photo / Getty Images
Prywatność w inteligentnym domu? Bezpieczeństwo w samochodzie? Owszem, dopóki haker nie zablokuje hamulców albo nie sprawi, że żarówka zacznie nagrywać. A nie jest to trudne.
W ostatnim kwartale swoją siłę pokazał Mirai (po japońsku: przyszłość), narzędzie hakerskie wykorzystujące armię zainfekowanych sprzętów.Carol & Mike Werner/Visuals Unlimited/Getty Images W ostatnim kwartale swoją siłę pokazał Mirai (po japońsku: przyszłość), narzędzie hakerskie wykorzystujące armię zainfekowanych sprzętów.

Woda pod prysznicem nagle zmienia ustawioną elektronicznie stałą temperaturę, więc dziewczyna wyskakuje z kabiny. Mokra idzie po tablet, żeby skontrolować, co się dzieje. Tymczasem temperatura powietrza spada do zera. Zaczyna wyć alarm, a na jego pisk nakłada się fragment „Wesela Figara” powtarzany szaleńczo przez głośny system audio. Dziewczyna jest bezradna wobec drogiego i nowoczesnego systemu swojego inteligentnego domu, na który zarobiła pracą dla bezwzględnej wielkiej korporacji. A za to właśnie w ten sposób sprawiedliwość wymierzył jej – przez internet – haker.

To malownicze wrogie przejęcie kontroli nad całym domem to na razie tylko element scenariusza popularnego serialu „Mr. Robot”. Ale nie taki znowu nierealny. Zautomatyzowany dom przestaje być fikcją – w najprostszej formie potrzeba tylko smartfona i kilku urządzeń podłączonych do sieci. A rozwijający się internet rzeczy oprócz ułatwień zaczyna nieść ze sobą spore zagrożenia.

W ostatnim kwartale swoją siłę pokazał Mirai (po japońsku: przyszłość), narzędzie hakerskie wykorzystujące armię zainfekowanych sprzętów. Wśród nich są przede wszystkim routery, urządzenia DVR, kamery internetowe, ale i mniej oczywiste przedmioty łączące się z siecią: termostaty, inteligentne żarówki czy monitory oddechu śpiących dzieci. Dziesiątki milionów tego typu urządzeń zostało przez Mirai połączone w tak zwany botnet – bez świadomego udziału właścicieli użyto ich do zmasowanych ataków m.in. na strony zajmujące się bezpieczeństwem surfowania i kluczowe elementy infrastruktury sieci. W efekcie tymczasowo niedostępne stały się korzystające z nich wielkie serwisy Twitter, Spotify, Netflix, Airbnb czy Paypal.

To, co się stało, w zabawny sposób komentowali później na Twitterze ludzie pracujący przy związanych z technologią serialach „Mr. Robot” i „Czarne lustro”: „Tylko tyle trzeba, żeby świat zaczął panikować?”. Jeden z bohaterów animacji „South Park” powrót po kilku godzinach ważnego kawałka internetu tłumaczył włożeniem wtyczki wielkiego routera do kontaktu. Ale kiedy atak zaczął być już przekuwany w żart i wydawało się, że Mirai traci rozpęd, narzędzie – na zasadzie otwartego oprogramowania – udostępnione zostało w sieci. I teraz na całym świecie ludzie wyszukują nowe, kreatywne sposoby na to, by wytyczyć ścieżki dostępu do kolejnych urządzeń. A że na świecie w ramach internetu rzeczy połączonych ze sobą jest jeszcze kilkanaście miliardów mniej lub bardziej istotnych dla życia maszyn, ich stopniowe hakowanie nadaje Mirai większą moc sprawczą.

Liczne talenty żarówki

Botnet wytworzony przez Mirai zwrócił uwagę na niebezpieczeństwa wynikające z korzystania z elementów internetu rzeczy, o których do tej pory ich użytkownicy mieli niewielkie pojęcie. A sieć jest w takich nowoczesnych urządzeniach niezbywalna – umożliwia współpracę różnych systemów wewnętrznych, pozwala sprawniej z nich korzystać. Człowiek z zewnątrz nie powinien mieć jednak do nich dostępu. Lodówki, pralki, termostaty, systemy oświetleniowe, elementy kina domowego i ekspresy do kawy łączą się za pomocą aplikacji ze smartfonami, dzięki czemu można nimi sterować spoza domu. Tak samo działają elementy nowoczesnego zabezpieczania mieszkań przed włamaniem czy sterowane zdalnie systemy podlewania ogrodów. Jednak w większości przypadków domowe sprzęty nazywane inteligentnymi są dość głupie – łatwe do zhakowania, bo nie mają w sobie wystarczająco dużo pamięci dla zabezpieczającego software’u albo hasła dostępu do nich są słabe.

Co może się stać, jeśli zaatakowana zostanie jedna żarówka, której nasilenie i barwę światła można regulować za pomocą aplikacji? Sprawdzili to naukowcy z instytutów badawczych z Izraela i z Kanady. Zawiesili za oknem drona, zhakowali lampkę i w ten sposób przejęli kontrolę nad zamontowanym w całym budynku oświetleniem w systemie Philips Hue. Jego producent w październiku wypuścił aktualizację oprogramowania, która usuwa wykorzystany słaby punkt. Niepokój jednak pozostał. Bo przecież, aby skorzystać w pełni z możliwości internetu rzeczy, musi on stać się powszechny, czyli rozprzestrzenić się np. na systemy oświetlenia miasta. Korzyści takiego rozwiązania są niezaprzeczalne: inteligentne latarnie mają czujniki ruchu i rozjaśniają się tylko wtedy, kiedy ktoś pod nimi przechodzi. To ogromna oszczędność energii. Łatwo jednak wyobrazić sobie sytuację, kiedy wkręcenie przez hakera jednej zawirusowanej żarówki w ciągu kilku minut wyciemni całe miasto.

Niektóre nowoczesne żarówki mogą więcej. Na przykład rejestrować dźwięki w pomieszczeniach i przesyłać pliki bezprzewodowo na odległość 300 m. Podobnie stosunkowo nowe Amazon Echo i Google Home. Działają jak internetowe radia, ale mogą też na wyraźne polecenie mieszkańca rejestrować dźwięki w domu, przesyłać centrali do analizy i starać się przewidywać jego potrzeby: puszczać lubiane piosenki czy gasić górne światło. Wielu użytkowników nie ma jednak pewności, co dzieje się z tego typu danymi.

I tu się budzi kolejny niepokój: przed inwigilacją. Zapisany dźwięk czy obraz może przecież trafić nie tylko do firmy, która produkt wypuściła na rynek, albo nawet do służb specjalnych. James Clapper, dyrektor wywiadu narodowego Stanów Zjednoczonych, nie wyklucza, że w przyszłości służby będą używać internetu rzeczy do celów identyfikacji, nadzoru czy sprawdzania potencjalnych kandydatów do zwerbowania.

Działa w sieci wyszukiwarka Shodan poświęcona tylko internetowi rzeczy. Można w niej znaleźć obrazy nadawane na żywo, bez wiedzy właścicieli, przez niezabezpieczone kamery internetowe. Jest ich wiele, bo wiele osób kieruje się przede wszystkim ceną niską dzięki niezainstalowaniu oprogramowania zapewniającego bezpieczeństwo, a odgórne regulacje prawne, które na etapie produkcji kładłyby nacisk na większą ochronę użytkownika, jeszcze się nie pojawiły. Są tu ujęcia z pokoi dziecięcych, kuchni, garaży, ogrodów, ale także z plantacji marihuany, chronionych pomieszczeń w bankach, stoków narciarskich, pływalni publicznych, szkół, laboratoriów naukowych, sklepowych kas. Po co? Ludzie z Shodan zwracają w ten sposób uwagę nie tylko na problemy z zachowaniem prywatności, lecz także właśnie na to, w jak słabym stanie są fabryczne zabezpieczenia w tych urządzeniach. A to już problem znacznie poważniejszy.

Barack Obama w październikowym wywiadzie dla amerykańskiego magazynu „Wired” otwarcie mówił o obawach przed zagrożeniem ze strony finansowanych przez wrogie państwo hakerów, którzy za pomocą sztucznej inteligencji mogliby przejąć kontrolę nad systemem elektrowni albo nad bazami głowic atomowych w Stanach Zjednoczonych. Lęk jest uzasadniony – internet rzeczy wykorzystywany jest też w systemach, które mają wpływ na bezpieczeństwo publiczne i ludzkie życie.

Kierowanie przez hakowanie

Na razie niezależni eksperci – hakerzy zawodowo zajmujący się wykrywaniem słabych stron zabezpieczeń – testują przede wszystkim wytrzymałość samolotów i samochodów. Nie zawsze robią to legalnie. Niebezpieczeństwa dla testującego i testowanych dobrze obrazuje przypadek Chrisa Robertsa, którego FBI zatrzymała na amerykańskim lotnisku Syracuse i zarekwirowała mu sprzęt komputerowy.

Roberts szukał błędów w zabezpieczeniach systemów sterowania maszyn latających. Bez problemów podłączał swojego laptopa do pokładowego systemu multimedialnego (in-flight entertainment system – IFE) poprzez znajdującą się pod każdym fotelem centralę SEB (Seat Electronic Box), po czym uzyskiwał dostęp do innych systemów samolotu. A nie wymagało to od niego obchodzenia wymyślnych zabezpieczeń, używał niekiedy domyślnie ustawionego loginu i hasła. FBI twierdzi, że w ciągu trzech lat nawet 20 razy robił to w trakcie lotu. W powietrzu nigdy nie prowadził bardziej zaawansowanych testów, ale na naziemnych symulatorach boeinga udało mu się wypuścić maski tlenowe, uzyskał też swobodny dostęp do modułu odpowiedzialnego za kontrolę parametrów lotu (Thrust Management Computer), w wyniku czego samolot bez kontroli pilotów zaczął się wznosić.

Roberts informował dwóch największych producentów, jak słabym ogniwem samolotów jest ich wewnętrzna sieć. Choć wtórowali mu autorzy wydawanych przez agencje rządowe raportów, dopuszczających możliwość przejęcia częściowej kontroli nad lotem przez pasażera, zmian nie wprowadzono.

Do modelowego zachowania, czyli szybkiego usunięcia wykrytej usterki, sprowokowali producenta nowoczesnych aut Charlie Miller i Chris Valasek, dobrze znani w Stanach Zjednoczonych hakerzy. W 2015 r. testowali własnego jeepa i ustalili, że przez system multimedialny można zaingerować w systemy takich pojazdów nawet z drugiego końca kraju. Otrzymywali informacje o jadących właśnie autostradą w Teksasie autach: ich dokładnej pozycji GPS czy numerach seryjnych. Mogli przejąć kontrolę nad klimatyzacją, radiem, spryskiwaczami szyb i zmniejszyć szybkość jazdy prawie do zera. I sprawić, że kierowcy – nie mając pojęcia, że są na celowniku hakerów – dopiero po wyjęciu kluczyków ze stacyjki odzyskaliby pełną kontrolę nad autami. Mogli też, choć tego nie zrobili, wpłynąć na działanie hamulców i kierownicy.

Fiat Chrysler Automobiles przygotował aktualizację systemu dla półtora miliona samochodów: dodge’ów, jeepów, ramów i chryslerów, posiadających wewnątrz ekrany dotykowe i – podobnie jak w wypadku atakowanych samolotów – system multimedialny, tu Uconnect. Wysyłał je właścicielom aut na USB. To była pierwsza tak duża interwencja koncernu motoryzacyjnego z powodu groźby zhakowania internetu rzeczy.

Z Wi-Fi do serca

Dzięki pracy amerykańskich specjalistów od zabezpieczeń wiadomo także, że można sparaliżować działanie szpitala, zmieniając dane zawarte w przechowywanych na komputerach kartach pacjenta czy omijając zabezpieczenia sprzętu medycznego, by unieruchomić roboty w trakcie trwania operacji. I lekarze korzystają z bardzo wielu urządzeń słabo zahasłowanych lub nie dość dobrze chronionych programami antywirusowymi. Do tego często połączonych z niedostatecznie zabezpieczoną siecią Wi-Fi.

Skutki potencjalnego zmasowanego ataku pokazało badanie prowadzone dwa lata temu w stu prywatnych szpitalach i przychodniach w kilku amerykańskich stanach. Specjaliści od bezpieczeństwa uzyskali swobodny dostęp do wszystkich urządzeń medycznych. Większość udało się im zhakować. Mogli zwiększyć poziom dawki morfiny lub chemii dostarczanych pacjentowi przez kroplówkę. Nie mieli także problemu ze zmanipulowaniem działania wyposażonego w Bluetooth defibrylatora tak, by nie generował impulsów elektrycznych dla chorego serca.

Pomimo zagrożeń bioelektronika prawdopodobnie i tak musi nadal być związana z siecią bezprzewodową, by lekarze mogli zdalnie regulować działanie wszczepionych urządzeń. Tak budowane są już pompy insulinowe i rozruszniki serca, na których zawodność kilka lat temu zwracał uwagę ceniony przez lekarzy haker Barnaby Jack. Pokazał on, że jest w stanie zdalnie wysłać impuls elektryczny do niepodłączonego jeszcze do serca rozrusznika znajdującego się w odległości do 15 m.

Dick Cheney, wiceprezydent USA w latach 2001–09, po konsultacjach z lekarzami zdecydował się dezaktywować Wi-Fi w swoim rozruszniku. Założył po prostu, że niedługo ludzie mogą mieć do czynienia z zupełnie nowym rodzajem ataku serca.

Czy specjaliści od bezpieczeństwa, od lat ostrzegający przed cyberterroryzmem, dobrze rozpoznają kolejne słabe punkty technologii i szacują skalę zagrożenia? Bliska przyszłość pokaże. Na razie ludzie nadal wiedzą mało o bezpieczeństwie w sieci, ba, nie przykładają do tego problemu większej wagi. Przyzwyczajają się do internetu rzeczy szybciej, niż można go zabezpieczyć.

Polityka 1.2017 (3092) z dnia 27.12.2016; Ludzie i Style; s. 144
Oryginalny tytuł tekstu: "Internet rzeczy niebezpiecznych"
Więcej na ten temat
Reklama

Czytaj także

null
Kraj

Przelewy już zatrzymane, prokuratorzy są na tropie. Jak odzyskać pieniądze wyprowadzone przez prawicę?

Maszyna ruszyła. Każdy dzień przynosi nowe doniesienia o skali nieprawidłowości w Funduszu Sprawiedliwości Zbigniewa Ziobry, ale właśnie ruszyły realne rozliczenia, w finale pozwalające odebrać nienależnie pobrane publiczne pieniądze. Minister sprawiedliwości Adam Bodnar powołał zespół prokuratorów do zbadania wydatków Funduszu Sprawiedliwości.

Violetta Krasnowska
06.02.2024
Reklama

Ta strona do poprawnego działania wymaga włączenia mechanizmu "ciasteczek" w przeglądarce.

Powrót na stronę główną