Dětské chůvičky, webkamery, chytré hodinky, televize či komplexní chytré domácnosti — to vše je součástí internetu věcí (IoT). Pokud žádné z těchto zařízení doma zatím nemáte, věřte, že v budoucnu se to změní. Aby mohla správně fungovat, je nutné napojení na některou z komunikačních technologií. Slabinou chytrých zařízení je nedořešená bezpečnost a snadná zneužitelnost. Často totiž fungují přes WiFi, Bluetooth nebo GSM, které jsou snadněji napadnutelné než sítě specializované přímo pro IoT.
Slabina chytrých domácností
Zatímco v případě počítačů nebo telefonů považuje většina lidí za samozřejmost nainstalovat si antivirový program a hlídat svoji bezpečnost, u dalších zařízení napojených na internet tolik obezřetní nejsou. Pro hackery přitom není nijak těžké se do nich nabourat a zneužít je třeba i “jen” ke sledování soukromí domovů a firem.
Nezabezpečené servery a modemy umí vyhledat vyhledávač Shodan, Insecam, ale i Google. Například Lupa.cz píše o tom, že na Insecamu bylo možné sledovat kameru z brněnského potravinového řetězce — záběr odhaloval terminál pro platbu kartou. Sledující mohl přiblížením rozpoznat PIN, který do něj zákazník zadává.
Snadno zneužitelný síťový protokol MQTT
Často využívaný v oblasti chytrých domácností je síťový protokol MQTT (Message Queuing Telemetry Transport). I když má za sebou dvacet let vývoje, technologičtí experti si v poslední době všimli jeho bezpečnostních slabin. Základním bodem prokolu je broker (server, který zajišťuje přenos zpráv). Většina komunikace není šifrovaná a ani chráněná heslem, brokery tak vysílají zprávy veřejně na internetu. Pokud tedy hacker zjistí IP adresu, dostane se i ke všem zprávám. Přes vyhledávač Shodan se dají najít IP adresy nejrůznějších domácností, na kterých je MQTT broker dostupný. Kdokoli (třeba i vy) si tak během chvilky může udělat obrázek o fungování domácnosti, kde se chytrá domácnost nachází — od počtu jejích členů, denního režimu až po jiné citlivé údaje.
Důmyslná bezpečnost sítě Sigfox
Sítě pro internet věcí řeší bezpečnost přenosu dat mnohem více důmyslně. U sítě Sigfox probíhá komunikace jednotlivých zařízení pouze v určitých časových intervalech, mimo ně se základnovou stanicí nekomunikuje. Dalším bezpečnostním opatřením je autentizace zařízení. “Každé zařízení je od výroby opatřeno unikátním symetrickým autentizačním klíčem, ze kterého je při každé komunikaci vypočten kryptografický token zajišťující jak autentizaci odesilatele (jak zařízení, tak Sigfox infrastruktury), tak integritu zpráv. Zároveň je u každé zprávy sekvenční počítadlo, které zajišťuje obranu proti replay útokům, tj. znovuzasílání zpráv,” vysvětluje na webu systemonline.cz Jan Andraščík.
Mohl by hacker napadnout čidla ZOOCO?
Odpověď zní, že je to téměř nemožné. Nemusíte se bát, že by čidla ZOOCO mohl někdo využít např. k tomu, aby zjistil, kdy nejste doma a mohl vás vykrást. Způsob, jak by čidla musel zneužít, by totiž byl příliš obtížný — jak si ukážeme na příkladech níže. Dostat se k informacím, které máte v mobilním telefonu je v porovnání se Sigfoxem hračka. Hacker tak získá přístup k mnohem citlivějším údajům za zlomek snahy.
1. Zablokování doručení zprávy na základnovou stanici
Tato možnost by se hodila např. zloději, který nechce, aby se majitel dozvěděl, že se v domě spustil alarm. U GPS rušiček a rušiček mobilního signálu by to měl zkušený hacker jednodušší. Obě technologie totiž k odeslání zprávy vyžadují odpověď základnové stanice. Tento potvrzovací signál od stanice lze snadněji blokovat.
V případě Sigfoxu se každá zpráva odesílá třikrát na třech náhodných frekvencích a dochází také k mírnému časovému posunu v odeslání kopií. Hacker by proto musel blokovat obrovskou část pásma po delší dobu, aby měl šanci signál vyrušit. Taková rušička by měla velikost železničního vagonu. Rušení by muselo probíhat u všech základnových stanic, na které jsou odesílány zprávy z daného čidla a ne přímo u zařízení, jak by se dalo očekávat. Pokud by náhodou došlo k rušení základnové stanice, český operátor SimpleCell okamžitě obdrží upozornění a může začít problém řešit.
2. Podvržení odesílané zprávy
Narušitel by musel zjistit, kde se dané zařízení nachází a poté vygenerovat správný šifrovací klíč, který musí být v každé zprávě odesílané z i na zařízení obsažen. Pokud není klíč správný, je zpráva ignorována. Tento šifrovací klíč je „vypálený“ v čidle na nepřístupném místě interní paměti čidla. Podvržení odesílané zprávy tedy není možné.
3. Získání zprávy jdoucí od základnové stanice do Sigfox Cloudu
Hacker by musel fyzicky zjistit ID daného čidla a zprávu identifikovat v obrovském množství zpráv jdoucím tzv. VPN šifrovacím tunelem směrem do Sigfox Cloudu.
Přečtěte si článek o tom, jak řeší zabezpečení vašich dat aplikace ZOOCO.
Zdroje: