Tinkamai nesirūpinant informacijos saugumu, šie prietaisai gali tapti itin grėsmingu ginklu. Įsilaužėliai vaizdo kameras, spausdintuvus ar kitą įrangą gali užkrėsti virusais, nuotoliniu būdu išjungti šildymą visam daugiabučiui ar jį padidinti.
Užkrėstus prietaisus pavertė zombiais
Vaizdo kameros, kurias pasitelkus internetu galima stebėti, kas vyksta jūsų namuose, temperatūros davikliai ir sistemos, galinčios kontroliuoti namo šildymo sistemą. Tai – bene dažniausiai buityje naudojami prietaisai, turintys interneto sąsają.
Šių įrenginių visuma dažniausiai vadinama daiktų internetu (angl. Internet of Things), kai ne tik žmogus nuotoliniu būdu gali prisijungti prie savo įrenginio, bet ir patys prietaisai internetu bendrauja tarpusavyje.
Neseniai įvykdytas vienas didžiausių pasaulyje išpuolių prieš interneto paslaugas teikiančią JAV bendrovę ir eilės žinomų interneto sistemų darbo sutrikdymas atskleidė grėsmingą tendenciją.
Netinkamai rūpinantis prie interneto prijungtų daiktų saugumu, kibernetiniai nusikaltėliai juos panaudoja savo kėslams. Jau išsiaiškinta, kad minėtai atakai buvo panaudotas vadinamasis daiktų botnetas: iš prietaisų, kurių naudotojai nepasikeitė gamyklinių, visiems žinomų prisijungimo slaptažodžių, suformuota zombių armija.
Pasinaudojus užkrėstų prietaisų tinklu galima į įvairias interneto svetaines siųsti milžiniškus užklausų srautus ir taip sutrikdyti jų darbą.
Esminė klaida – nepakeisti slaptažodžiai
KTU Informatikos fakulteto Kompiuterių katedros lektorius Šarūnas Grigaliūnas įspėja – daiktų interneto pažeidžiamumas tampa rimta grėsme. Ji egzistuoja ne tolimosiose Amerikoje ar Kinijoje, o čia pat – Lietuvoje.
Pasak kibernetinio saugumo eksperto Š. Grigaliūno, jau tapo aišku, kad surengtai milžiniškai interneto atakai surengti buvo pasinaudota įrenginiais, kurių gamykliniai slaptažodžiai nebuvo pakeisti.
„Gaila, bet ne visi žmonės suvokia informacinio saugumo svarbą. Nusiperka įrenginį, jį įjungia, bet prisijungimo vardus ir slaptažodžius palieka nepakeistus. Tada bet kas gali prie šių įrenginių prisijungti ir juos valdyti“, − sakė KTU ekspertas.
Kad žmonės itin atsainiai rūpinasi savo privatumu kiek anksčiau yra pademonstravęs vienos bendrovės informacinių technologijų analitikas, surengęs virtualią ekskursiją po nieko neįtariančio kauniečio namus.
Specialioje paieškos sistemoje, ieškančioje ne interneto svetainių, o prie globalaus tinklo prijungtų prietaisų, jis aptiko Kaune esantį namą stebinčias vaizdo kameras. Nusipirkęs brangią sistemą kaunietis, ko gero, įsivaizdavo, kad tai padidins jo būsto saugumą. Deja, gamykliniai prisijungimo duomenys, vardas ir slaptažodis, liko nepakeisti, todėl bet kuris panorėjęs internetu galėjo stebėti, kas vyksta svetimame name ir jo prieigose.
Įsilaužti bandoma nuolat
„Savo studentams nuolat kartoju – jeigu jums sunku atsiminti dvylikos simbolių slaptažodį, susigalvokite frazę, nuolat besisukančią galvoje (pavyzdžiui, „Gyvenimas yra gražus“). Jeigu šią frazę parašysite su tarpais, joks kenkėjiškas robotas šio slaptažodžio neatspės ir gyvensite ramiai“, − patarė KTU informacinio saugumo ekspertas Š. Grigaliūnas.
Jis atkreipė dėmesį, kad įsitikinimas, jog prie interneto prijungtas prietaisas yra niekam neįdomus, yra visiškai klaidingas. Su studentais jis surengė eksperimentą – kontroliuojamoje virtualioje aplinkoje diegė „Windows“ operacinę sistemą.
Kol vyko jos diegimas buvo užfiksuoti 7 bandymai įsilaužti ir 9 sistemos skenavimai. Internete veikia daug robotų, nuolat tikrinančių rastas sistemas ir bandančių į jas įsilaužti.
„Vienas pagrindinių mitų, kuriais iki šiol tikima, −„Aš niekam neįdomus“. Ką aš turiu, tik užrašų knygutę, šeimos nuotraukas ir t. t. Kenkėjiškoms sistemoms, kuriančioms vadinamąjį botų tinklą, tai yra labai įdomu. Kompiuteris užkrečiamas ir panaudojamas atakoms vykdyti“, − sakė kaunietis.
Šilumą reguliuoti gali bet kas?
KTU mokslininkas Š. Grigaliūnas atskleidė susirūpinti verčiantį faktą. Jis išsiaiškino, kad į Lietuvą importuojami internetu valdomi šilumos apskaitos ir reguliavimo pritaisai neturi jokios apsaugos. Kai kuriuose įrenginiuose naudojami gamintojo nustatyti slaptažodžiai, kituose jų visai nėra.
Vadinasi, bet kuris žmogus, žinantis šio prietaiso IP adresą, gali ne tik matyti įvadinio skaitiklio rodmenis, bet ir padidinti ar sumažinti tiekiamą šilumą ar net visai išjungti šildymą.
„Kyla klausimas, ar tai padaryta dėl aplaidumo, ar turint konkretų tikslą. Kas galėtų paneigti, kad koks nors įsilaužėlis prisijungia prie sistemos, vienu laipsniu padidina šildymą, o šilumos tiekėjas iš to neturi finansinės naudos? Įsivaizduokite, kokias pajamas kai kas gautų, jeigu visoje Lietuvoje šildymo temperatūra būtų pakelta bent vienu laipsniu“, − svarstė KTU Kompiuterių architektūros ir informacijos saugos mokomosios laboratorijos vyriausiasis inžinierius.
Vis labiau populiarėjančios nuotoliniu būdu valdomos privačių namų šildymo sistemos taip pat gali tapti rimtos grėsmės šaltiniu. Piktų kėslų turintis įsilaužėlis nesunkiai galėtų ne tik žiemą išjungti šildymo katilą, bet ir nesitraukdamas nuo klaviatūros sukelti sprogimą. Tereikėtų nustatyti maksimalią temperatūrą ir nuotoliniu būdu išjungti vandenį varinėjančius cirkuliacinius siurblius.
„Komfortas ir smalsumas visada yra atvirkščiai proporcingas interneto saugumui ir rizikai“, − sakė Š. Grigaliūnas.
Kibernetinio saugumo ekspertas atkreipė dėmesį, kad plečiantis gyvenimą patogesnį darančių technologijų rinkai įsilaužėlių taikiniais tampa net automobiliai. Žinoma atvejų, kai įsilaužus į naujausiomis technologijomis prifarširuotą automobilį nuotoliniu būdu nuspaudžiamas stabdžio pedalas, išjungiamas variklis ir t.t.
„Daiktų internetas didėja eksponentiškai, todėl po kelerių metų turėsime peržiūrėti daiktų prisijungimo prie vieno ar kito tinklo politiką. Be to, reikės pakeisti ir baudžiamosios atsakomybės taikymą. Pavyzdžiui, Vokietijoje atsakomybėn traukiams ir asmuo, tinkamai neužtikrinantis saugumo“, − sakė KTU ekspertas Š. Grigaliūnas.
