Inteligentná zásuvka za 8 eur: Komu ešte posiela dáta o vašej domácnosti?

Kúpite si v akcii inteligentnú zásuvku za pár eur. Má pekný ovládací program, meria spotrebu a dokáže vypnúť kávovar na diaľku. Skvelé. No v momente, keď je cena najväčšou prioritou, bezpečnosť sa v rebríčku dôležitosti prepadá hlboko pod čiaru. Pre výrobcov lacných zariadení internetu vecí je zabezpečenie náklad navyše, ktorý by "zbytočne" zvýšil koncovú cenu pre spotrebiteľa.

Keď „inteligentný“ neznamená rozumný

Musíme si položiť dôležitú otázku. Sú tieto zariadenia skutočne inteligentné, alebo len vykonávajú základnú logiku? Vo väčšine prípadov ide o prostý súbor pravidiel typu: „Ak je šesť hodín večer, vypni zásuvku." Táto funkčnosť však nič nehovorí o tom, ako je zariadenie chránené pred cudzím zásahom z vonkajšieho prostredia.

V Citadelo robíme penetračné testy IoT zariadení už roky. Takmer každé zariadenie obsahuje aspoň jednu zraniteľnosť klasifikovanú ako high alebo critical. Najčastejšie narážame na rovnakú päticu problémov:

• pevne zakódované prihlasovacie údaje vo firmware,
• nešifrovaná komunikáciu medzi zariadením a cloudom,
• otvorené ladiace rozhrania (UART, JTAG) prístupné komukoľvek s fyzickým prístupom k zariadeniu,
• nedostatočnú alebo úplne chýbajúcu autentifikáciu,
• mechanizmus aktualizácie bez overovania podpisu.

Bezpečnostní analytici sa na tieto zariadenia pozerajú úplne inak ako bežný používateľ. Zaujíma ich napríklad:

• Aké práva potrebuje zásuvka na komunikáciu?
  Princíp najmenších privilégií. Zásuvka má hovoriť len so svojím riadiacim serverom alebo aplikáciou. Nemá dôvod skenovať lokálnu sieť ani komunikovať s vašou tlačiarňou, NAS-om či notebookom.
• Stačí, aby bol útočník pripojený na rovnakú WiFi a dokáže ju ovládať?
  Ak áno, ide o kritickú chybu. Správne navrhnuté zariadenie vyžaduje autentifikáciu nezávisle od toho, kto je v sieti. Model „som v sieti = mám prístup" v roku 2026 nemá obhajobu.
• Čo sa stane, ak útočník nasilu odpojí zariadenie od siete?
  V ideálnom svete nič. Zariadenie sa pokúsi znova pripojiť, inak zostane offline. V realite mnohé prejdú do otvoreného AP režimu bez hesla. Tím vystavia konfiguráciu a niekedy aj prihlasovacie údaje k WiFi komukoľvek v okolí.

Práve posledný bod je rozhodujúci. Mnohé zariadenia sa pri strate spojenia automaticky prepnú do režimu vlastného prístupového bodu. Často bez hesla, aby vám umožnili nové nastavenie. Útočník tak z vašej žiarovky robí vstupný bod do domácej siete.

Pasca z druhej ruky

Veľkým rizikom, o ktorom sa málo hovorí, je nákup takejto techniky z druhej ruky. Použité zariadenie môže byť totiž vopred kompromitované. Pôvodný majiteľ alebo niekto, kto mal k prístroju prístup, mohol do jeho riadiaceho programu vložiť škodlivý kód. Jednoduché obnovenie továrenských nastavení v takom prípade vôbec nemusí stačiť. Kupujete si tak zariadenie, ktoré môže od prvého momentu odosielať informácie o vašej sieti neznámej tretej strane. V Citadelo preto odporúčame pri týchto zariadeniach radšej investovať do nových a overených kusov.

Vysávač ako špión v chránenej budove

Skúsme malý myšlienkový experiment. Pustili by ste moderný robotický vysávač s kamerou do prísne stráženej vojenskej budovy alebo do priestorov banky? Ak je vaša odpoveď nie, zamyslite sa, prečo ho s pokojom pustíte do svojej spálne alebo obývačky.

Možno sa pýtate, načo je vysávaču kamera. Odpoveď je technologicky nevinná: ide o snímač, ktorý vyhodnocuje polohu a vytvára mapu priestoru pre efektivitu upratovania. Zásadným rizikom je však miesto, kde sa tieto údaje spracúvajú. Deje sa to lokálne vo vašom vysávači? Alebo sa mapa vášho bytu a videozáznam odosielajú na vzdialené servery v krajine, o ktorej ste možno ani nepočuli?

Rovnaký problém majú inteligentné kamery. Pohodlie, že sa z telefónu pozriete, či je doma všetko v poriadku, je vykúpené rizikom, že sa na ten istý obraz pozerá niekto cudzí. Hoci sú tieto tvrdenia niekedy ťažko dokázateľné, ide o údaje, ktoré dokážu odhaľovať náš súkromný život, naše správanie či denné rutiny.

Ako sa správať bezpečne

Podľa štatistík SonicWall 2024 Mid-Year Cyber Threat Report stúpol počet IoT malvérových útokov v prvom polroku 2024 o 107 %. Priemerné IoT zariadenie bolo pod aktívnym útokom 52,8 hodiny. Útočníci z napadnutých zariadení vytvárajú botnety, ktoré potom hromadne útočia na banky alebo veľké online služby.

Päť hlavných krokov:

Odrežte ich od internetu. Ak váš vysávač potrebuje pripojenie len na prvotné nastavenie, po konfigurácii mu v nastaveniach smerovača zakážte prístup von. Svoju prácu urobí aj bez internetu.

Vytvorte si izolovanú sieť. Ak chcete mať nad zariadeniami kontrolu cez telefón aj na cestách, vytvorte pre ne separátnu sieť.

Zmeňte predvolené heslá hneď po inštalácii. Botnety ako Mirai dodnes fungujú práve preto, že milióny zariadení po celom svete bežia s predvolenými prihlasovacími údajmi.

Aktualizujte firmware. Ak výrobca neposkytuje pravidelné aktualizácie, je to varovný signál. Zariadenie nebude opravené, keď sa nájde nová zraniteľnosť, a to môže byť otázka mesiacov.

Kupujte od overených výrobcov. Cena pár eur za znie lákavo. Ale ak výrobca nemá jasné vyhlásenie o spracovaní dát ani podporu nad rámec jedného roka, šetríte na nesprávnom mieste.

Tieto kroky zabezpečia, že aj keby sa útočník nabúral do vašej inteligentnej zásuvky, uvidí v systéme len ďalšiu žiarovku. Nedostane sa však k vášmu počítaču s fotkami, prácou alebo prístupom k bankovému účtu. Smart technológie sú dobrým sluhom, ale môžu byť nebezpečným pánom. Skôr než pridáte ďalší prvok do domácnosti, opýtajte sa sami seba, či je toto pohodlie hodné rizika.

Inteligentná domácnosť nie je zlá technológia. Len si pýta dospelého používateľa. Toho, ktorý vie, že každé pripojené zariadenie je v prvom rade počítač. A každý počítač sa dá zneužiť.

Ak vyrábate, distribuujete alebo nasadzujete IoT zariadenia v korporátnom prostredí, penetračné testovanie IoT je vec, ktorú by ste mali mať na zozname pred uvedením produktu na trh, nie po prvom incidente. V Citadelo máme s tým dlhoročné skúsenosti, od firmware analýzy a reverzného inžinierstva cez testovanie hardvérových rozhraní až po audit cloudovej infraštruktúry.