„Rzeczpospolita”: Programista z Hiszpanii odkrył lukę w zabezpieczeniach urządzeń chińskiej firmy DJI, dzięki której mógł uzyskać dostęp do transmisji na żywo z kamer, dźwięku z mikrofonów, map oraz danych o stanie pracy niemal 7 tys. odkurzaczy w 24 krajach. Czy roboty sprzątające podłączone do internetu i inne urządzenia typu smart home (inteligentny dom) są atrakcyjnym celem dla hakerów?
Piotr Konieczny: Bardzo rzadko, z prostego powodu: ciężko taki dostęp zmonetyzować. To nie jest przejęcie kontroli nad komputerem, gdzie ktoś trzyma swoje kryptowaluty, pisze pracę magisterską albo loguje się do banku. Fakt, w niektórych przypadkach urządzenia mają kamery albo mikrofony i można w ten sposób pozyskać kompromitujące właściciela nagrania albo nawet posunąć się do szantażu. Ale to nie jest „skalowalny” model biznesowy dla cyberprzestępców. Inne ataki są dla nich bardziej intratne.
Z jakimi zagrożeniami musimy liczyć się w przypadku internetu rzeczy i przedmiotów typu smart home?
Przede wszystkim z wyciekiem informacji na nasz temat. Nie tylko danych osobowych, jakie podaliśmy podczas zakładania konta w „chmurze” producenta, ale również wizerunku (kamerka), głosu (mikrofon), albo planu naszego mieszkania (w przypadku urządzeń z lidarami). Pewnym ryzykiem jest to, że jeśli te urządzenia podpinamy do sieci Wi-Fi, w której mamy ważniejsze zasoby (np. nasz komputer), to może to ułatwić atak, który w skutkach będzie już zdecydowanie bardziej opłakany. Dlatego zawsze warto tego typu urządzenia podpinać do osobnej, odizolowanej sieci Wi-Fi lub sieci dla gości.
Czytaj więcej
Programista z Hiszpanii Sammy Azdoufal, tworząc własną aplikację do sterowania robotem sprzątającym, odkrył poważną lukę w zabezpieczeniach urządze...
Biorąc jednak pod uwagę częstość tego typu ataków, to moim zdaniem właściciele smart gadżetów bardziej powinni się obawiać, że producent przestanie wspierać dane urządzenie, a bez połączenia z chmurą stanie się ono bezużyteczne. Już teraz niektóre z urządzeń, choć są na wyciągnięcie ręki, to nie są w stanie realizować wszystkich swoich funkcji poprzez sterowanie przyciskami na urządzeniu – potrzebują aplikacji i łączności z serwerami producenta.
Czy dla bezpieczeństwa lepiej zrezygnować z niektórych nowoczesnych udogodnień, np. systemów zbierających i/lub przesyłających do chmury informacje o naszej codziennej aktywności? Obecnie stosowane rozwiązania osoby niepowołane mogą wykorzystać do wykradnięcia tożsamości lub wejścia w posiadanie wiedzy, kiedy nasz dom jest pusty. Czy są łatwe metody obronienia się przed tym?
Jest wiele sposobów na ustalenie, czy „dom jest pusty”. Tak, za pomocą metadanych z inteligentnych urządzeń można tego dokonać. Ale jeśli ktoś chce się do nas włamać, to naprawdę nie uzależnia tego od faktu, czy mamy w domu „smart urządzenia”. Najpewniej po prostu sprawdzi, czy światła są zapalone lub poobserwuje lokal przez odpowiednio długi czas. To powiedziawszy, zamek w drzwiach lepiej mieć w wersji tradycyjnej, antywłamaniowej, niż ze sterowaniem przez Bluetooth. Choć większość włamywaczy bardziej niż atak hakerski przypuści na te drzwi atak siłowy.
Wiele jest relacji osób twierdzących, że powiedziały o czymś, czego nie szukały w internecie, i od razu otrzymały w przeglądarce reklamy tego dotyczące. Czy smartfony stale nas słuchają? Czy te dane są zapisywane i wykorzystywane przez firmy np. w celach marketingowych? Jeśli tak, czy można to zablokować?
Co do zasady – nie. To mit i wynik tzw. błędu poznawczego. Jesteśmy non-stop profilowani przez algorytmy reklamowe po wielu sygnałach (to w co klikamy, to nad czym się zatrzymujemy scrollując, to gdzie się znajdujemy, itp.). Te informacje służą reklamodawcom do wpisywania nas w konkretne segmenty zainteresowań, co powoduje, że widzimy konkretne, odpowiednie dla tego segmentu reklamy. Dlatego jeśli np. mamy małe dziecko, algorytmy o tym wiedzą (bo korzystaliśmy z Facebooka na terenie żłobka, albo „zalajkowaliśmy” właśnie fanpage „Moje Pierwsze Dziecko”), więc serwują nam reklamy dla tego typu odbiorców codziennie. My jednak często dostrzeżemy daną reklamę, np. konkretnych pieluch, tylko wtedy, kiedy pojawi się nam ona trzy minuty po tym, jak w rozmowie ze znajomymi wymieniliśmy jej nazwę. To naturalne, że każdemu wtedy pojawia się myśl „musieli nas podsłuchiwać!”.
Inteligentny dom
Ale tak naprawdę, ta reklama albo pojawiała nam się już kilka razy i nie zwróciliśmy na nią wcześniej uwagi albo tak czy inaczej by nam się pojawiła (bo algorytmy wiedzą, że mamy małe dziecko). Nie ma tu spisku – jest przypadek, że właśnie tę markę wymieniliśmy w rozmowie.
Stałe podsłuchiwanie i analizowanie rozmów miliardów ludzi (czy to na urządzeniu czy w chmurze) jest kosztowe i zupełnie zbędne z punktu widzenia sieci reklamowych – algorytmy doskonale wiedzą, co może nas zainteresować i w co prawdopodobnie klikniemy po prostszych i tańszych do przetworzenia sygnałach. Bo wiedzą, w co klikali inni ludzie z „naszego segmentu”.
Jeśli jednak ktoś ma paranoję, to zawsze może odebrać uprawnienia do mikrofonu w ustawieniach wszystkich aplikacji, z których korzysta. Albo nawet wylutować mikrofon z każdego z urządzeń w domu. Tylko jeśli wtedy pojawi mu się ta przypadkowa reklama wspomnianego chwilę wcześniej produktu (a pojawi się), to obawiam się, że poziom paranoi – niesłusznie – wzrośnie.
Czytaj więcej
Niezależnie od tego, czy dostarczają jedzenie, czy składają pranie, roboty przeznaczone do kontaktu z konsumentami są coraz częściej projektowane t...
Czy stałe zasłanianie kamery w laptopie i smartfonie ma sens?
Niewielki, bo ataki nie wyglądają tak, jak w hollywoodzkich filmach. Prawie żaden włamywacz nie podgląda ofiary przez kamerę. Po co miałby ryzykować, że zaświeci się dioda informująca o pracy kamery i ktoś wykryje atak? Atakujący szyfrują i kradną dane, na tym zarabiają najwięcej. Nie mają czasu na podglądanie godzinami osoby, licząc na to, że zrobi lub powie coś dziwnego przed kamerą. Jeśli ktoś będzie spokojniej spał w nocy, to oczywiście nie ma przeciwwskazań, aby kamerkę sobie zakleił dla świętego spokoju. To nie zaszkodzi. Tylko warto być konsekwentnym i zakleić zarówno kamerkę w laptopie, jak i smartfonie – z przodu i z tyłu. Bo to smartfona raczej zabieramy w różne miejsca i mamy go cały czas przy sobie. Dodatkowo, jeśli ktoś często wskakuje na telekonferencje, to warto mieć zaklejoną kamerę, bo może się tak zdarzyć, że jedno kliknięcie spowoduje, że kamerka się włączy, kiedy ktoś nie jest przygotowany, aby w tej chwili zobaczyli go klienci lub współpracownicy.
„Rzeczpospolita” podała niedawno, że wojsko i policja zakazują wjazdu na swoje parkingi chińskimi autami. Czy takie zakazy będą coraz częstsze? Czy za chwilę usłyszymy, że urzędów nie można sprzątać przy użyciu robotów sprzątających?
Słusznie. Bo – w przeciwieństwie do zwykłego Kowalskiego – tego typu obiekty są narażone na ataki pochodzące nie ze strony przypadkowych cyberprzestępców, a rządowych hakerów. Tego typu przeciwnik ma zdecydowanie większe możliwości i nawet z pozoru bezużytecznych metadanych może pozyskać wartościowe z punktu widzenia wywiadowczego informacje.
Czytaj więcej
Szef Sztabu Generalnego Wojska Polskiego zakazał wjazdu samochodami chińskiej produkcji na parkingi znajdujące się na terenie jednostek wojskowych...
Czy współczesne państwo, oprócz zakazów, ma jakiś sposób walki z omawianymi praktykami, czyli szpiegowaniem za pomocą elektroniki?
Ma. Może ustanowić prawo, które będzie stawiało konkretne wymogi producentom chcącym sprzedawać elektronikę na jego terenie. Życzę powodzenia.
Piotr Konieczny
Założyciel niebezpiecznik.pl, firmy przeprowadzającej kontrolowane włamania na serwery polskich i zagranicznych spółek aby sprawdzić odporność ich infrastruktury na ataki, zanim zrobią to faktyczni włamywacze.
