O internetu věcí se zkratkou IoT se říká, že písmeno S ve zkratce znamená "security", tedy bezpečnost. Správně, žádné tam není a stejné je to podle pesimistů s bezpečností chytrých zařízení. Nejnověji na rizika internetu věcí upozorňuje nově odhalená sbírka třiatřiceti bezpečnostních chyb v několika různých síťových knihovnách, kterou její objevitelé ze společnosti Forescout pojmenovali Amnesia:33

Tento článek patří do placené sekce.

Pro vás jej odemknul někdo, kdo má předplatné.


Pokud budete předplatitelem, budete moci stejným způsobem odemykat placené články i pro své přátele.
A získáte i řadu dalších výhod.

Zákeřné na nově odhaleném riziku je to, že nepostihuje jedno konkrétní zařízení nebo jednoho výrobce. Postižených společností je více než 150 a počet postižených zařízení se pohybuje v milionech. Útočníci totiž mohou zneužít chyby přímo v systémech, které zajišťují síťovou komunikaci postižených zařízení, v takzvaném síťovém stacku. Nejvíce zranitelných zařízení je podle autorů studie ve vládních organizacích, zdravotnictví, službách a ve výrobě. 

Síťový stack je sada softwarových prvků, které se starají o komunikaci po počítačové síti, tradiční kabelové nebo bezdrátové. Zajišťují práci s internetovými adresami v protokolech IPv4 nebo IPv6, komunikaci přes TCP (Transmission Control Protocol), překlad doménových jmen na IP adresy (DNS, mDNS), základní síťové služby, diagnostiku (ICMP) a další činnosti, které moderní zařízení potřebují ke vzájemné komunikaci.

Je to zároveň kritický prvek z pohledu bezpečnosti, protože většina elektronických útoků přichází po síti a síťový stack lze z tohoto hlediska pokládat za jakýsi základ, na kterém stojí operační systém a další software. Tento software totiž zpracovává všechny příchozí požadavky ještě předtím, než se k nim dostane vlastní aplikační software, tedy například antivir. A pokud v něm bude chyba, zasáhne celý systém a aplikační software s tím nedokáže nic udělat.

Výzkumníci z Forescoutu prozkoumali čtyři rozšířené open source síťové stacky: uIP, FNET, picoTCP a Nut/Net. Ty jsou určeny pro jednoduchá zařízení s omezenými systémovými prostředky, jako jsou různá čidla, IP kamery, pokladní tiskárny, záložní zdroje, systémy klimatizace (HVAC), protokolové konvertory a myriády dalších udělátek, která jsou dnes připojena k počítačové síti.

Související

V těchto čtyřech knihovnách s volně dostupným zdrojovým kódem objevili výzkumníci celkem třiatřicet chyb, z toho čtyři nesou označení "kritická". Vesměs se jedná o chyby způsobující, že kód zapíše data do jiné části paměti, než by měl. To může vést k mnoha typům útoků, ale typickou možností zneužití je DoS, denial of service. Takto napadené zařízení prostě zhavaruje, přestane odpovídat na požadavky a vůbec fungovat. Ještě závažnější jsou chyby typu RCE, remote code execution, kde zařízení nadále funguje, ale o tom, co dělá, rozhoduje útočník, který na takovém zařízení může spouštět vlastní aplikace.

Útočník může miliony zranitelných zařízení použít nejenom jako přímý cíl svého útoku (a ovlivnit tak třeba chování klimatizace nebo výrobní linky), ale i jako "skrýš", díky které získá trvalý přístup k síti útočníka a potenciální bod využitelný pro útok na další zařízení v napadené síti.

Chyby v jednoduchých "embedded" zařízeních lidé často zlehčují s tím, že tato zařízení přece nejsou připojená do Internetu, ale jsou v nějaké oddělené, zvenčí nedostupné síti. Bohužel, to je spíše zbožné přání než výstižný popis skutečnosti. A i kdyby to byla pravda, oddělující vzduchová mezera je spíš mýtus než praktické řešení bezpečnosti.

Pro uživatele je problematické to, že nalezené zranitelnosti nelze úplně snadno odstranit. Postižená zařízení jsou vesměs složená z komponent od různých dodavatelů, přičemž část z komponent již není podporovaná nebo jejich výrobci rovnou zanikli. Ve své studii Forescout zmiňuje UPS (záložní zdroj napájení), jejímž výrobcem je firma označená jako A. Ta používá kartu pro správu sítí, jejímž výrobcem je firma B, která ovšem používá operační systém od firmy C, který je postavený na síťovém open source stacku D.

I když vývojáři opraví chybu v síťovém stacku D, musí spolupracovat i s články A-C (no a samozřejmě se zákazníkem), aby se oprava dostala na konkrétní zařízení. A ještě větší problém je, že v případě oné konkrétní UPS mezitím firma C přestala existovat a příslušný operační systém nemá kdo opravit. Ve výsledku je celé zařízení v podstatě neaktualizovatelné, i když dojde k opravě původní chyby.

V mnoha případech tedy neexistuje ono správné řešení: aplikovat opravy. Nezbývá pak než postižené zařízení vyhodit a nahradit ho nějakým jiným v naději, že se problém za pár let nebude opakovat. To ale často není z ekonomických, ale ani technických důvodů možné. Přesto existují postupy, jak nebezpečí minimalizovat:

  • Monitorovat sítě a zastavit nestandardní síťové pakety na vhodném aktivním prvku. Většina zranitelností spočívá v nesprávném zpracování síťových paketů, které jsou nějakým způsobem nestandardní, poškozené. Pokud je síť dokáže včas zastavit, ke zranitelnému zařízení se vůbec nedostanou.
  • Používat nikoliv veřejné, ale interní DNS servery. Řada zranitelností je v implementacích DNS protokolu a tím, že se zablokuje externí DNS provoz a bude se spoléhat na vlastní jmenné servery, se sníží možnost jejich využití.
  • Zakázat nebo blokovat IPv6. Několik zranitelností se týká IPv6 protokolu, který ale v těchto případech nebývá využit. Jeho vyřazením lze dále zmenšit attack surface (prostor pro napadení).
  • Rozdělit síť do oddělených částí (segmentů) tak, aby zranitelná zařízení nemohla ohrozit ostatní a provoz společnosti jako takové. To je nepochybně dobrá rada, která by měla platit univerzálně a preventivně. Jak se ovšem ukázalo v nedávné vlně ransomware útoků, není v praxi příliš používaná a mnoho firem i institucí má všechno na jedné hromadě a ve chvíli jenom trochu pokročilého útoku je mimo provoz celá síť.
Související

Líbil se vám článek? Chcete víc takových článků?

Kupte si předplatné a můžete si je číst všechny. Navíc bez reklam a s možností sdílet přátelům.

Vyzkoušejte předplatné HN+
Newsletter

Týden s technologiemi Otakara Schöna

Události posledního týdne ve světě technologií podle Otakara Schöna

Editor rubriky Tech Otakar Schön pro Vás vybírá nejzajímavější nebo nejzásadnější události ze světa technologií, které se odehrály v uplynulém týdnu. Každý pátek v podvečer najdete ve své mailové schránce.

Přihlášením se k odběru newsletteru souhlasíte se zpracováním osobních údajů a zasíláním obchodních sdělení, více informací ZDE. Z odběru se můžete kdykoli odhlásit.

Přihlásit se k odběru