O internetu věcí se zkratkou IoT se říká, že písmeno S ve zkratce znamená "security", tedy bezpečnost. Správně, žádné tam není a stejné je to podle pesimistů s bezpečností chytrých zařízení. Nejnověji na rizika internetu věcí upozorňuje nově odhalená sbírka třiatřiceti bezpečnostních chyb v několika různých síťových knihovnách, kterou její objevitelé ze společnosti Forescout pojmenovali Amnesia:33

Nedávno jste již předplatné aktivoval

Je nám líto, ale nabídku na váš účet v tomto případě nemůžete uplatnit.

Pokračovat na článek

Tento článek pro vás někdo odemknul

Obvykle jsou naše články jen pro předplatitele. Dejte nám na sebe e-mail a staňte se na den zdarma předplatitelem HN i vy!

Navíc pro vás chystáme pravidelný výběr nejlepších článků a pohled do backstage Hospodářských novin.

Zdá se, že už se známe

Pod vámi uvedenou e-mailovou adresou již evidujeme uživatelský účet.

Děkujeme, teď už si užijte váš článek zdarma

Na váš e-mail jsme odeslali bližší informace o vašem předplatném.

Od tohoto okamžiku můžete číst neomezeně HN na den zdarma. Začít můžete s článkem, který pro vás někdo odemknul.

Na váš e-mail jsme odeslali informace k registraci.

V e-mailu máte odkaz k nastavení hesla a dokončení registrace. Je to jen pár kliků, po kterých můžete číst neomezeně HN na den zdarma. Ale to klidně počká, zatím si můžete přečíst článek, který pro vás někdo odemknul.

Pokračovat na článek

Zákeřné na nově odhaleném riziku je to, že nepostihuje jedno konkrétní zařízení nebo jednoho výrobce. Postižených společností je více než 150 a počet postižených zařízení se pohybuje v milionech. Útočníci totiž mohou zneužít chyby přímo v systémech, které zajišťují síťovou komunikaci postižených zařízení, v takzvaném síťovém stacku. Nejvíce zranitelných zařízení je podle autorů studie ve vládních organizacích, zdravotnictví, službách a ve výrobě. 

Síťový stack je sada softwarových prvků, které se starají o komunikaci po počítačové síti, tradiční kabelové nebo bezdrátové. Zajišťují práci s internetovými adresami v protokolech IPv4 nebo IPv6, komunikaci přes TCP (Transmission Control Protocol), překlad doménových jmen na IP adresy (DNS, mDNS), základní síťové služby, diagnostiku (ICMP) a další činnosti, které moderní zařízení potřebují ke vzájemné komunikaci.

Je to zároveň kritický prvek z pohledu bezpečnosti, protože většina elektronických útoků přichází po síti a síťový stack lze z tohoto hlediska pokládat za jakýsi základ, na kterém stojí operační systém a další software. Tento software totiž zpracovává všechny příchozí požadavky ještě předtím, než se k nim dostane vlastní aplikační software, tedy například antivir. A pokud v něm bude chyba, zasáhne celý systém a aplikační software s tím nedokáže nic udělat.

Výzkumníci z Forescoutu prozkoumali čtyři rozšířené open source síťové stacky: uIP, FNET, picoTCP a Nut/Net. Ty jsou určeny pro jednoduchá zařízení s omezenými systémovými prostředky, jako jsou různá čidla, IP kamery, pokladní tiskárny, záložní zdroje, systémy klimatizace (HVAC), protokolové konvertory a myriády dalších udělátek, která jsou dnes připojena k počítačové síti.

V těchto čtyřech knihovnách s volně dostupným zdrojovým kódem objevili výzkumníci celkem třiatřicet chyb, z toho čtyři nesou označení "kritická". Vesměs se jedná o chyby způsobující, že kód zapíše data do jiné části paměti, než by měl. To může vést k mnoha typům útoků, ale typickou možností zneužití je DoS, denial of service. Takto napadené zařízení prostě zhavaruje, přestane odpovídat na požadavky a vůbec fungovat. Ještě závažnější jsou chyby typu RCE, remote code execution, kde zařízení nadále funguje, ale o tom, co dělá, rozhoduje útočník, který na takovém zařízení může spouštět vlastní aplikace.

Útočník může miliony zranitelných zařízení použít nejenom jako přímý cíl svého útoku (a ovlivnit tak třeba chování klimatizace nebo výrobní linky), ale i jako "skrýš", díky které získá trvalý přístup k síti útočníka a potenciální bod využitelný pro útok na další zařízení v napadené síti.

Chyby v jednoduchých "embedded" zařízeních lidé často zlehčují s tím, že tato zařízení přece nejsou připojená do Internetu, ale jsou v nějaké oddělené, zvenčí nedostupné síti. Bohužel, to je spíše zbožné přání než výstižný popis skutečnosti. A i kdyby to byla pravda, oddělující vzduchová mezera je spíš mýtus než praktické řešení bezpečnosti.

Pro uživatele je problematické to, že nalezené zranitelnosti nelze úplně snadno odstranit. Postižená zařízení jsou vesměs složená z komponent od různých dodavatelů, přičemž část z komponent již není podporovaná nebo jejich výrobci rovnou zanikli. Ve své studii Forescout zmiňuje UPS (záložní zdroj napájení), jejímž výrobcem je firma označená jako A. Ta používá kartu pro správu sítí, jejímž výrobcem je firma B, která ovšem používá operační systém od firmy C, který je postavený na síťovém open source stacku D.

I když vývojáři opraví chybu v síťovém stacku D, musí spolupracovat i s články A-C (no a samozřejmě se zákazníkem), aby se oprava dostala na konkrétní zařízení. A ještě větší problém je, že v případě oné konkrétní UPS mezitím firma C přestala existovat a příslušný operační systém nemá kdo opravit. Ve výsledku je celé zařízení v podstatě neaktualizovatelné, i když dojde k opravě původní chyby.

V mnoha případech tedy neexistuje ono správné řešení: aplikovat opravy. Nezbývá pak než postižené zařízení vyhodit a nahradit ho nějakým jiným v naději, že se problém za pár let nebude opakovat. To ale často není z ekonomických, ale ani technických důvodů možné. Přesto existují postupy, jak nebezpečí minimalizovat:

  • Monitorovat sítě a zastavit nestandardní síťové pakety na vhodném aktivním prvku. Většina zranitelností spočívá v nesprávném zpracování síťových paketů, které jsou nějakým způsobem nestandardní, poškozené. Pokud je síť dokáže včas zastavit, ke zranitelnému zařízení se vůbec nedostanou.
  • Používat nikoliv veřejné, ale interní DNS servery. Řada zranitelností je v implementacích DNS protokolu a tím, že se zablokuje externí DNS provoz a bude se spoléhat na vlastní jmenné servery, se sníží možnost jejich využití.
  • Zakázat nebo blokovat IPv6. Několik zranitelností se týká IPv6 protokolu, který ale v těchto případech nebývá využit. Jeho vyřazením lze dále zmenšit attack surface (prostor pro napadení).
  • Rozdělit síť do oddělených částí (segmentů) tak, aby zranitelná zařízení nemohla ohrozit ostatní a provoz společnosti jako takové. To je nepochybně dobrá rada, která by měla platit univerzálně a preventivně. Jak se ovšem ukázalo v nedávné vlně ransomware útoků, není v praxi příliš používaná a mnoho firem i institucí má všechno na jedné hromadě a ve chvíli jenom trochu pokročilého útoku je mimo provoz celá síť.