Okoshőmérővel hackeltek meg egy kaszinót

​Minden okoseszköz biztonsági kockázatokat vet fel. Sajnos sokszor a gyártók sem igazán törődnek mindezzel.
 

A Gartner előrejelzései szerint pár éven belül 50 milliárd eszköz fog kapcsolódni az internethez. Az ezeken az eszközökön alapuló Internet of Things (IoT), azaz a dolgok internete már jelenleg is komoly kihívást jelent a biztonsági szakembereknek.
 
A hálózatba kapcsolt eszközök esetében az egyik legfrissebb biztonsági problémát a nemrégiben napvilágra került VPNfilter sebezhetőség jelenti, amelyet kihasználva 500.000 útválasztót fertőztek meg a támadók. A szakemberek a routerek újraindítását és a firmware frissítését tanácsolták a felhasználók számára.
 
Az ESET biztonsági szakértői szerint az olyan alapvető biztonsági intézkedések meghozatalának elmulasztása, mint a titkosítatlanul továbbított adatok, a hitelesítés hanyagolása, a brute force támadások elleni védelem hiánya, a sok sebből vérző patch menedzsment stb. komoly veszélyeket jelent a vállalatok és az otthoni felhasználók számára egyaránt.
 
Nem kell sok egy támadáshoz
 
A védelmen gyenge pontot képviselhet akár egy robotporszívó is, amely 360 fokos kamerával rendelkezik, és feltörése révén a bűnözők teljes képet kaphatnak otthonunkról, irodánkról. Jó példa minderre, hogy a Positive Technologies biztonsági szakértői olyan hiányosságokat találtak a Dongguan Diqee 360 robotporszívóban, melyek kihasználásával a támadók képesek távolról átvenni a készülék irányítását, beleértve az éjjellátó kamera és a mikrofon vezérlését is.
 
Ugyanez a helyzet a többi kamerás eszközzel is, ezért a használaton kívüli kamerát - legyen az tablet, laptop, játékkonzol vagy éppen okos televízió - érdemes lehet időlegesen fizikailag is lefedni, leragasztani, letakarni.  A kamerával rendelkező eszközök mellett az audio eszközök is rejthetnek biztonsági kockázatot. Alig két hónapja történt meg, hogy az Amazon Alexa egy kihallgatott családi magánbeszélgetést közvetített illetéktelen személyeknek. A cég védekezése szerint az Alexa állítólag a beszélgetésben felismerte a saját nevét és a "send message" parancsot, aminek hatására bizalmas adatokat küldött ki. Mindezt azonban az érintett család cáfolta, így a vita még korántsem ért véget.
 
Azt, hogy a jövőben egészen újfajta hozzáállásra van szükség, két másik incidens is kiválóan demonstrálja. Idén januárban derült ki, hogy titkos katonai bázisok pontos helyszínét leplezte le véletlenül a Strava nevű fitnesz alkalmazás. Az anonim statisztikák, amelyek a katonák által óvatlanul kerültek megosztásra, a nyilvánosságra hozott hőtérképeken a futóútvonalak révén egyértelműen beazonosíthatóvá tették többek között a Szíriában és Irakban található katonai bázisokat.
 
A másik esetnél pedig egy meg nem nevezett észak-amerikai kaszinóból lopták el a támadók egy adatbázist a hallban található akvárium okoshőmérőjének feltörésével. A kiberbűnözők a kompromittált eszközön keresztül jutottak be a hálózatba, és töltötték fel a felhőbe az adatállományt.
 
A szakemberek szerint a felhasználóknak érdemes alaposan átgondolni az okoseszközök használatát, a gyártóknak pedig a hosszú távú, biztonságos működés érdekében már a tervezés, fejlesztés során komolyan számolniuk kell a biztonsági megfontolásokkal.