Czy automaty podłączone do sieci oraz pozostałe urządzenia inteligentnego domu stanowią kuszący cel dla cyberprzestępców? Czy zasadne jest zakrywanie szkieł obiektywów w telefonach komórkowych? Czy wojsko postąpiło właściwie, wprowadzając zakaz wjazdu chińskimi pojazdami na swoje parkingi? W rozmowie z „Rzeczpospolitą” Piotr Konieczny, twórca niebezpiecznik.pl, udziela odpowiedzi na pytania dotyczące ryzyk związanych z nowymi technologiami.
Czy urządzenia inteligentnego domu są bezpieczne?
Jakub Czermiński
Reklama
„Rzeczpospolita”: Programista z Hiszpanii ujawnił usterkę w systemie zabezpieczeń sprzętów chińskiej marki DJI, dzięki której mógł uzyskać dostęp do transmisji w czasie rzeczywistym z kamer, dźwięku z mikrofonów, map i danych o statusie pracy blisko 7 tys. robotów sprzątających w 24 państwach. Czy roboty sprzątające z dostępem do sieci i inne urządzenia typu smart home (inteligentny dom) stanowią atrakcyjny cel dla włamywaczy komputerowych?
Piotr Konieczny: Bardzo rzadko, z prostej przyczyny: ciężko tego rodzaju dostęp spieniężyć. To nie to samo, co przejęcie kontroli nad komputerem, gdzie ktoś przechowuje swoje kryptowaluty, tworzy pracę dyplomową lub loguje się do systemu bankowego. Owszem, w niektórych sytuacjach urządzenia te posiadają kamery lub mikrofony i istnieje możliwość pozyskania w ten sposób materiałów kompromitujących właściciela lub nawet posunięcia się do wymuszeń. Niemniej jednak, nie jest to „skalowalny” model biznesowy dla przestępców internetowych. Inne ataki przynoszą im większe zyski.
Reklama Reklama
Jakie niebezpieczeństwa powinniśmy brać pod uwagę w odniesieniu do internetu rzeczy i urządzeń typu smart home?
Przede wszystkim z wyciekiem informacji na nasz temat. Nie tylko danych osobowych, które udostępniliśmy podczas tworzenia konta w „chmurze” producenta, ale także wizerunku (kamera), głosu (mikrofon) lub planu naszego domu (w przypadku urządzeń z lidarami). Pewnym zagrożeniem jest fakt, że jeśli te urządzenia podłączamy do sieci Wi-Fi, w której znajdują się ważniejsze zasoby (np. nasz komputer), to może to ułatwić atak, który w konsekwencji będzie miał zdecydowanie bardziej przykre skutki. Dlatego zawsze warto tego rodzaju urządzenia podłączać do oddzielnej, odizolowanej sieci Wi-Fi lub sieci dla gości.
IT Niespodziewane odkrycie programisty. Te urządzenia mogły podglądać i podsłuchiwać
Programista z Hiszpanii Sammy Azdoufal, tworząc własną aplikację do sterowania robotem sprzątając…
Jednakże, biorąc pod uwagę częstotliwość tego typu ataków, uważam, że właściciele inteligentnych gadżetów bardziej powinni się martwić, że producent zaprzestanie wsparcia danego urządzenia, a bez połączenia z chmurą stanie się ono bezużyteczne. Już teraz niektóre z urządzeń, mimo że są w zasięgu ręki, nie są w stanie realizować wszystkich swoich funkcji poprzez sterowanie przyciskami na obudowie – wymagają aplikacji i łączności z serwerami producenta.
Czy dla bezpieczeństwa korzystniej jest zrezygnować z niektórych nowoczesnych udogodnień, np. systemów gromadzących i/lub przesyłających do chmury informacje o naszej codziennej aktywności? Obecnie wykorzystywane rozwiązania osoby nieuprawnione mogą wykorzystać do kradzieży tożsamości lub zdobycia wiedzy o tym, kiedy nasz dom stoi pusty. Czy istnieją proste metody obrony przed tym?
Istnieje wiele sposobów na ustalenie, czy „dom jest pusty”. Owszem, za pomocą metadanych z inteligentnych urządzeń można to zrobić. Ale jeśli ktoś planuje się do nas włamać, to na pewno nie uzależnia tego od posiadania przez nas „smart urządzeń”. Najprawdopodobniej po prostu sprawdzi, czy światła są włączone lub poobserwuje teren przez odpowiednio długi czas. To powiedziawszy, lepiej mieć zamek w drzwiach w wersji tradycyjnej, antywłamaniowej, niż sterowany przez Bluetooth. Choć większość włamywaczy częściej niż atak hakerski przypuści na te drzwi atak fizyczny.
Reklama Reklama Reklama
Często można spotkać się z relacjami osób, które twierdzą, że wspomniały o czymś, czego nie szukały w internecie, i natychmiast otrzymały w przeglądarce reklamy tego dotyczące. Czy smartfony nieustannie nas podsłuchują? Czy te dane są zapisywane i wykorzystywane przez firmy np. w celach marketingowych? Jeśli tak, czy da się to zablokować?
Zasadniczo – nie. To mit i efekt tzw. błędu poznawczego. Jesteśmy nieustannie profilowani przez algorytmy reklamowe na podstawie wielu sygnałów (to, w co klikamy, to, nad czym się zatrzymujemy przewijając, to, gdzie się znajdujemy, itp.). Te informacje pomagają reklamodawcom przypisać nas do konkretnych segmentów zainteresowań, co skutkuje tym, że widzimy konkretne, odpowiednie dla tego segmentu reklamy. Dlatego jeśli np. mamy małe dziecko, algorytmy o tym wiedzą (bo korzystaliśmy z Facebooka w żłobku, albo „polubiliśmy” fanpage „Moje Pierwsze Dziecko”), więc codziennie serwują nam reklamy dla tego typu odbiorców. Często jednak zauważamy daną reklamę, np. konkretnych pieluch, dopiero wtedy, gdy pojawia się ona trzy minuty po tym, jak w rozmowie ze znajomymi wspomnieliśmy jej nazwę. Naturalne jest, że każdemu wówczas przychodzi do głowy myśl „musieli nas podsłuchiwać!”.
Inteligentny dom
Ale tak naprawdę, ta reklama albo wyświetlała się nam już wcześniej kilka razy i nie zwróciliśmy na nią uwagi, albo tak czy inaczej by nam się pojawiła (ponieważ algorytmy wiedzą, że mamy małe dziecko). Nie ma tu spisku – jest przypadek, że akurat tę markę wymieniliśmy w rozmowie.
Stałe podsłuchiwanie i analizowanie konwersacji miliardów osób (czy to na urządzeniu, czy w chmurze) jest kosztowne i zupełnie niepotrzebne z punktu widzenia sieci reklamowych – algorytmy doskonale wiedzą, co może nas zainteresować i w co prawdopodobnie klikniemy, korzystając z prostszych i tańszych do przetworzenia sygnałów. Wiedzą bowiem, w co klikali inni ludzie z „naszego segmentu”.
Jeśli jednak ktoś ma paranoję, zawsze może odebrać uprawnienia dostępu do mikrofonu w ustawieniach wszystkich aplikacji, z których korzysta. Albo nawet odlutować mikrofon z każdego urządzenia w domu. Ale jeśli wtedy pojawi mu się ta przypadkowa reklama wspomnianego chwilę wcześniej produktu (a pojawi się), obawiam się, że poziom paranoi – niesłusznie – wzrośnie.
Technologie Dlaczego robocie masz takie wielkie oczy? Jest ważny powód
Niezależnie od tego, czy dostarczają jedzenie, czy składają pranie, roboty przeznaczone do kontak…
Reklama Reklama Reklama
Czy ciągłe zakrywanie kamery w laptopie i smartfonie ma sens?
Niewielki, ponieważ ataki nie wyglądają tak, jak w filmach hollywoodzkich. Niemal żaden włamywacz nie obserwuje ofiary przez kamerę. Po co miałby ryzykować, że zaświeci się dioda informująca o aktywności kamery i ktoś wykryje atak? Napastnicy szyfrują i kradną dane, na tym zarabiają najwięcej. Nie mają czasu na wielogodzinne podglądanie osoby, licząc na to, że zrobi lub powie coś niestosownego przed kamerą. Jeśli ktoś dzięki temu będzie spokojniej spał w nocy, to oczywiście nie ma przeszkód, aby dla własnego komfortu kamerkę sobie zakleił. To nie zaszkodzi. Tylko warto być konsekwentnym i zakleić zarówno kamerkę w laptopie, jak i w smartfonie – z przodu i z tyłu. Ponieważ smartfona raczej zabieramy w różne miejsca i mamy go nieustannie przy sobie. Dodatkowo, jeśli ktoś często uczestniczy w telekonferencjach, to warto mieć zaklejoną kamerę, bo może się zdarzyć, że jedno kliknięcie spowoduje, że kamerka się włączy, kiedy ktoś nie jest przygotowany, aby w tej chwili zobaczyli go klienci lub współpracownicy.
„Rzeczpospolita” informowała niedawno, że wojsko i policja zakazują wjazdu na swoje parkingi samochodami chińskiej produkcji. Czy tego typu zakazy będą się nasilać? Czy wkrótce usłyszymy, że w urzędach nie można sprzątać przy użyciu robotów sprzątających?
Słusznie. Ponieważ – w odróżnieniu od przeciętnego obywatela – tego rodzaju obiekty są narażone na ataki pochodzące nie ze strony przypadkowych cyberprzestępców, lecz od hakerów działających na zlecenie rządów. Tego rodzaju przeciwnik dysponuje zdecydowanie większymi możliwościami i nawet z pozornie bezużytecznych metadanych może pozyskać informacje cenne z punktu widzenia wywiadu.
Służby Wojsko i policja zakazują wjazdu na swoje parkingi chińskimi autami – ustaliła „Rzeczpospolita”
Szef Sztabu Generalnego Wojska Polskiego zakazał wjazdu samochodami chińskiej produkcji na parkin…
Czy współczesne państwo, poza zakazami, dysponuje jakimś sposobem walki z omawianymi praktykami, czyli szpiegowaniem za pomocą elektroniki?
Ma. Może ustanowić prawo, które będzie stawiało konkretne wymagania producentom chcącym sprzedawać elektronikę na jego terytorium. Życzę powodzenia.
Piotr Konieczny
Założyciel niebezpiecznik.pl, firmy przeprowadzającej kontrolowane włamania na serwery polskich i zagranicznych spółek aby sprawdzić odporność ich infrastruktury na ataki, zanim zrobią to faktyczni włamywacze.