16

Hakerzy ukradli bazę danych przez… termometr w akwarium. Oto jak to zrobili

Przyznam się Wam, że wcale nie jestem zdziwiony, że w ogóle doszło do takiego ataku. Już kilka razy na Antywebie wspominałem o tym, że mnogość urządzeń podłączonych do sieci, w tym także sprzętów z kręgu IoT to wręcz zaproszenie dla cyberprzestępców do wzmożonych działań. Tym bardziej, że bardzo często "always connected devices" są zwyczajnie słabo zabezpieczone.

Słyszeliśmy już o atakach na kamery przemysłowe, które tworzyły całkiem pokaźny botnet. Niewykluczone, że właśnie trwają ataki na inne sprzęty IoT, na przykład na inteligentne termostaty, czujniki zalania i inne gadżety występujące w inteligentnych domach. Hakerzy natomiast znaleźli bardzo atrakcyjny słaby punkt w infrastrukturze sieciowej pewnego kasyna (nie wiadomo który dokładnie obiekt został „rozpracowany” w ten sposób), gdzie akwarium z rybkami w lobby stało się źródłem udanego ataku, w którym pozyskano cenną bazę danych.

Akwarium było wyposażone w termometr, który był podłączony do wewnętrznej sieci kasyna. Sprzęt zbierał aktualne informacje o tym, jaka temperatura panuje w sztucznym środowisku dla zwierząt wodnych – zapewne włodarze obiektu uznali, że obecność egzotycznych gatunków w akwarium wymaga nieco bardziej wyrafinowanych metod chowu i na bieżąco chcieli monitorować ciepłotę wody w zbiorniku. W przypadku niektórych zwierząt wodnych, utrzymanie optymalnej dla nich temperatury może zaważyć na ich późniejszym zdrowiu, a nawet życiu.

I to właśnie ten termometr stał się przyczyną dosyć osobliwego ataku

Urządzenia IoT mają to do siebie, że stanowią swego rodzaju pomost informacyjny. Taki termometr oprócz tego, że na bieżąco zbiera dane o temperaturze wody, to w dodatku przesyła je dalej – albo do „panelu administracyjnego”, gdzie użytkownik może ocenić stan sztucznego środowiska w akwarium, albo bezpośrednio do innych sprzętów (na przykład do grzałki, która odpowiednio zareaguje na zmianę temperatury).

google home akwarium

Hakerzy poszukując możliwości wyprowadzenia danych z kasyna szukali dobrej „furtki”, którą mogliby się posłużyć. Szybko okazało się, że termostat jest dobrym pomysłem na rozpoczęcie ataku: wykorzystując jego podatności udało im się dotrzeć do chmury, a stamtąd już pobrali informacje o osobach, które pojawiały się w kasynach – razem z newralgicznymi danymi.

Przypadek nieco kuriozalny. Trzeba jednak wiedzieć, że ataki na sprzęty IoT będą coraz częstszym problemem

Zwykli użytkownicy mogą tego jeszcze nie zauważać, ale klasa IoT zaczyna odgrywać bardzo ważną rolę w obecnym środowisku technologicznym. Nowoczesne firmy bardzo chętnie automatyzują pewne procesy właśnie za pomocą takich sprzętów – mniemam, że już za relatywnie niedługo zwyczajni konsumenci przekonają się do „zawsze podłączonych” gadżetów. Tylko czy będą oni sobie zdawać sprawę z tego, że stanowią one potencjalną furtkę dla cyberprzestępców?

Robert Hannigan, działający przy brytyjskim rządzie ekspert ds. szpiegostwa w cyberprzestrzeni wypowiedział się dla niemieckiego Business Insidera w tej sprawie. Uznał on, że potrzebne są stosowne regulacje, które nałożą na producentów sprzętów IoT obowiązki odpowiedniego zabezpieczenia produkowanych przez siebie urządzeń. W ostatnim czasie zauważono bowiem, że to właśnie one stają się atrakcyjnym celem ataków, głównie przez fakt, iż ich zabezpieczenia są po prostu bardzo słabe. Dodał jednak, że sporo winy w tej kwestii leży także po stronie ofiar: zapominają one, że bardzo tanie urządzenia mogą wyglądać ładnie, działać naprawdę dobrze, ale ich bezpieczeństwo może być tragiczne. Trudno także będzie się bronić przez zalewem takich gadżetów z Chin, gdzie wiele firm nie bardzo bierze sobie do serca skonstruowanie odpowiednich zabezpieczeń.