Hakeri var ielauzties caur apkures katlu
Informācijas tehnoloģiju drošības incidentu novēršanas institūcija CERT.LV nākusi klajā ar satraucošu informāciju – Latvijā varētu būt apdraudētas vairāk nekā 1000 viedās apkures sistēmas. Pasaulē jau vairākus gadus hakeri jeb datorurķi izmanto internetam pieslēdzamas sadzīves elektronikas ierīces, lai piekļūtu lietotāju datu sistēmām.
Pēdējos gados arvien lielāku popularitāti gūst iespēja dažādas ierīces vadīt attālināti – sākot ar mājas temperatūras regulēšanu un beidzot ar kafijas aparāta ieslēgšanu. Tomēr daudzi pat neaizdomājas, ka caur tām tehniski bruņoti un zinoši noziedznieki var piekļūt arī citām ierīcēm, piemēram, datoriem, viedtelefoniem vai mājas apsardzes sistēmai.
Caur ledusskapi uz bankas kontu?
Šobrīd CERT.LV eksperti noskaidrojuši, ka viens no Latvijā piedāvātajiem tā saucamā mākoņpakalpojuma produktiem nav pietiekami aizsargāts, un aicina rūpēties par savu drošību. Pagaidām gan pakalpojuma sniedzējs atklāts netiek, taču brīdinājums ir attiecināms arī uz vairāku ražotāju produktu klāstu, kas iekļauj gan individuālas mājsaimniecības un nelielus komersantus, gan mazos un vidējos uzņēmumus.
Situācija, kad lietu interneta iekārtas, tostarp pāris tūkstoši apkures katlu, pieejamas vienā publiski pieejamā mākoņpakalpojuma risinājumā, būtiski palielina ļaundaru vēlmi atrast iespējamu ievainojamību – spraugu šajā platformā.
Kaut arī šobrīd vēl nav informācijas, ka Latvijā kāda no šīm iekārtām būtu cietusi kiberuzbrukumā, pasaules pieredze rāda, ka lietu interneta iekārtas uzbrucējus interesē arvien vairāk. Tas arī saprotams, jo par datoru un viedtālruņu aizsardzību īpašnieki parasti parūpējas, bet viedās iekārtas – interneta televizorus, apkures sistēmas, ledusskapjus, veļas mašīnas, apgaismes ierīces – atstāj neaizsargātas.
Jāliek parole
CERT.LV preses pārstāve Līga Besere "Kas Jauns Avīzei" teic: "Internetam pieslēgta, ar paroli neaizsargāta ierīce pat tad, ja datiem var piekļūt tikai aplūkošanas režīmā, atklāj daudz informācijas par īpašnieku, objektu un tā ekspluatāciju. Šos datus var tālāk izmantot gan krāpnieciskiem nolūkiem, gan ielaušanās mēģinājumos."
Jebkura lieki izpausta informācija sniedz priekšrocības uzbrucējam, ļauj labāk sagatavoties sociālās inženierijas uzbrukumam. "Ja uzbrucējs demonstrē, ka zina par mums gana daudz, mēs sākam viņam nepamatoti uzticēties. Tā var būt personiska uzruna sarunā par banku, nesen apmeklētu iestādi vai organizāciju, arī par aktuālu tēmu," stāsta Besere.
Hakeru mērķis ne vienmēr ir piesavināties naudu no bankas konta vai pieprasīt izpirkuma maksu par datiem, daudzi to dara arī sporta pēc.
"Ar paroli neaizsargātas, internetā pieejamas iekārtas var tikt pakļautas arī manipulācijas un ļaunprātīgas izmantošanas riskam. Tas var radīt neērtības, diskomfortu iekārtu īpašniekiem vai pat novest līdz iekārtu bojājumam," brīdina Besere. Proti, nebūs nekas patīkams, ja pēkšņi kāds neredzamais no malas sāks pārslēgt televizora programmas vai izslēgs apkuri. Tāpat internetā brīvi pieejamas iekārtas var izmantot, lai uzbruktu citiem mērķiem.
No huligānisma līdz draudiem dzīvībai
Pasaulē šobrīd ir vismaz 20 miljardi internetam pieslēgtu dažādu ierīču, un 2025. gadā tādu būs jau vismaz 75 miljardi. Uzbrucēji bieži izmanto vienu neaizsargātu iekārtu, lai piekļūtu citām tajā pašā tīklā esošām ierīcēm, un cenšas to darīt gana radoši.
Pirms diviem gadiem hakeri tāpat vien, joka pēc, uzbruka diviem daudzdzīvokļu namiem Somijas pilsētā Lapenrantā, uzstādot nepārtrauktu restarta režīmu, un bija vajadzīga nedēļa, lai sistēmu atjaunotu.
ASV kāds hakeris bija pieslēdzies bērna uzraudzības bezvadu sistēmai un caur to pieprasījis izpirkuma maksu, pretējā gadījumā draudot mazuli nolaupīt.
Var būt arī daudz ļaunāk, līdz pat draudiem dzīvībai. 2017. gadā ASV ar lielām grūtībām novērsa hakeru mēģinājumu uzlauzt konkrēta ražotāja sirds kardioloģiskos stimulatorus un mēģinājumu pārņemt savā kontrolē insulīna dozatorus.
Kazino datus nozog caur akvāriju
Vācijā no tirdzniecības izņēma interaktīvu lelli "Mana draudzene Kaila", jo, izmantojot tās bluetooth, hakeri varēja klausīties un skatīties, ko dara bērns, un redzēt arī apkārtējo telpu. Viņi pat varēja ar bērnu sazināties un iegūt informāciju par mājvietu un ģimenes dzīves ritmu.
Pērn elektroniskie kramplauži piekļuva seksa rotaļlietas "Vibratissimo Panty Buster" sistēmai, iegūstot sensitīvu informāciju par lietotājiem un nopludinot to virtuālajā telpā atklātā tekstā. Kas trakākais, viņi šīs rotaļlietas varēja arī attālināti iedarbināt.
Šķiet, pagaidām meistarīgākais ir pirms trim gadiem notikušais uzbrukums ASV, kurā hakeri ieguva personu datus no kāda kazino, izmantojot akvāriju vai, precīzāk, nepietiekami aizsargātu sensoru – tas bija pieslēgts internetam, lai nodrošinātu zivju mītnes automatizētu kontroli.
Kā no tā izvairīties
Vispirms rūpīgi jāizvērtē, vai konkrētās iekārtas pieslēgšana internetam patiešām ir nepieciešama un vai labums no šāda pieslēguma ir samērojams ar iespējamo risku.
Daudzi lietotāji, kuri pat neaizdomājas par šādas iekārtas iespējamo uzlaušanu, bieži atstāj tai uzstādītos rūpnieciskos iestatījumus. Tie parasti ir ar rūpnīcā uzstādītu paroli, kuru viegli var atrast internetā, vai vispār bez tās. Lielākajai daļai šo viedo iekārtu ir paredzēta iespēja paša lietotāja paroles uzstādīšanai, un šī iespēja noteikti jāizmanto. Ja nu pašam tas neizdodas, noteikti jāvēršas pēc padoma pie šo ierīču tirgotājiem vai apkalpotājiem.