Nem újdonság, hogy a dolgok internete kockázatos. Amióta IoT létezik, a biztonsági kutatók folyamatosan szajkózzák – egyelőre meglehetősen kevés eredménnyel –, hogy az internetre kapcsolódó, ezáltal egymással is kommunikálni képes eszközök százmillióinak-milliárdjainak megjelenése (a Gartner 2020-ra 25 milliárd IoT eszközt jósol míg az IHS 2025-re 100 milliárdot) óriási biztonsági kockázatokat hordoz, ha nem sikerül valamiféle átfogó ellenszert találni.

Egy akváriumból is eljuthatunk bárhová

Egy akvárium is szerepet kapott az utóbbi idők egyik legviccesebb, de mégis nagyon súlyos veszélyekre figyelmeztető hekkertámadásában. Nicole Eagan, a Darktrace kiberbiztonsági cég vezérigazgatója egy konferencián hozta fel az esetet annak illusztrálására, hogy milyen veszélyeket korunk egyik legerőteljesebb technológiai trendje, az IoT, azaz a dolgok internete.

Kiberbűnözők egy kaszinó épületének lobbijában található akvárium okoshőmérőjén keresztül törtek be a játékterem rendszerébe. Bár mindez tavaly történt, és az esetet már a 2017-es Global Threat Reporthoz készített esettanulmány-gyűjteményében [PDF] is publikálta a cég, az ügy akkor mégsem keltett nagy feltűnést.

A hekkerek az akvárium interneten keresztül távvezérelhető érzékelőinek sérülékenységét kiaknázva bejutottak a kaszinó központi szerverébe. Az akvárium hőmérsékletét, a víz tisztaságát és a haleledel adagolását ellenőrző és szabályzó rendszert ugyanis egy olyan PC vezérelte, amely rákapcsolódott a játékterem központi rendszerére. A hackerek így be tudtak jutni a központi szerverre, és onnan lenyúlták azt az adatbázist, ami a kaszinó nagy tétekben játszó VIP-ügyfeleinek listáját tartalmazta.

Minden veszélyes, amit netre kötnek

A Darktrace-vezér sok újdonságot nem mondott. De így legalább jobban elhitte a közönsége – a The Wall Street Journal londoni CEO Council konferenciájának hallgatói –, hogy nagyon komoly kockázatokkal kell számolniuk konnektivitás magasabb fokra emelésével.

Amit a hekkerek a közelebbről meg nem nevezett észak-amerikai kaszinóban megcsináltak egy akvárium okostermosztátján keresztül, azt bármikor megcsinálják bármilyen más okosotthon-eszközön is. Számukra mindegy, hogy IoT-s légkondícionáló, fűtő- vagy szellőzőrendszer, hűtőszekrény vagy éppen egy olyan fejlett eszköz áll a rendelkezésre, mint az Alexa, amely elkezdte irodai térhódítását. A lényeg, hogy kaput nyitnak azokba a rendszerekbe, melyek már valódi értéket tárolnak.

Némelyik ráadásul fölösleges játéknak tűnik, ha használatának valódi hozadékát nézzük.

A hírszerzők is szeretnek rémisztgetni

A WWJ konferenciáján a brit hírszerzés digitális részlegének, a GCHQ-nak (Government Communications Headquarters) a korábbi irányítója, Robert Hanningan is az IoT-biztonságnak szentelte előadását. Ő a biztonsági rendszer CCTV kameráival példálózott. Szintén név nélkül említett egy bankot, amelynek rendszeribe a netre kapcsolt kamerákon keresztül jutottak be az támadók.

Hanningan szerint nem szabad arra várni, hogy majd a piac maga kikényszeríti a megoldást. Törvényekre van szükség, amelyek pontosan meghatározzák az IoT-eszközök minimális biztonsági követelményeit.