Jak donosi serwis ZDNet, w ciągu ostatnich dni pewien haker udostępnił dane ponad 500 tysięcy serwerów, routerów oraz urządzeń IoT, wraz z danymi logowania, które pozwalały na uzyskanie do nich zdalnego dostępu za pośrednictwem protokołu Telnet. Dane pochodzą z przełomu października i listopada 2019, a zgromadzone w bazie urządzenia jeszcze do niedawna miały składać się na sieć botnet, wykorzystywaną w atakach DDoS. Większość z opublikowanych poświadczeń prawdopodobnie nadal pozostaje aktualna. W jaki sposób przestępcy udało się zgromadzić tak dużą bazę urządzeń? Miał tego dokonać poprzez regularne skanowanie całego Internetu pod kątem urządzeń z wystawionym protokołem Telnet, a następnie sprawdzanie na nich fabrycznego zestawu poświadczeń oraz kilku innych popularnych kombinacji loginu i hasła. W wielu przypadkach ze względu na zaniedbania po stronie administratorów wystarczyło to do przeprowadzenia skutecznego włamania.
ZOBACZ TAKŻE: Australia ponownie na celowniku! Pieniądze na ofiary pożarów padły łupem przestępców
Według ekspertów Safetica, producenta rozwiązań DLP do ochrony przed wyciekiem danych, sytuacja ta zwraca uwagę na poważny problem, jakim jest brak świadomości o tym jak bezpiecznie korzystać w firmie z urządzeń IoT. Wielu administratorów zaniedbuje ich poprawnego wdrożenia oraz regularnych aktualizacji, bardzo często poprzestając na domyślnej konfiguracji i – co gorsza – poświadczeniach. Problemem bywa także nieinstalowanie łatek bezpieczeństwa.
- Źle skonfigurowane „inteligentne” urządzenia to dla hakerów szeroko otwarta furtka do naszej firmy. Nawet jeśli same w sobie nie gwarantują bezpośredniego dostępu do ważnych danych, to ułatwiają przestępcom przeprowadzenie dalszej infiltracji sieci – tłumaczy Mateusz Piątek, product manager rozwiązań Safetica w firmie DAGMA.
SPRAWDŹ RÓWNIEŻ: Polacy porzucają gotówkę. Co drugi użytkownik smartfona robi przelewy online
Drukarka, kamera, lodówka – źródła cennych danych
Żeby zrozumieć ryzyko związane z urządzeniami IoT należy uświadomić sobie, do jakich danych mogą zagwarantować dostęp przestępcom. Najłatwiej to osiągnąć posługując się przykładem podłączonej do sieci drukarki. Bardzo często jest ona wykorzystywana przez wiele osób w ramach jednej firmy, a w niektórych przypadkach także przez osoby niebędące jej pracownikami. Co może być na niej drukowane? To już zależy od specyfiki danej organizacji, ale praktycznie w każdym przypadku lista będzie obejmować m.in. faktury i umowy z kontrahentami, a często także dane klientów oraz pracowników. W niektórych przypadkach mogą to być nawet dane medyczne lub skany dowodów osobistych. Problem polega na tym, że wszystkie drukowane pliki trafiają na pewnym etapie do pamięci urządzenia, skąd przestępca potencjalnie może je wykraść. Powagę sytuacji dodatkowo potęguje duża liczba podatności, regularnie identyfikowanych w drukarkach i innych urządzeniach biurowych. Równie popularnym celem hakerów są kamery internetowe. Tutaj o wiele łatwiej wyobrazić sobie, czemu mogą być one w centrum zainteresowania przestępców i dlaczego mogą być zagrożeniem dla firmowych danych.
Jak się jednak okazuje, zagrożenia należy doszukiwać się także w mniej oczywistych urządzeniach, takich jak… lodówka. Wystarczy, że jest ona podłączona do Internetu i może komunikować się z innymi urządzeniami. Potencjalnie oznacza to, że może ona także posiadać podatności, pozwalające przestępcom na infiltrację sieci danej organizacji lub kradzież jej zasobów. Wbrew pozorom nie są to rozważania czysto hipotetyczne. W 2015 roku taką podatność zidentyfikowano w jednej z inteligentnych lodówek firmy Samsung. Pozwalała ona hakerom wykraść dane logowania do konta Google, z którym urządzenie łączyło się w celu synchronizacji kalendarza. Co prawda trudno sobie wyobrazić, by ktoś wykorzystywał w tym celu swoje konto służbowe, ale nie oznacza to jeszcze, że przestępca włamując się do takiej lodówki nie zdobędzie dostępu do firmowych danych - wystarczy, że pracownik wysłał na swój prywatny adres e-mail dokumenty, nad którymi chciał popracować w domu. Choć w większości organizacji stanowiłoby to naruszenie wewnętrznych polityk bezpieczeństwa, to sytuacje takie w praktyce w dalszym ciągu występują bardzo często.
CZYTAJ TEŻ: III wojna światowa na Bliskim Wschodzie? Rośnie też zagrożenie dla cyberbezpieczeństwa
Jak się chronić? - Błędnie skonfigurowane urządzenia IoT oraz łamanie przez pracowników procedur bezpieczeństwa to bardzo poważne zagrożenia dla firmowych danych, ale nie jedyne. Najważniejsze to poprawnie zidentyfikować wszystkie potencjalne źródła wycieku, ponieważ bez tego nie ma możliwości wprowadzić skutecznych środków zaradczych. Pomocne w tym celu mogą być zautomatyzowane narzędzia, takie jak wbudowany w rozwiązanie Safetica moduł Audytor. Zebrane w ten sposób informacje można następnie wykorzystać do przygotowania skutecznej strategii ochrony danych oraz poprawnej konfiguracji rozwiązania DLP, które pomoże w egzekwowaniu wdrożonych polityk bezpieczeństwa – radzi Mateusz Piątek z DAGMA.