Pięta achillesowa Internetu Rzeczy i herosi naszych czasów

Tetyda, pragnąc zapewnić synowi nieśmiertelność, zanurzyła go w wodach Styksu. W ten sposób uodporniła jego ciało na wszelkie ciosy. Młodzieniec dorastał wśród córek króla Likomedesa na Skyros. Okazał się walecznym wojownikiem, a wedle przepowiedni, bez jego udziału zwycięstwo nad niezdobytą dotąd Troją miało być niemożliwe. Największą słabością tego herosa była jego pięta. Parys jednym celnym strzałem ugodził Achillesa w tę część ciała, sprowadzając na niego wieczną ciemność.


Urządzenia Internetu Rzeczy są jak antyczny syn Peleusa. Mogą być niezwykle przydatne i stanowić klucz do przyszłości technologii, ale jednocześnie już od samych ich narodzin – tym, w jaki sposób się je projektuje i jak nimi zarządza – odsłania się ich najwrażliwszy punkt. Bezpieczeństwo.

Urządzenia IoT (od Internet of Things – Internetu Rzeczy) są fundamentalnie uszkodzone. To nic innego, jak małe komputery z dostępem do globalnej sieci. Producenci tworzą je i puszczają w świat, bez jakiejkolwiek kontroli czy monitorowania zabezpieczeń.

Pomyśl o tych czasach, kiedy wszyscy instalowaliśmy na swoich komputerach programy antywirusowe. Dlaczego to robiliśmy? Po co twój smartfon otrzymuje poprawki bezpieczeństwa, a aplikacje są aktualizowane? Spójrz na swój router. Po kiego grzyba instaluje się na nim oprogramowanie zabezpieczające twoją sieć domową? Dokładnie wiesz, dlaczego tak jest.

Coraz większy dostęp do internetu dla coraz większej liczby urządzeń oznacza problemy z bezpieczeństwem. Obecnie musimy radzić sobie z olbrzymimi botnetowymi atakami, składającymi się w całości z zainfekowanych urządzeń Internetu Rzeczy. Wszystkie razem są w stanie spowodować niewyobrażalne szkody.

W zeszłym roku DYN, popularny amerykański dostawca DNS, stał się ofiarą masowego ataku DDoS. Większość użytkowników usługi była przez jakiś czas kompletnie odcięta od usługi. Akcję przeprowadzono przy pomocy botnetu Miraj, który zainfekował miliony urządzeń IoT. To dzięki nim atak na DYN mógł być tak skuteczny – usługa sieciowa padła, ponieważ wszystkie one zasypały serwery fałszywymi próbami skorzystania z niej.

Zresztą, Mirai był swego czasu dość dotkliwy – odpowiadał za kompletne unieruchomienie francuskiej firmy hostingowej OVH, dzięki niemu padł blog reportera do spraw bezpieczeństwa, Briana Krebsa, a nawet internetu został pozbawiony cały (choć powierzchniowo niewielki) zachodnio-afrykański kraj, Liberia.

W skrócie – niezabezpieczone urządzenia Internetu Rzeczy mają nie tylko wpływ na ich właścicieli. Skutki zaniedbań mogą szybko zemścić się na kimkolwiek – i to w bardzo wymierny i namacalny sposób. Wystarczy, że padnie hosting twojej firmie. Byłbyś z tego zadowolony? Tym, którym wydaje się, że zagrożenie ze strony Mirai już minęło, odpowiadam: rzeczywiście, minęło. Za to pojawiło się inne, w postaci innego malware’u o nazwie BrickerBot.

Celem BrickerBota są wrażliwe na atak urządzenia IoT. Malware je po prostu ucegla – w następstwie ataku nie nadają się do użytku. Znane są dwa warianty tego złośliwego oprogramowania: BrickerBot.1 i BrickerBot.2. Wyszukują one sprzęty oparte na Linuxie i trwale niszczą ich pamięć masową, co zostało nazwane atakiem Permanent Denial of Service (PDO). Według specjalistów, druga odmiana malware’u korzysta nawet z sieci TOR, żeby utrudnić namierzenie komputera hosta, który koordynuje atak.

Społeczność zainteresowana sprawą nie ma pomysłu na to, co kierowało osobą lub grupą osób, które stworzyły BrickerBota. Czy na serio ktoś życzy „śmierci” wszystkim znienawidzonym routerom, wrednym termostatom i podłączonym do domowego WiFi, wiecznie przypalającym grzanki tosterom? Czy istnieje jakiś głębszy motyw?

Niektórzy spekulują, że BrickerBot jest dziełem hakera, który tak naprawdę jest naszym technologicznym Parysem. Może widzi w Internecie Rzeczy wielkie zagrożenie? Może dla tego internetowego mściciela, zniszczenie tysięcy urządzeń IoT, to niewielka cena za zwiększenie bezpieczeństwa w Sieci? Może chce nas uchronić przed kolejnym masowym atakiem DDoS, zanim ktoś wykorzysta siłę urządzeń Internetu Rzeczy w takim celu na jeszcze większą skalę? Może dla niego Achilles Rzeczy, choć piękny i silny, jest intruzem pod murami jedynej prawilnej, internetowej Troi?

Tak, taka interpretacja poczynań tajemniczego hakera wydaje się być logiczna dla przyszłości naszego Internetu. Rzecz jasna, są to tylko i wyłącznie spekulacje. Równie dobrze utalentowanemu, tajemniczemu programiście może po prostu zależeć na tym, żeby jego „dziecko” rozpowszechniło się na możliwie na jak największej liczbie urządzeń, w możliwie najprostszy sposób – a sprzęty IoT są na to znacznie bardziej podatne niż jakiekolwiek inne komputery podłączone do Sieci. Żniwo BrickerBota nie musi być jednak postrzegane tylko i wyłącznie w ciemnych barwach.

Uceglanie gadżetów Internetu Rzeczy dotknie mocniej ich producentów niż użytkowników. Oczywiście, to właściciele inteligentnych termostatów ucierpią jako pierwsi. Ale bardziej boleć będzie to producenta takiego sprzętu, kiedy będzie musiał poradzić sobie z powodzią urządzeń spływających do niego z serwisów w ramach gwarancji.

Do tego dochodzą kwestie wizerunkowe. Dla takiej firmy, powszechne zwroty popularnych urządzeń będą plamą na honorze – mogą poważnie nadszarpnąć jej reputację. Łatwo można sobie to wyobrazić na przykładzie Samsunga, który choć poradził sobie z problemem wadliwych Note’ów 7, w świadomości wielu konsumentów już na zawsze pozostanie producentem, który pozwala na wprowadzanie na rynek wadliwych smartfonów. W przypadku firm produkujących znacznie tańsze urządzenia IoT, taki cios mógłby być ostatnim, jaki poczułyby na swojej twarzy, wyrażającej nieskończoną bezsilność.

Możecie nazwać mnie optymistą, jednak może BrickerBot jest tym, czego potrzebujemy. Może jest katalizatorem, który zmusi producentów do zaprzestania kąpania swoich małych urządzeń w Styksie samozadowolenia ze swoich produktów. Może zaczną oni myśleć o bezpieczeństwie, wyposażając je w końcu w jakąś tarczę do obrony przed złośliwym oprogramowaniem?

Może.

Jeśli tak, przyjdzie nam jeszcze podziękować naszemu Parysowi za dobre oko i pewną rękę, gdy napinał łuk złośliwego kodu, celując w piętę Achillesa.

 

źródła: TheNextWeb, Wiki 1, 2, di.com.pl, Zdnet