Waszyngton, USA - 10 września 2015
W dniu dzisiejszym agencja federalna FBI opublikowała w USA dokument analizujący zagrożenia jakie powstające w Internecie Rzeczy (ang. The Internet of Things - IoT) oraz poradnik dla użytkowników systemów IoT prezentujący podstawowe zasady bezpieczeństwa.
Wiele osób jest obecnie zafascynowanych Internetem Rzeczy, zapominając najczęściej o tym, że jest to nowe środowisko sieciowe, w którym hakerzy już obecnie są niebezpiecznym zagrożeniem dla jego użytkowników.
Jest to technologia, która nie doczekała się jeszcze rzetelnych narzędzi, które pozwalałyby skutecznie chronić IoT przed zakusami włamywaczy.
W związku z tym agencja FBI opublikowała 10 sierpnia 2015 roku Alert Numer I-091015-PSA, w którym opisuje niebezpieczeństwa związane z faktem, że Internet rzeczy nie jest odpowiednio chroniony.
http://www.ic3.gov/media/2015/150910.aspx
"Coraz więcej firm i gospodarstw domowych instaluje urządzenia IoT i podłącza je do Internetu, chcąc w ten sposób zwiększyć konkurencyjność swojego biznesu albo monitorować zdalnie dom i sterować w tym samym trybie zainstalowane w nim urządzenia. Użytkownicy takich urządzeń zapominają jednak, że środowisko IoT nie jest jak dotąd w należyty sposób chronione i w każdej chwili mogą się stać ofiarami hakerów", ostrzega FBI.
I dalej,
"nie wszyscy zdają sobie sprawę z tego, że czujniki, mierniki i inne urządzenia IoT mogą paść ofiarą hakerów w taki sam sposób, jak ma to miejsce w przypadku komputerów PC, smartfonów czy tabletów”.
Agencja FBI konkluduje w dokumencie:
"użytkownicy urządzeń IoT muszą być świadomi tego, że zarządzające nimi oprogramowanie zawiera dziury, które należy na bieżąco usuwać poprzez instalowanie łat, dzięki którym hakerzy będą mieli utrudnioną możliwość włamania”.
Agencja FBI przypomina, że w przypadku urządzeń IoT szczególne zagrożenie stwarza obsługujący je protokół UPnP (Universal Plug and Play), który pozwala hakerom przechwytywać skonfigurowane na takich urządzeniach domyślne hasła, również te chroniące połączenia Wi-Fi.
Dlatego FBI radzi użytkownikom urządzeń IoT, aby:
1. Użytkownicy izolowali urządzenia IoT, instalując je w oddzielnych, odpowiednio chronionych sieciach.
2. Wyłączali w routerach obsługę protokołu UPnP.
3. Sprawdzali, czy instalowanie w danym środowisku sieciowym urządzeń IoT jest konieczne i ma rację bytu.
4. Kupowali urządzenia IOT wyłącznie od zaufanych dostawców, gwarantujących iż są one bezpieczne.
5. Użytkownicy instalowali bez zwłoki wszystkie dostarczane im przez producenta urządzenia IoT aktualizacje systemowe, poprawki i aktualizacje zabezpieczeń.
6. Użytkownicy powinni być świadomi możliwości urządzeń i systemów zabezpieczeń tych urządzeń zainstalowanych w ich domach i firmach. Jeśli urządzenie jest z hasłem domyślnym dla otwartej sieci Wi-Fi, użytkownicy powinni zmienić to hasło, aby nie dopuścić do działania urządzenia w sieci domowej bez zabezpieczonego routera Wi-Fi.
7. Pacjenci powinni być poinformowani o możliwościach funkcjonalnych wszystkich urządzeń medycznych przeznaczonych dla domowego użytku, szczególnie dotyczy to nowoczesnych urządzeń diagnostycznych w ramach dynamicznie rozwijających się systemów telemedycyny dla osób starszych. Jeśli urządzenie ma system zdalnego sterowania i transmisji danych, może być celem złośliwego ataku.
8. Użytkownicy powinni upewnić się, że wszystkie domyślne hasła zostały zmienione przez nich na silne hasła. Nie wolno stosować domyślnego hasła określonego przez producenta urządzenia. Wiele domyślnych haseł producentów można łatwo odszukać w Internecie. Nie należy używać powszechnie stosowanych słów i prostych zwrotów lub haseł zawierających łatwe do uzyskania informacje osobiste, takie jak daty urodzenia, nazwiska, imiona dzieci i zwierząt. Jeśli urządzenie nie pozwala na zmianę hasła dostępu, konieczne jest dokładne sprawdzenie czy urządzenie zapewniające bezprzewodowe usługi internetowe ma silne hasło i używa silnego szyfrowania.
Redakcja ASTROMAN Magazine poleca artykuł na podobny temat, zamieszczony 21 lutego 2015 roku pod tytułem
Inteligentne domy – raj dla hakerów?
w renomowanym wydawnictwie „
Computerworld” pod adresem
http://www.computerworld.pl/news/400989/
Ze względu na doniosłość tej problematyki Redakcja ASTROMAN Magazine zamieszcza poniżej pełny tekst dokumentu FBI
Internet of Things Poses Opportunities for Cyber Crime
The Internet of Things (IoT) refers to any object or device which connects to the Internet to automatically send and/or receive data.
As more businesses and homeowners use web-connected devices to enhance company efficiency or lifestyle conveniences, their connection to the Internet also increases the target space for malicious cyber actors. Similar to other computing devices, like computers or Smartphones, IoT devices also pose security risks to consumers.
The FBI is warning companies and the general public to be aware of IoT vulnerabilities cybercriminals could exploit, and offers some tips on mitigating those cyber threats.
What are some IoT devices?
• Automated devices which remotely or automatically adjust lighting or HVAC
• Security systems, such as security alarms or Wi-Fi cameras, including video monitors used in nursery and daycare settings
• Medical devices, such as wireless heart monitors or insulin dispensers
• Thermostats
• Wearables, such as fitness devices
• Lighting modules which activate or deactivate lights
• Smart appliances, such as smart refrigerators and TVs
• Office equipment, such as printers
• Entertainment devices to control music or television from a mobile device
• Fuel monitoring systems
How do IoT devices connect?
IoT devices connect through computer networks to exchange data with the operator, businesses, manufacturers, and other connected devices, mainly without requiring human interaction.
What are the IoT Risks?
Deficient security capabilities and difficulties for patching vulnerabilities in these devices, as well as a lack of consumer security awareness, provide cyber actors with opportunities to exploit these devices.
Criminals can use these opportunities to remotely facilitate attacks on other systems, send malicious and spam e-mails, steal personal information, or interfere with physical safety.
The main IoT risks include:
• An exploitation of the Universal Plug and Play protocol (UPnP) to gain access to many IoT devices. The UPnP describes the process when a device remotely connects and communicates on a network automatically without authentication. UPnP is designed to self-configure when attached to an IP address, making it vulnerable to exploitation. Cyber actors can change the configuration, and run commands on the devices, potentially enabling the devices to harvest sensitive information or conduct attacks against homes and businesses, or engage in digital eavesdropping;
• An exploitation of default passwords to send malicious and spam e-mails, or steal personally identifiable or credit card information;
• Compromising the IoT device to cause physical harm;
• Overloading the devices to render the device inoperable;
• Interfering with business transactions.
What an IoT Risk Might Look Like to You?
Unsecured or weakly secured devices provide opportunities for cyber criminals to intrude upon private networks and gain access to other devices and information attached to these networks.
Devices with default passwords or open Wi-Fi connections are an easy target for cyber actors to exploit.
Examples of such incidents:
• Cyber criminals can take advantage of security oversights or gaps in the configuration of closed circuit television, such as security cameras used by private businesses or built-in cameras on baby monitors used in homes and day care centers. Many devices have default passwords cyber actors are aware of and others broadcast their location to the Internet. Systems not properly secured can be located and breached by actors who wish to stream live feed on the Internet for anyone to see. Any default passwords should be changed as soon as possible, and the wireless network should have a strong password and firewall.
• Criminals can exploit unsecured wireless connections for automated devices, such as security systems, garage doors, thermostats, and lighting. The exploits allow criminals to obtain administrative privileges on the automated device. Once the criminals have obtained the owner’s privileges, the criminal can access the home or business network and collect personal information or remotely monitor the owner’s habits and network traffic. If the owner did not change the default password or create a strong password, a cyber criminal could easily exploit these devices to open doors, turn off security systems, record audio and video, and gain access to sensitive data.
• E-mail spam attacks are not only sent from laptops, desktop computers, or mobile devices. Criminals are also using home-networking routers, connected multi-media centers, televisions, and appliances with wireless network connections as vectors for malicious e-mail. Devices affected are usually vulnerable because the factory default password is still in use or the wireless network is not secured.
• Criminals can also gain access to unprotected devices used in home health care, such as those used to collect and transmit personal monitoring data or time-dispense medicines. Once criminals have breached such devices, they have access to any personal or medical information stored on the devices and can possibly change the coding controlling the dispensing of medicines or health data collection. These devices may be at risk if they are capable of long-range connectivity.
• Criminals can also attack business-critical devices connected to the Internet such as the monitoring systems on gas pumps. Using this connection, the criminals could cause the pump to register incorrect levels, creating either a false gas shortage or allowing a refueling vehicle to dangerously overfill the tanks, creating a fire hazard, or interrupt the connection to the point of sale system allowing fuel to be dispensed without registering a monetary transaction.
Consumer Protection and Defense Recommendations
• Isolate IoT devices on their own protected networks;
• Disable UPnP on routers;
• Consider whether IoT devices are ideal for their intended purpose;
• Purchase IoT devices from manufacturers with a track record of providing secure devices;
• When available, update IoT devices with security patches;
• Consumers should be aware of the capabilities of the devices and appliances installed in their homes and businesses. If a device comes with a default password or an open Wi-Fi connection, consumers should change the password and only allow it operate on a home network with a secured Wi-Fi router;
• Use current best practices when connecting IoT devices to wireless networks, and when connecting remotely to an IoT device;
• Patients should be informed about the capabilities of any medical devices prescribed for at-home use. If the device is capable of remote operation or transmission of data, it could be a target for a malicious actor;
• Ensure all default passwords are changed to strong passwords. Do not use the default password determined by the device manufacturer. Many default passwords can be easily located on the Internet. Do not use common words and simple phrases or passwords containing easily obtainable personal information, such as important dates or names of children or pets. If the device does not allow the capability to change the access password, ensure the device providing wireless Internet service has a strong password and uses strong encryption.
Source / Źródło: FBI
http://www.ic3.gov/media/2015/150910.aspx
ASTROMAN Magazine - 2015.09.06
IFA Berlin 2015: Main themes at IFA
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1956
ASTROMAN Magazine - 2015.09.05
IFA 2015: Introducing 6th Generation Intel Core, Intel's Best Processor Ever
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1955
ASTROMAN Magazine - 2015.08.29
Dell Unveils New Line of Business within Enterprise Solutions to Uniquely Serve Growing Market
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1953
ASTROMAN Magazine - 2015.08.08
gamescom 2015: Xbox One Backward Compatibility Launches in November with Over 100 Xbox 360 Titles
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1945
ASTROMAN Magazine - 2015.07.11
IBM Research Alliance Produces Industry's First 7nm Node Test Chips
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1936
ASTROMAN Magazine - 2015.07.04
Fujitsu Introduces the ETERNUS DX8000 S3 Series of Disk Storage Systems
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1933
ASTROMAN Magazine - 2015.06.04
Computex 2015: Windows 10 enables ecosystem opportunity and new customer experiences
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1925
ASTROMAN Magazine - 2015.06.04
Qualcomm and Leading Tablet Solutions Provider Allwinner Technology to Collaborate in Growth of 4G LTE Tablets Powered by Qualcomm Snapdragon Processors
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1924
ASTROMAN Magazine - 2015.05.31
Doctor Evidence Brings Valuable Health Data to IBM Watson Ecosystem
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1923
ASTROMAN Magazine - 2015.05.03
Fujitsu Develops World's First Technology that Visualizes Complexity of Business Logic in a Program's Code
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1914
ASTROMAN Magazine - 2015.05.01
BUILD 2015: A closer look at the Microsoft HoloLens hardware
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1911
ASTROMAN Magazine - 2015.03.24
The CeBIT 2015 equation: Information, innovation and inspiration add up to increased investment
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1897
ASTROMAN Magazine - 2015.03.23
Keynote trends at CeBIT 2015
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1896
ASTROMAN Magazine - 2015.03.06
GSMA Mobile World Congress 2015 Shatters Previous Records
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1882
ASTROMAN Magazine - 2015.03.04
GSMA Announces Winners of the 2015 Global Mobile Awards
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1881
ASTROMAN Magazine - 2015.02.15
Intel Promotes 5 Corporate Officers, Elects 4 New Corporate Vice Presidents
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1874
ASTROMAN Magazine - 2015.01.11
CEA Announces Winners of 2015 Mark of Excellence Awards
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1860
ASTROMAN Magazine - 2015.01.10
2015 International CES: FCC Chairman and Leaders from CBS, Cisco, Comcast, Condé Nast, Fox, Google...
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1859
ASTROMAN Magazine - 2015.01.08
Major Keynote Announcements from Ford and Intel, Dynamic SuperSessions and the Next Generation of Technology Innovation Opens the 2015 International CES
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1858
ASTROMAN Magazine - 2014.09.07
Intel Launches the Intel Core M Processor at IFA Berlin 2014
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1786
ASTROMAN Magazine - 2014.09.07
IFA Berlin 2014: 90 years of innovations - Miss IFA presents the first IFA Product Highlights
http://www.astroman.com.pl/index.php?mod=magazine&a=read&id=1787
ASTROMAN Magazine
Publikacja tekstów pochodzących z wydawnictw prasowych bądź elektronicznych prezentowanych w ASTROMAN Magazine nie ma charakteru komercyjnego, służy wyłącznie celom edukacyjnym, dydaktycznym i naukowym - zgodnie z Ustawą o prawie autorskim i prawach pokrewnych z dnia 04.02.1994 r. (Dz. U. z dn. 23.02.1994 r. nr 24, poz. 83).
Editor-in-Chief of ASTROMAN magazine: Roman Wojtala, PhD.