zdroj: Lupa.cz

Mezi známé zdroje nebezpečí v kyberprostoru patří Internet věcí, Internet of Things nebo, chcete-li, IoT. Jedná se o různá specializovaná zařízení, určená k řešení každodenních drobných problémů. Chytré chladičky, televize, termostaty, garážová vrata, chytré žárovky.

Tato zařízení trpívají z řady důvodů mnohem častěji bezpečnostními zranitelnostmi, než „skutečné“ počítačové systémy, a proto se také dohledové NOC a bezpečnostní CSIRT/CERT týmy různých společností aktivních v kyberprostoru, telekomunikační operátory nevyjímaje, musejí čas od času bezpečnostními incidenty souvisejícími s IoT zařízeními zabývat.

Na nedávné konferenci CSNOG 2023 jsem otevřel téma, které je v českých luzích a hájích zatím poměrně neznámé – a sice možnost zneužití tzv. „chytrých“ erotických pomůcek útočníky působícími v kyberprostoru.

Všichni nějak vnímáme výše zmíněná nebezpečí, plynoucí ze zařízení spadajících do množiny označované jako IoT, kde zabezpečení proti všem myslitelným formám kybernetických útoků leží až na samém konci seznamu priorit jejich výrobců, pakliže tam vůbec jsou. U podmnožiny označované jako IoD, Internet of Dildos, případně též Teledildonics, se nicméně toto nebezpečí prakticky ignorovalo. IoD zařízení trpí samozřejmě zranitelnostmi, které jsou celkem běžné u většiny IoT zařízení, ale kromě toho pak mají i některé své vlastní specifické.

Bez šifrování

V 90. letech se objevilo anekdotické zařízení jménem FufMe GenitalDrive, které bylo možné nainstalovat do 5.25" šachty pro disketovou nebo CD-ROM mechaniku běžného PC a obecně působilo zejména směšně, nicméně to bylo období, kdy jsme se na vzdálené servery připojovali telnetem nešifrovaně, nikomu to nepřipadalo divné, protokolem BGP jste si mohli do světa vypropagovat v zásadě jakýkoli prefix jste uznali za vhodné atd. Hacknuté servery byly vcelku na denním pořádku (dobře, na tom se zase tak mnoho nezměnilo).

Dnešní IoD zařízení samozřejmě působí z hlediska ergonomie mnohem lépe a umějí toho mnohem více. Jejich základem bývá využití některé z technologií tzv. Personal Area Networks, zpravidla je to Bluetooth Low Energy, někdy též wifi. Tímto způsobem komunikují s aplikací v mobilním telefonu, z níž zpravidla lze příslušné zařízení ovládat přímo, ale také je poměrně časté, že tato aplikace umožňuje fungování v jakémsi klient–server režimu, kde je ovládána z jiného místa někým dalším přes Internet.

Jestli vám to už zní jako koncept plný potenciálních zranitelností, jsou vaše instinkty správné. Když to spojíme s obecnou vlastností výrobců libovolné spotřební elektroniky na vývoji software co nejvíce šetřit a uvolnit jedinou, nějak uspokojivě chodící verzi, která se už nikdy nedočká aktualizace, dojdeme nezbytně k tomu, že bezpečnostní situace je v této konkrétní branži celkem katastrofální.

Shromažďování „provozních údajů“

Další otázkou je, co může útočník získat a proč by mu útok na taková zařízení tedy měl dávat smysl. Jak však praxe ukazuje, smysl to dává. Motivace se konkrétně u IoD výrobků od obecné motivace útočníků příliš neliší. Osobní data, která je možné nějak zneužít (prodat nebo na jejich základě provozovatele předmětného zařízení vydírat), prostá zábava (představme si útočníka, který objevil přístup k takovému zařízení například u spolucestující/ho v prostředku hromadné dopravy) anebo i natolik sofistikované formy monetizace, jako je třeba ransomware.

Jednou z nejstarších známých zranitelností je přibližně 7 let stará zranitelnost ve vibračním zařízení vybaveném kamerou Svakom Siime Eye, které vytvářelo viditelný přístupový bod wifi s implicitním přístupovým heslem „88888888“. Výrobce nedostatek posléze odstranil. Problémů si všiml například technologický web Engadget.

Dalším známým případem je případ společnosti We-Vibe, která shromažďovala „provozní údaje“ z jí vyráběných zařízení, včetně doby, režimu a intenzity vibrací, bez vědomí uživatelů, kteří si tato zařízení koupili. V tomto případě jsou známy informace o podání žaloby uživatelkou a mimosoudním vyrovnání ve výši 4 milionů dolarů, jak popisoval před šesti roky třeba britský deník The Guardian.

Společnost Lovense je výrobcem celého poměrně širokého portfolia vibračních zařízení, která jsou ovladatelná pomocí své univerzální aplikace. Tato aplikace již umožňuje i být dále ovládána z jiného zařízení přes Internet. Zde již bylo díky zneužití zranitelnosti spočívající v umožnění spuštění tzv. cross-site scriptu, tedy spuštění podvrženého kódu nalézajícího se na útočníkově serveru, možné dosáhnout situace, kdy útočník předmětné zařízení přímo ovládá.

Výrobce zranitelnost posléze opravil, nicméně zatímco ve světě běžné výpočetní techniky problémy s XSS kulminovaly někdy v letech 2008–2009, u zařízení od společnosti Lovense byla zranitelnost objevena v roce 2017, tedy v době, kdy už byl zrovna tento typ zranitelnosti považován za cosi pozapomenutého z pradávné minulosti a dávno vyřešeného.

Uzamykatelný pás cudnosti

Ovšem případem, který lze považovat za skutečný milník, je kauza zařízení Cellmate od čínského výrobce Qiui. Jedná se o přístroj označitelný názvem „pás cudnosti“, umožňující uzamčení intimních partií svého uživatele. Odemčení je pak možné po stanovené době nebo na základě pokynu ze vzdáleného mobilního telefonu jiného uživatele. Předmětné zařízení navíc umožňuje svému nositeli uzamčení ztrpčovat pomocí elektrických výbojů.

Pro předmětný přístroj se posléze objevil ransomware, který požadoval platbu ve výši 0.02 BTC (té době cca 1000 USD) za odemčení. Je znám případ, kdy došlo ke zranění oběti tohoto druhu útoku v důsledku snahy o vysvobození za použití nářadí, v tomto případě se údajně jednalo o štípací kleště. Informace o množství případů, kdy útočník dosáhl zaplacení výkupného touto formou, pochopitelně nejsou známy. Kauzu rozebíral například server TechCrunch.

Z výše popsaných případů je také celkem zřejmé, že s rostoucími možnostmi ovládaného zařízení rostou i možnosti útočníků, jak předmětná zařízení zneužívat a jejich fantasii se samozřejmě meze nekladou. A také je evidentní, že pro konkrétního postiženého může být útok na takové zařízení horší než ransomwarem zaheslovaný disk s firemními daty nebo ztráta finančních prostředků z bankovního účtu.

A v neposlední řadě je evidentní, že činnost bezpečnostních týmů nemusí být v současné době omezena jen na klimatizované datové sály plné konvenčního hardware a že se stále objevují nové, nečekané formy kybernetických útoků, které musí specialisté na digitální bezpečnost řešit.