Bezpieczeństwo IoT – dlaczego warto na nie zwrócić uwagę?

Wszyscy dobrze wiemy, że zapalona świeca w nieodpowiednim miejscu może doprowadzić do pożaru. Podobnie jako władca sieci, nie zostawiaj urządzeń podłączonych do sieci bez nadzoru. W Internecie rzeczy (IoT / Internet of Things), wiele urządzeń posiada możliwość komunikacji ze światem zewnętrznym, na przykład w celu zdalnej kontroli. Ciekawym przykładem tego jak urządzenie podłączone do sieci bez nadzoru potrafi narobić dużo zamieszania jest mały termometr do akwarium. Niepozorny, ale połączony z infrastrukturą kasyna, doprowadzi do kosztownych strat.

Dla zainteresowanych niniejszy link opisuje dokładniej wspomniany incydent. Przed rekomendacjami i poradami, jakie rozwiązania można wdrożyć, warto najpierw poznać rodzaje ataków i zagrożeń.

Ataki na sieci Wi-Fi (w tym IoT)

Ataki dysocjacyjne polegają na wysyłaniu fałszywych ramek danych w celu rozłączenia klienta z punktem dostępu. Umożliwia przerywanie komunikacji lub przygotowanie gruntu pod kolejne ataki.
Ataki blokujące usługę (DoS) w Wi-Fi, które mają na celu uniemożliwienie działania sieci, na przykład przez zalewanie punktu dostępu ramkami asocjacyjnymi lub zakłócanie kanału radiowego.
Zakłócanie sygnału radiowego czyli w praktyce atakujący generuje silne sygnały radiowe na przykład przy użyciu SDR, które uniemożliwiają innym urządzeniom korzystanie z danego kanału.

Ataki asocjacyjne (Man-in-the-Middle)

Evil Twin to atak polegający na utworzeniu fałszywego punktu dostępu o tej samej nazwie (ESSID), adresie BSSID i metodzie szyfrowania co legalny AP, ale z silniejszym sygnałem. Klient łączy się z nim, myśląc, że to zaufana sieć.
Atak KARMA wykorzystuje automatyczne wyszukiwanie sieci przez klienta. Atakujący odpowiada na żądania sondujące i zmusza klienta do połączenia z fałszywym, otwartym punktem dostępu.
Known Beacons jest atakiem polegający na podszywaniu się pod popularne lub wcześniej używane przez klienta sieci (na przykład „Guest”, „FREE Wi-Fi”), co powoduje automatyczne połączenie klienta z fałszywym AP.

Ataki na szyfrowanie Wi-Fi

Łamanie WPA/WPA2 (PSK) czyli przechwycenie czteroetapowego uwierzytelnienia (handshake), a następnie próba odgadnięcia klucza metodą brute force.
Atak na PMKID atak na sieci WPA/WPA2 wykorzystujące identyfikator PMKID, który umożliwia łamanie hasła bez przechwytywania pełnego handshake.

Inne rodzaje ataków

Ataki na sieci LoRaWAN to atak odtworzeniowy (Replay) charakteryzuje się ponownym wysłaniem wcześniej przechwyconych poprawnych komunikatów. Może być skuteczny w określonych scenariuszach (na przykład reset liczników ramek w ABP).

Bit-flipping polega na modyfikacji pojedynczych bitów zaszyfrowanych danych aplikacyjnych bez ich deszyfrowania, co może prowadzić do zmiany znaczenia przesyłanych informacji.

Fałszowanie potwierdzeń (ACK spoofing) jest atakiem przy pomocy wysyłania sfałszowanych potwierdzeń w celu zablokowania usługi lub zakłócenia poprawnej komunikacji między węzłem a serwerem.

Denial of Service (DoS) w LPWAN to przeciążenie sieci lub urządzeń (np. LoRaWAN, Sigfox, NB-IoT), aby uniemożliwić obsługę poprawnych komunikatów.

Zagłuszanie (Jamming) to zakłócanie transmisji radiowej poprzez emisję sygnałów na tej samej częstotliwości, co skutecznie blokuje komunikację urządzeń.

Ponowna transmisja zmodyfikowanej ramki (Replay – zaawansowany) skupia się na ponownym nadawaniu przechwyconych i zmodyfikowanych ramek. Ten atak jest trudny do realizacji ze względu na mechanizmy szyfrowania i kontroli integralności.

Podsłuch (Eavesdropping) to atak związany z przechwytywaniem ruchu sieciowego w celu analizy komunikacji, pozyskania metadanych lub przygotowania kolejnych ataków.

Krótko poniżej zostały wspomniane regulacje wprowadzone przez Unie Europejską, które również mogą być podpowiedziami na co zwrócić uwagę w temacie bezpieczeństwa IoT.

EU Data Act to regulacja między innymi dotycząca urządzeń połączonych z Internetem czyli IoT, których dane są generowane w ogromnych ilościach. Użytkownikom tych urządzeń przysługuje prawo dostępu, przenoszenia i udostępniania danych, co wpływa na sposób projektowania i sprzedaży urządzeń IoT oraz platform analizujących te dane.

Dyrektywa NIS2 choć nie dotyczy konkretnie urządzeń IoT, obejmuje systemy i sieci krytyczne, które coraz częściej integrują urządzenia IoT (np. w energetyce, logistyce czy służbie zdrowia). Firmy, które operują takimi systemami, muszą uwzględniać bezpieczeństwo IoT w swoich procesach zarządzania ryzykiem cybernetycznym.

EU-RED (Radio Equipment Directive) dyrektywa wprowadza ustalenie aby urządzenia IoT komunikujące się bezprzewodowo (smart home, wearable, sensory) muszą od 1 sierpnia 2025 spełniać obowiązkowe wymagania bezpieczeństwa takie jak na przykład ochrona sieci, danych osobowych, prywatności i przeciwdziałanie nadużyciom przed wprowadzeniem na rynek UE.

EU-CRA (Cyber Resilience Act) regulacja ta z kolei obejmuje większość urządzeń IoT ale najbardziej producentów, którzy muszą analizować ryzyka, projektować bezpiecznie, udzielać aktualizacji i zgłaszać incydenty.

Ochrona IoT to proces ciągły, obejmujący sieć, użytkowników, urządzenia końcowe, chmurę oraz sposób zarządzania całością. Podstawą jest pełna widoczność i scentralizowane zarządzanie siecią. Bez wiedzy, jakie urządzenia są podłączone, gdzie się znajdują i w jaki sposób komunikują się z innymi zasobami, nie da się mówić o realnym bezpieczeństwie. W tym kontekście bardzo ważne jest zautomatyzowane rejestrowanie zasobów sprzętowych i programowych, które znacząco poprawia przejrzystość środowiska.
Warto zapamiętać, że urządzenia IoT powinny działać w wydzielonym segmencie, całkowicie odseparowanym od krytycznych systemów oraz danych organizacji. Dotyczy to również oddzielenia IoT od laptopów, komputerów stacjonarnych, tabletów i smartfonów, na których przechowywane są dane firmowe. Dzięki temu ewentualne naruszenie bezpieczeństwa jednego obszaru nie rozprzestrzeni się na całą infrastrukturę.

Niezwykle istotne jest także zabezpieczenie komunikacji. W praktyce oznacza to stosowanie takich mechanizmów jak prywatne APN (Access Point Name), VPN (wirtualna sieć prywatna), szyfrowanie transmisji oraz uwierzytelnianie urządzeń. W sieciach bezprzewodowych należy korzystać wyłącznie z szyfrowania WPA2 lub WPA3. Równocześnie trzeba pamiętać, że nawet najlepiej zabezpieczona sieć nie będzie bezpieczna, jeśli urządzenia końcowe użytkowników, takie jak smartfony, są podatne na infekcje malware. Z reminderem zainfekowany smartfon może stać się bramą do przejęcia kontroli nad podłączonymi do niego urządzeniami IoT.

Dlatego ogromną rolę odgrywa edukacja użytkowników. Świadomość zagrożeń i odpowiedzialne korzystanie z urządzeń są jednym z filarów bezpieczeństwa IoT. W praktyce oznacza to również wdrażanie podstawowych zasad higieny bezpieczeństwa: wyłączanie nieużywanych funkcji dostępu, zmianę domyślnych haseł, stosowanie silnych haseł oraz, tam gdzie to możliwe, uwierzytelniania dwuskładnikowego. Nie można pominąć monitorowania i ochrony urządzeń IoT. Sprzęt powinien być stale obserwowany, a ruch sieciowy filtrowany przez systemy zabezpieczające, takie jak firewalle. Zabezpieczenia muszą być regularnie weryfikowane i testowane, najlepiej przez specjalistów. Równie ważne są aktualizacje oprogramowania producenci, po wykryciu luk, powinni dostarczać poprawki, a organizacja musi je konsekwentnie wdrażać.
Bezpieczeństwo zaczyna się jeszcze przed zakupem urządzenia. Przed wdrożeniem IoT należy przeanalizować ryzyko, sprawdzić dostępne mechanizmy zabezpieczeń i odpowiedzieć sobie na pytanie, czy dane urządzenie jest rzeczywiście potrzebne. Konieczna jest także weryfikacja producenta jego reputacji, podejścia do bezpieczeństwa oraz tego, jakie dane urządzenie gromadzi i w jaki sposób są one przechowywane, wykorzystywane i udostępniane.

Całość powinna być uzupełniona o regularne audyty bezpieczeństwa, najlepiej prowadzone przez zewnętrznych ekspertów, którzy obiektywnie ocenią poziom ochrony i wskażą obszary do poprawy. Dopełnieniem tego podejścia są fizyczne zabezpieczenia urządzeń, właściwa autoryzacja i identyfikacja, ochrona komunikacji między urządzeniami, bezpieczeństwo chmury oraz spójny, komplementarny system zarządzania bezpieczeństwem IoT.

1. Widoczność i zarządzanie
– Zapewnienie pełnej widoczności wszystkich urządzeń IoT w sieci
– Centralne zarządzanie całą infrastrukturą
– Zautomatyzowane rejestrowanie zasobów sprzętowych i programowych

2. Segmentacja sieci
– Wydzielenie osobnego segmentu sieci dla urządzeń IoT
– Odseparowanie IoT od systemów krytycznych i danych wrażliwych
– Odseparowanie IoT od laptopów, komputerów, tabletów i smartfonów firmowych

3. Zabezpieczenie komunikacji
– Stosowanie szyfrowania komunikacji
– Wykorzystanie VPN lub prywatnych APN (jeśli dotyczy)
– Uwierzytelnianie urządzeń IoT
– Zastosowanie WPA2 lub WPA3 w sieciach bezprzewodowych

4. Konfiguracja urządzeń
– Zmiana domyślnych haseł na silne
– Wyłączenie nieużywanych funkcji i interfejsów dostępu
– Włączenie uwierzytelniania dwuskładnikowego (jeśli dostępne)

5. Aktualizacje i utrzymanie
– Regularne aktualizowanie firmware i oprogramowania urządzeń
– Monitorowanie informacji o lukach bezpieczeństwa od producentów

6. Monitorowanie i ochrona
– Stałe monitorowanie pracy urządzeń IoT
– Zastosowanie firewalli i systemów zabezpieczających
– Regularne testowanie i weryfikacja zabezpieczeń

7. Urządzenia użytkowników
– Zabezpieczenie smartfonów i innych urządzeń końcowych użytkowników
– Ograniczenie dostępu IoT z niezabezpieczonych urządzeń
– Edukacja użytkowników w zakresie zagrożeń IoT

8. Etap zakupu i wyboru sprzętu
– Analiza ryzyka przed zakupem urządzenia IoT
– Weryfikacja producenta i jego reputacji w zakresie bezpieczeństwa
– Sprawdzenie, jakie dane są zbierane i jak są przetwarzane

9. Audyty i kontrola
– Regularne audyty bezpieczeństwa
– Współpraca z zewnętrznymi ekspertami ds. cyberbezpieczeństwa

10. Bezpieczeństwo systemowe
– Fizyczne zabezpieczenie urządzeń IoT
– Właściwa autoryzacja i identyfikacja
– Zabezpieczenie komunikacji między urządzeniami
– Zabezpieczenie środowiska chmurowego
– Spójny system zarządzania bezpieczeństwem IoT

Na sam koniec warto wspomnieć o OWASP IoT Top 10, czyli liście dziesięciu najważniejszych aspektów na jakie warto zwrócić uwagę w trakcie budowania, wdrażania i zarządzania systemami IoT.

Warto bowiem pamiętać, że „inteligentne” przedmioty, pozostawione bez właściwej kontroli, mogą stać się niepostrzeżenie wektorem ataku. Nie zawsze zagrożenie przychodzi przez główne bramy i dobrze strzeżone skarbce czasem zaczyna się od drobnych, pozornie nieistotnych elementów. Tak jak mądry władca pilnuje nie tylko murów i bogactw, ale również małych świec tlących się w kątach zamku, tak odpowiedzialne podejście do IoT wymaga dostrzegania potencjalnych zagrożeń tam, gdzie na pierwszy rzut oka wydają się one niegroźne. To właśnie te niewielkie iskry, pozostawione bez nadzoru, najczęściej stają się początkiem pożaru.

Bezpieczeństwo IoT – dlaczego warto na nie zwrócić uwagę?

Ataki na sieci Wi-Fi (w tym IoT)

Ataki asocjacyjne (Man-in-the-Middle)

Ataki na szyfrowanie Wi-Fi

Inne rodzaje ataków

Krótko poniżej zostały wspomniane regulacje wprowadzone przez Unie Europejską, które również mogą być podpowiedziami na co zwrócić uwagę w temacie bezpieczeństwa IoT.

Alina Kobyłecka

Zostaw komentarz
Anuluj pisanie odpowiedzi

Zapisz się

Zaloguj

Zapomniałem hasło

Ataki na sieci Wi-Fi (w tym IoT)

Ataki asocjacyjne (Man-in-the-Middle)

Ataki na szyfrowanie Wi-Fi

Inne rodzaje ataków

Krótko poniżej zostały wspomniane regulacje wprowadzone przez Unie Europejską, które również mogą być podpowiedziami na co zwrócić uwagę w temacie bezpieczeństwa IoT.

Alina Kobyłecka

Powiązane posty

WEP, WPA czy WPA2? A może lepiej wybrać WPA3?

AI w cyberbezpieczeństwie: co każdy administrator sieci powinien wiedzieć

Jakie są najważniejsze zmiany do krajowego systemu cyberbezpieczeństwa?

Sejm uchwalił nowelizację ustawy o KSC – wdrożenie dyrektywy NIS2

Zostaw komentarzAnuluj pisanie odpowiedzi

Ustawienia prywatności

Zostaw komentarz
Anuluj pisanie odpowiedzi