Wielka Brytania boi się urządzeń IoT. Ma dobre powody

Z raportu opublikowanego na witrynie rządu Wielkiej Brytanii wynika, że wiekowe już urządzenia IoT (Internet of Things), z których korzystają liczne biznesy na terenie całego państwa, stanowią poważne zagrożenie dla ich bezpieczeństwa. Za przygotowanie omawianego dokumentu odpowiada specjalizująca się w zagadnieniach z zakresu cyberbezpieczeństwa organizacja NCC Group, a przeprowadzenie badań zlecili brytyjscy politycy,

Analitycy z NCC Group przebadali wszelkiej maści sprzęt wykorzystywany po dziś dzień przez przedsiębiorstwa funkcjonujące na terenie Wielkiej Brytanii i doszli do wniosku, że wiele z nich jest na tyle dziurawa, że bez większego problemu można za ich pośrednictwem przeprowadzić atak i wymusić m.in. zdalne wykonanie kodu. W ten sposób osoby o niecnych zamiar mogłyby uzyskać dostęp nie tylko do danego urządzenia, ale w skrajnych przypadkach nawet i do innych maszyn działających w obrębie tej samej sieci.

Przeanalizowane zostały m.in. drukarki, łączące się z Internetem telefony, ale także systemy rezerwacji sal oraz te umożliwiające wchodzenie i wychodzenie z budynków. W skrócie – większość zdobyczy technologicznych, z jakimi na co dzień obcują pracownicy korporacji.

Co ciekawe, sporej części z potencjalnych niedogodności da się uniknąć za sprawą aktualizacji oprogramowania. Wiele urządzeń działa na kilkunastoletnim sofcie, a ich właściciele nie dają sobie sprawy z ryzyka, na jakie się narażają. Jako rekordzistę w tej dziedzinie badacze wymienili sprzęt, który nadal korzysta z mającego 15 lat na karku bootloadera.

Podkreślono również, że w większości przypadków atakujący, który uzyska fizyczny dostęp do wrażliwej maszyny, jest w stanie zainstalować na niej trwałego i trudnego do wychwycenia backdoora. W dbaniu o bezpieczeństwo zdecydowanie nie pomaga także fakt, że większość przetestowanych przez NCC Group urządzeń uruchamiała każdy proces z uprawnieniami użytkownika "root". Oznacza to, że wścibski haker byłby w stanie potencjalnie przejąć pełną kontrolę nad takim sprzęt i uzyskać do niego nieograniczony dostęp. Co więcej, ogrom ze znalezionych w toku śledztwa błędów wynikał bezpośrednio z nieodpowiedniej konfiguracji i zabezpieczenia aplikacji, usług lub ich poszczególnych funkcji.

Nie powinno więc dziwić, że rządzący Wielką Brytanią ludzie nie są zadowoleni z odkryć badaczy z wynajętej grupy. Jak podkreślono w szczegółach nt. raportu i związanego z nim przedsięwzięcia:

Brytyjczycy zobowiązali się do rozwiązania tego problemu, a wynajęcie NCC Group do zebrania danych na jego temat było pierwszym krokiem na tej drodze.

Z pełnym, 39-stronicowym raportem pt. Enterprise connected device vulnerability assessment (pol. Ocena podatności urządzeń podłączonych do sieci w przedsiębiorstwie) możemy zapoznać się na stronie brytyjskiego rządu.