Daiktų internetas (IoT) jau užvaldė namus, biurus, pramonės pastatus. Namuose važinėja nuotoliu valdomi robotai-dulkių siurbliai, galintys filmuoti patalpas, virtuvėje darbuojasi nuotoliu valdomos karšto oro gruzdintuvės, namų aplinką stebi nuotoliu valdomos kameros, net ant stalo stovintis šviestuvas gali būti valdomas nuotoliu, nors tai gal nėra patogu. Pastatų valdymo sistemos duomenis gauna iš nuotolių veikiančių jutiklių, šildymo, vėdinimo, oro kondicionavimo (ŠVOK) sistemų, ant stogų įrengtos saulės elektrinės valdomos ir prižiūrimos nuotoliu. Tačiau greitas daiktų interneto įrenginių plėtros tempas dažnai aplenkė saugumą, todėl šie įrenginiai tapo patrauklia taikiniu kibernetiniams nusikaltėliams.
Kodėl IoT įrenginiai lengvai pažeidžiami?
Priežasčių, kodėl IoT įrenginiai pažeidžiami, yra daug. Pirma, naudojami numatytieji prisijungimo duomenys arba gamykliniai prisijungimai, t. y. vartotojo vardą ir slaptažodį iš anksto nustato gamintojas ir jis nekeičiamas, todėl kibernetinių nusikaltėlių naudojami automatiniai skeneriai ir robotai labai greitai pasiekia tūkstančius įrenginių.
Antra, neatnaujinama programinė įranga.
Neatnaujinus programinės įrangos, kibernetiniams nusikaltėliams žinomos saugumo spragos lieka neištaisytos.
Trečia, silpnas šifravimas ir neapsaugoti ryšio protokolai. Kai kurie įrenginiai nenaudoja TLS saugumo protokolo, užtikrinančio, kad įrenginių (pvz., kompiuterio – serverio – IoT įrenginio) siunčiami duomenys būtų užšifruoti ir apsaugoti, kad įsilaužėliai jų neperimtų ar nepakeistų; vis dar naudojami senesni, jau nerekomenduotini ir saugumo neužtikrinantys protokolai.
Šifravimui naudojami seni algoritmai, kurie saugūs buvo prieš 10–20 metų, bet dabartiniais kur kas galingesnių kompiuterių laikais, juos galima nulaužti; šifravimo raktai įrenginio programinėje įrangoje neretai saugomi atvirai.
Ketvirta, didelę įtaką kibernetiniams saugumui turi resursų ribotumas. Nedideli įrenginiai paprastai turi ribotą atmintį, nedidelę skaičiavimo galią, todėl siekdami sutaupyti, išlaikyti patrauklią kainą, gamintojai kartais atsisako papildomų resursų reikalaujančių kibernetinės saugos sprendimų.
Penkta, įrenginio programos kode įrašytas raktas, kurio negalima pakeisti. Kai visi vieno modelio įrenginiai naudoja tą patį raktą, nulaužus vieno įrenginio raktą, nesunku gauti prieigą prie kitų to modelio įrenginių – viena spraga, daugybė aukų.
Problemų kelia ir paslėpti servisai, kurie nėra visiškai išjungti, veikia fone – jei jie nėra gerai apsaugoti, įsilaužėlis gali prisijungti ir valdyti įrenginį. Nesaugios API užklausos (kai programa prašo kitos programos arba įrenginio atlikti veiksmą arba pateikti duomenis), taip pat gali suteikti prieigą prie valdymo.
Šešta, standartų ir reguliavimo spragos: daiktų interneto rinka labai įvairi – kai trūksta privalomų saugumo reikalavimų, kai kurie gamintojai tiesiog taupo neinvestuodami į saugumą.
Septinta, nepakankama tinklo segmentacija ir monitoringas. Tinklo segmentacija padalija tinklą į kelias atskiras dalis, kad vieno segmento įrenginiai negautų tiesioginės prieigos prie visų kitų tinklo įrenginių, nes jei visi įrenginiai ir svarbios sistemos yra viename segmente, vienas pažeidžiamas įrenginys kibernetiniams nusikaltėliams gali suteikti prieigą prie visų tinkle esančių įrenginių.
Aštunta, palaikymo trūkumas, kai gamintojas po kelerių metų nutraukia įrenginio programinės įrangos atnaujinimus ir įrenginys tampa pažeidžiamesnis.
Devinta, tiesioginė fizinė prieiga prie įrenginio. Jei įrenginys fiziškai pasiekiamas (pvz., viešose vietose), jį galima modifikuoti, pakeisti jo komponentus arba programinę įrangą, išgauti joje saugomus raktus. Taip pat yra rizika, kad įrenginio komponentai gali būti pakeisti, užkrėsti dar gaminant, transportuojant ar montuojant.
„Mirai“ interneto ataka
2016 m. kenkėjiška programa „Mirai“ užkrėtė tūkstančius nesaugių IP kamerų, maršrutizatorių ir skaitmeninių vaizdo įrašymo įrenginių. Atakos taikiniu tapo JAV bendrovė „Dyn“ (šiuo metu „Oracle“ padalinys „Oracle Dyn“, kurios pagrindinė veikla – DNS paslaugos). Tuo metu „Dyn“ buvo viena svarbiausių DNS paslaugų teikėjų pasaulyje.
Kai įvedame svetainės adresą, kompiuteris pirmiausia kreipiasi į DNS serverį, kad sužinotų, kur svetainė „gyvena“, todėl, jei DNS paslauga sutrinka, naršyklė nebegali pasiekti svetainių, net jei pačios svetainės ir veikia.
Kadangi „Dyn“ buvo atsakinga už daugelio stambių įmonių domenų sistemos (DNS) paslaugas, prieš ją įvykdyta DDoS ataka paveikė „Twitter“, „Netflix“, „Airbnb“, „Spotify“, „PayPal“, „Reddit“, CNN ir kt. bendroves, sutrikdė prieigą prie daugybės populiarių svetainių.
Atakos dieną milijonai vartotojų tiesiog negalėjo prisijungti prie daugybės svetainių. Ataka parodė, kokie pavojingi gali būti nesaugūs IoT įrenginiai, kai kibernetiniai nusikaltėliai juos naudoja koordinuotai.
2016 m. rugsėjį kenkėjišką „Mirai“ programą sukūręs programišius paskelbė jos kodą, taip leisdamas kitiems kibernetiniams nusikaltėliams naudojant „Mirai“ surengti savo atakas.
„Mirai“ internete ieškojo nesaugių, tik gamykliniu naudotojo vardu ir slaptažodžiu apsaugotų IoT įrenginių. Spalį „Mirai“ įsilaužė į Kinijos įmonės „XiongMai Technologies“ pagamintus skaitmeninio įrašymo įrenginius ir IP kameras bei minėtos Kinijos bendrovės komponentus naudojančius kitų gamintojų įrenginius.
„Šių įrenginių problema buvo ta, kad vartotojas negalėjo pakeisti slaptažodžio, buvo įrašytas programinėje įrangoje, nesuteikiant įrankių, galinčių jį pakeisti“, – iš karto po atakos sakė apie kibernetines grėsmes ir atakas informaciją renkančios ir apdorojančios bendrovės „Flashpoint“ atstovas Zachas Wikholmas. „Mirai“ užkrėtė tūkstančius įrenginių, kurie virto „zombių“ armija. Užkrėsti įrenginiai tiesiog siunčia milžinišką užklausų skaičių į taikinį, kad jis nebepajėgia atsakyti.
Visas šis srautas koordinuotai buvo nukreiptas į „Dyn“ paslaugomis besinaudojančių bendrovių svetaines, kurios, gaudamos milžiniškus DNS užklausų srautus, tapo nebepasiekiamos, nors realiai veikė. Praktiškai buvo išnaudoti visi „Dyn“ serverių ištekliai.
Kenkėjiška programa „Mirai“ panaudojo daugybę nesaugių IoT įrenginių ir tapo klasikiniu pavyzdžiu, kaip nesaugūs įrenginiai gali turėti globalų poveikį.
„Jeep Cherokee“ kibernetinė ataka – grėsmingas įspėjimas
2015 m. vasarą technologijų pasaulį sukrėtė žinia, privertusi automobilių pramonę rimtai susimąstyti apie šiuolaikinių automobilių kibernetinį saugumą. Du kibernetinio saugumo tyrėjai Charlie᾽is Milleris ir Chrisas Valasekas parodė, kaip galima nuotoliniu būdu įsilaužti į „Jeep Cherokee“ automobilį ir perimti tam tikrų funkcijų kontrolę. Šis incidentas visame pasaulyje sukėlė diskusijų apie šiuolaikinių automobilių saugumą.
Tyrėjai sugebėjo išnaudoti koncerno „Fiat Chrysler Automobiles“ (šiuo metu „Stelantis“) sukurtos „Uconnect“ pramogų ir navigacijos sistemos pažeidžiamumą.
Vairuotojams prieigą prie radijo, navigacijos ir kitų funkcijų suteikianti „Uconnect“ sistema turėjo rimtą saugumo spragą – prijungta prie mobiliojo ryšio tinklo, ji neturėjo pakankamos apsaugos nuo išorinių atakų.
Įsilaužimo bandymas buvo atliktas viename JAV greitkelyje: Chrisas Valasekas vairavo „Jeep Cherokee“, o už 16 kilometrų esantis Charlie᾽is Milleris nešiojamuoju kompiuteriu nuotoliniu būdu įsibrovė į „Jeep Cherokee“ sistemas.
Jis sugebėjo valdyti oro kondicionavimo sistemą, radiją, valytuvus, net išjungti keliu važiuojančio automobilio variklį. Dar blogiau – abu saugumo specialistai parodė, kad gali kontroliuoti ir stabdžius bei vairą.
FCA reakcija į šį eksperimentą buvo tinkama: koncernas JAV atšaukė maždaug 1,4 mln. automobilių, sukūrė ir įdiegė šį pažeidžiamumą pašalinantį programinės įrangos atnaujinimą. Tai buvo vienas pirmųjų atvejų, kai automobilių gamintojas masiškai atšaukė savo automobilius dėl kibernetinio saugumo problemos, o ne dėl mechaninių defektų.
Šis incidentas taip pat paskatino JAV nacionalinę greitkelių eismo saugumo administraciją (NHTSA) pradėti tyrimą ir sustiprinti automobilių kibernetinio saugumo reikalavimus. Buvo inicijuotos diskusijos apie būtinybę sukurti standartizuotus, automobilių sistemoms valdyti skirtus saugumo protokolus.
„Jeep Cherokee“ ataka atskleidė nemalonę tiesą: modernūs automobiliai iš esmės tapo kompiuteriais ant ratų ir kuo jie išmanesni, kuo labiau susieti su internetu ir nuo jo priklausomi, tuo didesnė kibernetinių atakų grėsmė.
Šiandien, praėjus jau 10 metų po šio įvykio, automobilių kibernetinis saugumas vis dar išlieka aktualia tema. „Jeep Cherokee“ atakos pamokos aiškiai rodo, kad technologinė pažanga turi eiti koja kojon su saugumu.
Įsilaužimas į kazino per… akvariumo termoreguliatorių
Ši istorija buvo pirmą kartą paviešinta kibernetinio saugumo įmonės „Darktrace“ atstovų 2017–2018 m. Aprašydama atvejį, bendrovė tik nurodė, kad tai nutiko viename Šiaurės Amerikos kazino – konfidencialumo sutartis su klientu neleido atskleisti konkretaus pavadinimo.
Nors kazino pavadinimas lieka paslaptis, pats incidentas plačiai cituojamas kibernetinio saugumo literatūroje, kaip klasikinis IoT įrenginių saugumo pažeidžiamumo pavyzdys.
Ši istorija skamba tarsi būtų Holivudo filmo scenarijus, nes įsilaužėliai įsibrauti į Šiaurės Amerikos kazino tinklą ir pavogti svarbius duomenis sugebėjo pasinaudoję… akvariumo temperatūros reguliatoriumi.
Kazino patalpose buvo įrengtas prabangus akvariumas su išmaniąja valdymo sistema, stebinčia vandens temperatūrą, druskingumą ir kitus rodiklius. Išmanusis akvariumo termoreguliatorius buvo prijungtas prie kazino vidinio tinklo, kad darbuotojai nuotoliniu būdu galėtų stebėti ir valdyti akvariumo ekosistemą. Akvariumo įrenginys neturėjo tinkamų saugumo priemonių – silpni slaptažodžiai, neužšifruotas duomenų perdavimas, nebuvo apsaugos nuo neteisėtos prieigos.
Pasinaudoję šiuo termoreguliatoriumi, įsilaužėliai galiausiai pasiekė duomenų bazę su jautria informacija ir perkėlė duomenis į Suomijoje esančius serverius. Nors nei tikslus nutekintos informacijos kiekis, nei pobūdis nebuvo viešai atskleisti, šis incidentas parodė, kaip, atrodytų, paprastas ir nereikšmingas įrenginys gali tapti rimta saugumo spraga ir didele grėsme.
Atvejis atskleidė opią problemą: įmonės dažnai nekreipia dėmesio į tokius paprastus įrenginius, kaip termometrai, šviestuvai, spausdintuvai ar išmanieji virtuvės įrenginiai, tarsi jie visiškai nekeltų kibernetinių saugumo grėsmių, o IT komandos sutelkia dėmesį į serverių, darbo stočių ir kritinės infrastruktūros saugą, bet paprasčiausius IoT įrenginius palieka be priežiūros.
Problema dar labiau aštrėja ir dėl to, kad daugelis daiktų interneto įrenginių gamintojų saugumo nelaiko prioritetu, juolab kad saugumo sprendimai didina įrenginio kainą. Programinė įranga retai atnaujinama, dažnas įrenginys net neturi bazinių saugumo funkcijų. Kai tokie įrenginiai prijungiami prie įmonių tinklų, jie tampa lengvais kibernetinių nusikaltėlių taikiniais.
Po šio incidento kibernetinio saugumo specialistai išskyrė keletą svarbių aspektų. Pirma, visi prie tinklo prijungti įrenginiai – nesvarbu, ar tai serveris ar akvariumo termometras – turi būti vertinami kaip galimas atakos taikinys, kaip potenciali saugumo rizika. Antra, būtina tinklo segmentacija: IoT įrenginiai turėtų veikti atskirame tinkle, t. y. būti atskirti nuo kritinių sistemų tinklo.
Trečia, įmonės turi atlikti išsamų visų prijungtų įrenginių auditą. Ketvirta, visi IoT įrenginiai turi turėti stiprius, unikalius, periodiškai atnaujinamus slaptažodžius.
Ši istorija taip pat perspėja, kad šiuolaikiniame skaitmeniniame pasaulyje saugumas yra tiek stiprus, kiek stipri yra silpniausia tinklo grandis, nes bet kuris įrenginys gali tapti kibernetinių nusikaltėlių prieigos tašku.
„Verkada“ įsilaužimas: perimta net 150 000 stebėjimo kamerų
2021 m. nuo kibernetinių nusikaltėlių nukentėjo Silicio slėnio kibernetinio saugumo startuolis „Verkada“, teikiantis debesijoje veikiančias saugos kamerų paslaugas.
Kibernetiniams nusikaltėliams pavyko gauti prieigą prie daugiau nei 150 000 įmonės kamerų, įskaitant kameras „Tesla“ gamyklose ir sandėliuose, „Cloudflare“ biuruose, „Equinox“ sporto klubuose, ligoninėse, kalėjimuose, mokyklose, policijos nuovadose ir pačios „Verkada“ biuruose.
Vienas šią kibernetinę ataką atlikusios tarptautinės įsilaužėlių grupės narių Tillie Kottmannas teigė, kad įsilaužimu buvo siekta parodyti, kaip lengva įsilaužti į stebėjimo kameras, kurios šiais laikais paplitusios visur, ir kokių grėsmių kelia masinis stebėjimas.
Pasak įsilaužėlio, norėta atkreipti dėmesį ir į privatumo problemas. Įsilaužėliai teigė, kad be tiesioginių kamerų transliacijų, kurias jie surengė internete, jie turėjo prieigą prie visų „Verkada“ klientų vaizdo įrašų archyvo.
Įsilaužimas buvo gana primityvus: programišiams pavyko gauti „Super admin“ lygio prieigą prie „Verkada“ sistemos, nes vartotojo vardą ir slaptažodį, jie tiesiog… surado internete. Taip jie galėjo prisijungti prie visos įmonės tinklo, įskaitant root prieigą prie pačių kamerų, o tai savo ruožtu leido grupei prisijungti prie kai kurių „Verkada“ klientų vidinių tinklų, nes turint tokią prieigą buvo galima apeiti apribojimus, pakeisti sistemos elgesį, paleisti bet kokią komandą. Kitaip sakant, visiškas valdymas.
„Verkada“ didžiavosi savo paslaugomis, teigdama, kad saugumas bus „toks pat stiprus ir modernus kaip organizacijos, kurias mes saugome“.
Prie bendrovės serverių prijungtos kameros turėjo patogią internetinę sąsają, įmonės galėjo stebėti savo kamerų transliuojamus vaizdus, be to, bendrovė siūlė ir veido atpažinimo programinę įrangą. Sužinojusi apie pažeidimą „Verkada“ reagavo greitai: užblokavo visas neautorizuotas prieigas, pranešė apie incidentą teisėsaugos institucijoms, informavo klientus, pradėjo išsamų vidinį saugumo auditą ir, žinoma, pažadėjo sustiprinti saugumo priemones.
Tačiau žala reputacijai jau buvo padaryta. Įmonės klientai kėlė paprastą klausimą: kaip saugumo paslaugas teikianti bendrovė galėjo „Super admin“ prisijungimus palikti prieinamus internete?
„Verkada“ incidentas pabrėžė keletą svarbių kibernetinio saugumo principų: „Super admin“ paskyros turi turėti kelių lygių autentifikaciją ir būti griežtai kontroliuojamos. Jokie prisijungimo duomenys negali būti viešai prieinami.
Atskleidė ir debesijos paslaugų riziką: kai dešimtys tūkstančių kamerų prijungtos prie centralizuotos debesijos platformos, užgrobti įrenginiai gali sukelti katastrofiškų pasekmių. Be to, buvo iškeltas privatumo klausimas ir masinio stebėjimo problema: jei įsilaužėliai gali taip lengvai pasiekti tokį milžinišką stebėjimo tinklą, kokios garantijos, kad to nedarys slaptosios tarnybos, priešiškų valstybių vyriausybės?
Šis įvykis tapo svarbia pamoka ne tik „Verkada“ bendrovei, bet ir visam stebėjimo kamerų sektoriui.
Milžinas „Target“ nukentėjo per nedidelę šildymo, vėdinimo, oro kondicionavimo įranga prekiaujančią bendrovę
2013 m. gruodį iš vieno didžiausių JAV mažmeninės prekybos tinklų „Target“ kibernetiniai įsilaužėliai pavogė daugiau nei 40 mln. kredito ir debeto kortelių duomenis bei 70 mln. klientų asmeninę informaciją. Labiausiai šokiravo tai, kad į „Target“ sistemas įsilaužėliai pateko pasinaudoję nedidele Pensilvanijos valstijoje įsikūrusia šildymo, vėdinimo ir oro kondicionavimo įranga prekiaujančia įmone „Fazio Mechanical Services“.
Apie 100 darbuotojų turinti įmonė teikė šildymo ir vėdinimo sistemų priežiūros paslaugas keliems „Target“ prekybos centrams. Kad galėtų atlikti tam tikrus darbus: pateikti sąskaitas, valdyti sutartis, stebėti įrangos darbą, bendrovė turėjo prieigą prie „Target“ tinklo.
2013 m. lapkritį kibernetiniai nusikaltėliai panaudojo vieną dažniausių ir pavojingiausių kibernetinių atakų rūšį – suklastotą elektroninį laišką. Mažoje įmonėje nebuvo sudėtingų kibernetinio saugumo priemonių, IT specialistų. Laiškas buvo atidarytas, kibernetiniai nusikaltėliai lengvai įdiegė kenkėjišką programinę įrangą ir pavogė „Fazio“ prisijungimo prie „Target“ tinklo duomenis.
Į „Target“ tinklą jie prisijungė prieš pat Padėkos dieną, per patį apsipirkimo JAV bumą.
Patekę į „Target“ sistemą, kasų terminaluose įdiegė kenkėjišką programą „BlackPOS“, nutekinančią mokėjimo kortelių duomenis tiesiogiai iš kortelių skaitytuvų mokėjimo metu.
Beveik tris savaites duomenys buvo renkami iš daugiau nei 1700 „Target“ parduotuvių. Informacija buvo siunčiama į kibernetinių nusikaltėlių kontroliuojamus serverius Rusijoje. Paradoksalu, bet „Target“ turėjo įdiegusi pažangią saugumo sistemą, kuri aptiko įtartiną veiklą ir net išsiuntė įspėjimus.
Tačiau šie įspėjimai nebuvo tinkamai įvertinti, kenkėjiška veikla nebuvo laiku užkardyta. Pažeidimas buvo viešai atskleistas tik po to, kai JAV nacionalinio saugumo departamentas ir bankai užfiksavo neįprastą sukčiavimo kortelėmis aktyvumą.
Pasekmės buvo katastrofiškos: bendra nuostolių suma buvo didesnė nei 200 mln. JAV dolerių, 10 proc. krito „Targer“ akcijų kaina, pasitikėjimas prekybos tinklu smarkiai smuko.
„Target“ incidentas atskleidė svarbias su tiekėjais susijusias saugumo spragas: organizacijos dažnai skiria daug dėmesio savo vidiniam saugumui, bet nepakankamai kontroliuoja savo tiekėjų ar aptarnaujančių įmonių saugumo lygį. Įsilaužėliai tai gerai žino ir tikslingai ieško silpniausių grandžių.
Kelis „Target“ prekybos centrus aptarnaujanti bendrovė „Fazio“, „Target“ tinkle turėjo kur kas daugiau prieigos, nei reikalavo jų darbas: šildymo ir vėdinimo sistemos įrangą prižiūrinčiai bendrovei tikrai nereikia prieigos prie kasų sistemų.
„Target“ neatskyrė tinklo į segmentus, ir kas ypač svarbu, nebuvo tinkamai sureaguota į saugumo sistemos įspėjimus – neužtenka turėti gerus saugumo įrankius, reikia ir tinkamai su jais dirbti.
„Triton“ – ataka prieš automatinę saugos sistemą
Automatinė saugos sistema (angl. Safety Instrumented System, SIS) reaguoja į pavojingas situacijas pastate ir automatiškai inicijuoja atitinkamus veiksmus, kad būtų išvengta avarijos, įrangos pažeidimo ar žmonių aukų.
Tai įvairius procesus stebinčios „saugos smegenys“, kurios, pastebėjusios pavojų, dar prieš įvykstant nelaimei išjungia įrenginius. SIS sistemos diegiamos naftos, chemijos, dujų perdirbimo gamyklose, energijos gamybos ir tiekimo objektuose, pastatuose, kuriuose reikia užtikrinti, kad, įvykus kažkokiam įvykiui, automatiškai būtų išjungta tam tikra įranga.
Dideliuose pastatuose (pvz., ligoninėse, oro uostuose, gamyklose, biurų kompleksuose) automatinės saugos sistemos SIS funkcijos gali būti integruotos pastato valdymo sistemoje (BMS). Tai gali būti automatinis dujų tiekimo išjungimas, kai aptinkamas nuotėkis, ventiliacijos stabdymas, kai jutikliai užfiksuoją dūmus, lifto sustabdymas ar nukreipimas į atitinkamą aukštą kilus gaisrui, pagalbinio energijos šaltinio įjungimas nutrūkus elektros tiekimui.
2017 m. rugpjūtį įvyko viena pavojingiausių pramoninės infrastruktūros kibernetinių atakų. Įsilaužėliai pateko į Saudo Arabijos naftos chemijos gamyklos sistemas ir bandė pakeisti automatinės saugos sistemos SIS valdiklių darbą. Ataka žinoma kaip „Triton“ arba „Trisis“ ir tai buvo bene pirmasis bandymas panaudoti kenkėjišką programinę įrangą taip, kad ji sukeltų tiesioginį pavojų žmonių gyvybėms.
SIS yra paskutinė gynybos linija – jei kažkas gamykloje nutinka, būtent šie valdikliai automatiškai stabdo procesus, uždaro degiąsias ar sprogiąsias medžiagas tiekiančių sistemų vožtuvus, išjungia įrangą, kad būtų išvengta sprogimų, gaisrų ar toksiškų medžiagų išsiskyrimo. Kibernetinių nusikaltėlių taikiniu pasirinktoje Saudo Arabijos įmonėje buvo naudojama bendrovės „Schneider Electric“ sistema „Triconex SIS“ – viena patikimiausių pramonėje. Kenkėjiška programa „Triton“ buvo specialiai sukurta šiai sistemai atakuoti.
Tiksliai nežinoma, kaip užpuolikai pateko į įmonės tinklą, greičiausiai panaudojo standartines įsilaužimo technikas – išsiuntinėjo darbuotojams suklastotus el. laiškus arba išnaudojo pažeidžiamą nuotoliniu būdu valdomą įrangą. Įmonės tinkle įsilaužėliai praleido mėnesius, tyrinėjo infrastruktūrą ir galiausiai pasiekė inžinierių kompiuterius, turėjusius prieigą prie „Triconex“ valdiklių.
Per šias darbo stotis buvo įdiegta kenkėjiška „Triton“ programa, kuri turėjo modifikuoti valdiklių programinę įrangą, kad ji leistų kibernetiniams nusikaltėliams išjungti automatinės saugos sistemos mechanizmus, neleisti valdikliams stabdyti pavojingų procesų.
Paradoksalu, bet užpuolikus išdavė jų pačių klaidos. Bandant modifikuotą programinę „Triconex“ valdiklių įrangą, sistema aptiko kažką neįprasto ir automatiškai įjungė SIS sistemą, ir gamyba netikėtai buvo sustabdyta.
Negalėdami paaiškinti, kodėl saugumo sistema suveikė, inžinieriai pradėjo tyrimą. Buvo pasitelkti kibernetinio saugumo ekspertai iš „Dragos“ ir „FireEye“ bendrovių, kurie ir aptiko kenkėjišką „Triton“ programą.
Kibernetinio saugumo tyrėjų ir JAV žvalgybos agentūrų nuomone, už šios atakos nugaros stovėjo Rusijos vyriausybė, konkrečiai – Maskvoje veikiantis Centrinis chemijos ir mechanikos mokslinių tyrimų institutas. Tai rodo, kad kenkėjiška operacija buvo valstybinio lygio ir turėjo aiškų tikslą: išbandyti galimybes atakuoti ypač svarbią infrastruktūrą, sukurti palankias sąlygas galimam sabotažui, sukelti chaosą konkuruojančioje naftos rinkoje.
Svarbiausia šios atakos pamoka: net kritinės pramoninės sistemos nebegali būti traktuojamos kaip visiškai apsaugotos nuo kibernetinių grėsmių. „Triton“ parodė, kad priešiškos valstybės gali atakuoti pačius svarbiausius infrastruktūros objektus. Ši ataka gerokai pakeitė požiūrį į pramonės kibernetinį saugumą.
Oldsmaro vandens valymo įrenginio ataka: kritinė infrastruktūra per plauką nuo katastrofos
2021 m. vasarį mažame, apie 15 000 gyventojų turinčiame Oldsmaro miestelyje Floridoje vos neįvyko katastrofa. Nežinomas kibernetinis nusikaltėlis nuotoliniu būdu įsilaužė į miesto vandens valymo įrenginio valdymo sistemą ir bandė pavojingai padidinti vandens šarmingumą didinančio natrio hidroksido koncentraciją geriamajame vandenyje.
Operatorius per keletą minučių pastebėjo pokyčius ir grąžino nustatymus. Iš pradžių operatorius pastebėjo, kad jo kompiuterio pelės žymeklis pradėjo savaime judėti. Jis iš karto suprato, kad kažkas nuotoliniu būdu prisijungęs prie jo kompiuterio per „TeamViewer“ programą, kuri buvo naudojama, kad nuotoliu prisijungtų valymo sistemą aptarnaujantys techniniai darbuotojai ir įrangos tiekėjai. Tokios prieigos buvo įprastos, tačiau šįkart viskas vyko kitaip: nežinomas įsilaužėlis atsidarė vandens cheminę sudėtį valdančią programą ir ėmė keisti parametrus.
Operatorius su siaubu stebėjo, kaip kažkas padidino natrio hidroksido (NaOH) kiekį nuo normalių 100 dalių milijone iki 11 100 dalių milijone – 111 kartų! Natrio hidroksidas naudojamas geriamojo vandens pH reguliuoti, bet tokia koncentracija labai toksiška – tiems, kas vartotų tokį vandenį, ji galėjo sukelti sunkius ir mirtinus cheminius nudegimus, organų pažeidimus.
Laimei, operatorius reagavo akimirksniu: vos tik kibernetinis nusikaltėlis atsijungė, jis nedelsiant grąžino natrio hidroksido lygį į normalias vertes ir pranešė savo vadovybei.
Visa invazija truko tik 3–5 minutes. Net jei operatorius nebūtų pastebėjęs įsibrovėlio, sistema turėjo keletą papildomų saugumo lygių, tačiau tai maža paguoda, nes ataka parodė, kaip gali būti pažeidžiama kritinė infrastruktūra.
Tyrimas atskleidė keletą trimtų saugumo trūkumų: visi darbuotojai naudojo tą pačią „TeamViewer“ programą su tais pačiais prisijungimo duomenimis. Tai reiškė, kad nulaužus vieną slaptažodį, galima pasiekti visas sistemas. Kompiuteriuose veikė „Windows 7“ operacine sistema, kuriai
„Microsoft“ saugumo atnaujinimų nekūrė nuo 2020 m. sausio. Jokios kelių lygių autentifikacijos: prie sistemų prieiti užteko tik slaptažodžio – jokio kito papildomo tapatybės patvirtinimo nebuvo. Tinklas nebuvo segmentuotas.
FBI, Nacionalinis saugumo departamentas ir vietinė teisėsauga pradėjo tyrimą, tačiau kibernetinis nusikaltėlis niekada nebuvo viešai identifikuotas. Buvo iškeltos įvairiausios versijos, kad tai galėjo būti buvęs kerštaujantis darbuotojas, šantažu siekiantys pasipelnyti kibernetiniai nusikaltėliai, galimybes testuojančios užsienio spec. tarnybos, o gal ir pradedantysis programišius, tiesiog nesupratęs, kokią katastrofą galėjo sukelti.
Oldsmaro ataka visose JAV tapo šaltu dušu mažoms savivaldybėms ir komunalinių paslaugų tiekėjams. Daugelis tokių įrenginių turi pasenusias įrangos valdymo sistemas, ribotą biudžetą, mažai IT darbuotojų.
Po šio incidento JAV aplinkos apsaugos agentūra išleido naujus vandens tiekimo sistemų kibernetinio saugumo reikalavimus. Daugelis savivaldybių pašalino programas, leidžiančias nuotolinę prieigą, arba įdiegė stipresnes apsaugas, buvo padidintas kritinės infrastruktūros kibernetiniam saugumui skirtas finansavimas.
Oldsmaro ataka atskleidė bauginančią tiesą: šiuolaikiniame pasaulyje ir kritinė infrastruktūra – vandens, elektros, dujų tiekimas – yra pažeidžiama, jei tinkamai nesirūpinama jos saugumu.
Kas gali nutikti, kai IoT įrenginys yra užgrobtas?
Kai IoT įrenginys yra užgrobtas, pasekmės gali būti labai rimtos, ypač kalbant apie privatumą ir asmens duomenų apsaugą. Kibernetiniai nusikaltėliai gali kontroliuoti įrenginio funkcijas, gauti jo renkamus duomenis, siųsti jam komandas ir keisti jo elgesį, naudoti įrenginį kaip prieigos tašką prie tinklo.
Pavyzdžiui, jei namuose įrengta IP kamera, piktadariai gali stebėti namo gyventojus, klausytis jų pokalbių, analizuoti įpročius, panaudoti kamerą kaip prieigos tašką prie kitų tinklo įrenginių.
Tačiau jei kalbėsime apie sudėtingesnius įrenginius dideliuose pastatuose (ŠVOK įrenginiai, liftų valdymas, priešgaisrinės saugos sistemos, medicinos įrenginiai sveikatos priežiūros įstaigose ir pan.), jų užgrobimas gali sukelti tiesioginį pavojų žmonių sveikatai ar gyvybei. Net žmogaus kūne įmontuotas širdies stimuliatorius gali būti užgrobtas ir tai 2008–2017 m. buvo įrodyta ne vieną kartą.
Įsiskverbimas į tinklą per vieną pažeidžiamą IoT įrenginį gali tapti vartais į kitus tinklo išteklius — serverius, klientų duomenų bazes ar el. pašto sistemas. Daugelis incidentų (pvz., JAV kazino ar „Verkada“) prasidėjo viename silpname taške, ir tolesni žingsniai nuvedė prie rimtų duomenų resursų.
Jei įrenginiai užkrečiami tokia kenkėjiška programa kaip „Mirai“, jie gali tapti botų armija ir surengti DDoS atakas. Masinį užklausų srautą į tikslą siunčiantys botai, taip apkrauna serverį ar tinklą, kad tai ne tik sukelia finansinių nuostolių, bet ir gali atjungti kritines paslaugas, išjungti svetaines.
Dažnai po kibernetinių nusikaltėlių atakų įmonės patiria ne tik tiesioginius finansinius nuostolius (pavogti klientų duomenys, intelektinė nuosavybė, verslo paslaptys, sutrikdyta serverių, tinklų ar IoT įrenginių veikla, sustabdo gamyba). Vėliau kyla teisinių ir reputacijos problemų: baudos už tai, kad nebuvo užtikrintas asmens duomenų saugumas, ir kt.
Pavyzdžiui, ES Bendrasis duomenų apsaugos reglamentas numato du pagrindinius baudos dydžius: iki 10 mln. eurų arba 2 proc. metinių pajamų, priklausomai nuo to, kuri suma didesnė, taikoma pažeidimams, susijusiems su įmonės vidine duomenų apsauga; iki 20 mln. eurų arba 4 proc. metinių pajamų taikoma svarbiausiems pažeidimams, kaip asmens duomenų tvarkymas neturint tam teisinio pagrindo; pagrindinių asmens teisių nesilaikymas; duomenų nutekėjimas dėl netinkamų apsaugos priemonių.
Nukentėjusieji taip pat teikia ieškinius dėl nutekėjusių duomenų ar pažeisto privatumo. Pavyzdžiui, įsilaužus į IP kameras, kai kuriems gamintojams tenka sumokėti kompensacijas. Tokie ieškiniai yra ne tik finansinė, bet ir reputacinė žala.
Kaip sumažinti riziką?
Individualiuose namuose dažniausiai beveik nesirūpinama saugumu. Dažniausia dulkių siurblys-robotas, stebėjimo kameros, virtuvės įrenginiai jungiasi prie to paties Wi-Fi tinklo, o tai reiškia, kad jie yra bendrame tinkle (LAN). Jie gali „matyti“ vieni kitus ir jei įrenginiai yra pažeidžiami (pagalvokite ir apie tai, kokioje šalyje dauguma jūsų įrenginių pagaminti), kibernetiniai nusikaltėliai, pasinaudoję šiais įrenginiais, per tą patį tinklą gali pasiekti ir jūsų kompiuterį.
Išeitis – maršrutizatorius, palaikantis VLAN, atskirtą tinklo segmentą. Įrenginiai VLAN viduje gali bendrauti tarpusavyje, bet jiems ribojama prieiga prie kitų tinklo segmentų. Ir kai daiktų interneto įrenginiai ir kompiuteriai yra skirtinguose segmentuose, įsilaužimas į vieno VLAN segmento įrenginį nesuteikia automatinės prieigos į kitus tinklo segmentus. Taip pat galima nustatyti griežtesnes taisykles IoT įrenginiams, ką jie gali pasiekti ir ko ne.
Daiktų interneto įrenginiams valdyti skirtos programėlės paskyroje būtina naudoti stiprų ir unikalų slaptažodį, jei įmanoma, įjungti dviejų lygių prisijungimo autentifikavimą. Reikia atjungti nuo tinklo tuos įrenginius, kurie neprižiūrimi ir nevaldomi nuotoliu. Pavyzdžiui, ant darbo stalo stovi šviestuvas, kurį valdote ranka, nes taip patogiau, bet jis išmanus, prisijungęs prie tinklo. Kam to reikia?
Bendrovėms ir pastatų valdytojams labai svarbu, kad kibernetinio saugumo architektūra būtų pasirūpinta nuo pat projekto pradžios. Tai liečia tiek daiktų interneto (IoT) įrenginių diegimą, tiek tinklo segmentavimą, tiek griežtą prieigos kontrolę prie IoT įrenginių valdymo.
Įmonės turi aktyviai stebėti savo IT infrastruktūrą, o ne tik reaguoti įvykus incidentui. Įmonėse turi veikti SIEM (angl. Security Information and Event Management) sistema, renkanti įvairių šaltinių įrašus (log’us), analizuojanti juos, ieškanti įtartinos veiklos, pavyzdžiui, pastebinti, kad vartotojas jungiasi iš neįprastos šalies ar kad sistema registruoja daugybę nesėkmingų prisijungimų. IDS/IPS (angl. Intrusion Detection/Prevention Systems) sistemos aptinkančios arba automatiškai blokuojančios įtartiną veiklą tinkle, pavyzdžiui, bandymus išnaudoti saugumo spragas ar įsilaužimus.
Tokie įrankiai leidžia anksti pastebėti veiksmus, turinčius kibernetinio įsilaužimo požymių. Net ir į geriausiai apsaugotas organizacijas bandoma įsilaužti, todėl būtina turėti planą, kaip reaguoti į įsilaužimus: kas atsakingas už reagavimą, kokie veiksmai atliekami pirmiausia, kaip užtikrinamas veiklos tęstinumas, kaip analizuojamas suvaldytas incidentas?
Kuo anksčiau incidentas aptinkamas, tuo žala mažesnė.
Rizika visada išliks
Tokie didelį atgarsį sukėlę incidentai, kaip „Mirai“ ar „Verkada“, privertė ne tik gamintojus, bet ir valdžios institucijas rimčiau žiūrėti į „IoT“ įrenginių saugumą: atsirado nemažai naujų įrenginių saugumo reikalavimų ir net sankcijos už rimtus saugumo spragų ignoravimus.
IoT technologijos kurią didžiulę vertę: patogūs ir funkcionalūs namų buities ir inžineriniai įrenginiai, efektyvus pastatų sistemų valdymas, naujos verslo galimybės. Tačiau kartu su nauda jie kelia ir naujas dažnai neįvertinamas grėsmes.
Čia paminėti incidentai rodo, kad tos grėsmės yra realios ir gali turėti rimtų pasekmių, o saugumo ekspertai perspėja, kad jos niekur neišnyko, net didėja, nes sparčiai didėja IoT įrenginių skaičius.
Daug kas priklauso nuo atsakingo gamintojų požiūrio, griežtesnio reguliavimo, tinklų infrastruktūros segmentavimo ir vartotojų sąmoningumo. Tik bendromis pastangomis galima sumažinti IoT įrenginiams keliamą kibernetinę riziką. To visada reikia siekti.
