sobota, 5 lipca 2014

Hakerzy + Inteligentny Dom = koszmar

W zeszłym tygodniu o mały włos nie zgubiła nas nadmierna skromność. Przyjęliśmy dość powszechne - jak mniemam - założenie: "a kto by tam chciał nas atakować i po co?". Jak praktyka pokazuje: jest to założenie z gruntu niewłaściwe.

Pracowałem na serwerze poprzez Remote Desktop, gdy nagle ktoś nieautoryzowany przejął kontrolę nad myszką i klawiaturą. Osoba (?), która wykorzystała lukę zabezpieczeń próbowała z poziomu terminala dodać nowego użytkownika, 'postgres' o ile zdążyłem się zorientować. Na szczęście (!) wykonanie operacji wymagających uprawnień Super Usera (administratora) wymusza podanie dodatkowego hasła. Uff! To nas uratowało!

Szybko zamknąłem dostęp do portów z zewnątrz, zajrzałem do pliku /var/log/auth.log
i wtedy włosy autentycznie zjeżyły mi się na głowie: od dłuższego czasu z różnych adresów próbowano się (nieskutecznie) zalogować na nasz serwer! Prób tych było dzienne kilkaset - kilka tysięcy w okresie ostatnich tygodni!

Sprawdziliśmy numery IP, z których te próby podejmowano. Ślady prowadzą do Chin - mekki współczesnych hakerów, ale domyślam się, że cyberprzestępcy potrafią skutecznie mylić trop, więc to tylko hipoteza...

Ta sytuacja zmobilizowała nas jednak do zweryfikowania kwestii zabezpieczeń i zastanowienia się nad konsekwencjami nieautoryzowanego dostępu w kontekście naszego Inteligentnego Domu.

Czujemy się bezpieczni, bo wydaje nam się, że problem nas nie dotyczy

Lekceważenie zagrożenia to chyba najbardziej powszechny grzech. Przecież hakerzy atakują tylko duże korporacje, Biały Dom i ewentualnie jakieś banki. Dla własnej wygody ignorujemy konieczność zmiany haseł, denerwuje nas wymuszanie takich zmian co pewien okres czasu. Dopiero kiedy sami staniemy się ofiarami ataku, uświadamiamy sobie jak bardzo jesteśmy bezbronni.

Nie zastanawiamy się nad konsekwencjami

Inteligenty Dom i zdalny do niego dostęp to przede wszystkim wygoda. Możemy "podejrzeć" co się w domu dzieje, wyłączyć żelazko czy uzbroić alarm, jeśli zapomnieliśmy zrobić to wychodząc z domu.
To co jednak jest wygodą może stać się koszmarem, jeśli dostęp do tych udogodnień uzyska ktoś złośliwy. Zwłaszcza o 3:30 nad ranem naszego czasu, czyli zdaje się o 9:30 rano czasu chińskiego...
Zapalające się w środku nocy światła? Muzyka włączona na cały regulator? Fałszywy wyjący alarm i wizyta Panów z ochrony? Wyłączone ogrzewanie w środku zimy? Absolutnie możliwe!

Jak żyć, panie hakerze, jak żyć?

Nie będziemy powielać wszystkich rad, jak dobrze się zabezpieczyć - bez względu na to czy chodzi o rządowe serwery, czy o nasz Inteligentny Dom obowiązują te same zasady. Najbardziej podstawowe, to:
  • ograniczyć zdalny dostęp do niezbędnego minimum;
  • stosować mocne hasła, różne dla różnych usług i najlepiej zmieniać je co jakiś czas;
  • nie logować się z miejsc o swobodnym dostępie do Internetu: z publicznych, niezabezpieczonych hasłami hot-spotów WiFi;
  • osobom, co do których mamy ograniczone zaufanie (Żona, dzieci) udostępnić jedynie minimalny zestaw funkcji, np. wyłącznie możliwość pasywnego monitorowania - przyjmijmy od razu, że zgubią zapisane na kartce hasło.
Przypomniała nam się również pewna rozmowa z agencją ochrony, gdy podłączaliśmy do nich nasz system alarmowy. Panowie chcieli mieć podgląd na to, kiedy uzbrajamy i rozbrajamy alarm. Pan Grzegorz, który zaprojektował i montował system alarmowy zadał wówczas bardzo przytomnie ważne pytanie: "A po co wam ta wiedza?". I to też jest ważny punkt:
  • stosujmy zasadę ograniczonego zaufania. W każdym miejscu pracują źli chłopcy.
Najważniejsze jest, abyśmy zdali sobie sprawę z zagrożeń i zaczęli stosować elementarne zasady bezpieczeństwa w praktyce! A jeśli już zdecydujemy się udostępnić jakąś usługę naszego Inteligentnego Domu na zewnątrz, upewnijmy się, czy aby na pewno jest ona dobrze zabezpieczona przed nieproszonymi gośćmi.

Brak komentarzy: