Srhljiva vizija verižnega napada prek naprav IoT
Zamislimo si naslednji scenarij: hekerji napadejo in vdrejo v bližnjo cestno svetilko opremljeno s pametnim krmilnikom IoT, prevzamejo nadzor nanjo in preprečijo dostop pravim upraviteljem. V krmilnik namestijo zlonamerno kodo, ki prek brezžičnega vmesnika komunicira z drugimi bližnjimi krmilniki in tam ponovijo tehniko vdora. V roku nekaj minut so prevzeli nadzor nad večino pametnih naprav v mestu.
Od tam imajo popoln nadzor nad obnašanjem teh naprav. Lahko jih izklopijo ali pa jih izkoristijo za množični DDOS napad na ostalo povezano infrastrukturo ali druge strežnike povezane v omrežje, lahko tudi internet. Izklopimo jih lahko fizično, z odhodom do vsake posamezne naprave, kar traja nedvomno zelo dolgo. Mesto je na kolenih.
Sliši se kot scenarij fatalističnega filma, toda v resnici se je to že zgodilo!
Raziskovalci Eyal Ronen, Colin O'Flynn, Adi Shamir in Achi-Or Weingarten, ki prihajajo iz raziskovalnih inštitutov univerz v Izraelu in Canadi so demonstrirali nevarnost z vdorom v pametne žarnice Philips Hue, ki so namenjene pretežno za domačo rabo.
Napad so opravili prek letečega "drona", ki je bil od žarnice oddaljen več kot 300 metrov. Z opremo, ki stane le nekaj 100 dolarjev so uspeli v krmilnik Philipsovih izdelkov vstaviti kodo, ki je sprožila utripanje žarnice v zaporedju, ki v Morsejevi abecedi pomeni pomoč (S.O.S.). Raziskovalci so obenem onemogočili daljinsko posodabljanje, s čimer so dejansko prevzeli celoten nadzor nad delovanjem.
Avtorji, ki so proces natančno opisali v strokovnem dokumentu, so izkoristili ranljivost protokola ZigBee, prek katerega krmilnik komunicira z drugimi povezanimi napravami. Ker gre za tako imenovane »bele« hekerje, so pred javnim razkritjem opozorili proizvajalca, ki je že poskrbel za popravek varnostne luknje. Opozarjajo pa, da raziskujejo podobne ranljivosti tudi v drugih protokolih.
V dokumentu tudi podajajo oceno tveganja za tako imenovana pametna mesta. Kot primer navajajo Pariz, ki se razteza na območju okoli 105 kvadratnih kilometrov. Da bi napadalci resnično lahko izpolnili popoln napad po zgornjem scenariju, bi potrebovali okoli 15.000 naključno postavljenih svetilk, ki bi tvorili omrežje. Pod to mejo napad najbrž ne bi zaživel v polni moči. Seveda v drugih mestih in okoljih veljajo drugačni pogoji in ocene.