Hihetetlen trükkel támadtak bűnözők egy amerikai kaszinóra. A meg nem nevezett játékterem VIP-vendégeinek adatait az előtérben elhelyezett akvárium hőmérőjén keresztül szerezték meg az adatrablók.
Az akvárium termosztátja ugyanis egy úgynevezett „okos” berendezés, amely vezeték nélküli kapcsolaton csatlakozott a kaszinó hálózatához. A hackerek ezt az eszközt fedezték fel, mivel sok, úgynevezett Internet of Things vagy IoT-berendezésnek gyakran rendkívül gyenge az informatikai védelme.
Az „okos” termosztát feltörése után a behatolók könnyedén eljutottak a kaszinó központi szerveréhez, ahol rátaláltak a jellemzően nagy tétben játszó VIP-vendégek adatait tároló adatbázisra. A dokumentumot az akvárium hőmérőjén keresztül sikeresen letöltötték a kaszinóból, és feltöltötték a felhőbe.
A Darktrace cyberbiztonsági cég vezérigazgatója, Nicole Eagan számolt be az esetről a Wall Street Journal által a múlt hétre szervezett CEO Council Conference során.
„Ma már rengeteg IoT-eszközt használunk az internetre kapcsolt termosztátoktól az okos hűtőszekrényeken és légkondicionáló berendezéseken át az irodába bevitt digitális asszisztensekig” – figyelmeztetett Nicole Eagan. „Egyre több az ilyen eszköz, ezek pedig nagyobb támadási felületet kínálnak a behatolóknak, ráadásul az eddigi védelmi megoldások sokszor hatástalannak bizonyulnak, ha IoT-eszközökről van szó.
Eagan mellett a brit hírszerzés digitális műveleteiért felelős GCHQ részlegének korábbi vezetője, Robert Hanningan is felszólalt a konferencián, aki azt mondta, az okoseszközöket célzó hackerek egyre nagyobb problémát jelentenek a cégek számára is.
„Az úgynevezett »dolgok internete« körébe tartozó eszközökből sok ezer fog megjelenni a következő években, és ez hatalmas problémát fog jelenteni” – mondta Hannigan. „Nemrég hallottam egy bankról, amelynek az informatikai rendszerét épp a biztonsági kameráin keresztül törték fel. Ezeket az eszközöket jellemzően az ár alapján szerzik be, ez pedig sokszor okozhat hasonló problémákat.”
Hanningan szerint megfelelő szabályozásra van szükség a biztonsági szabványok terén.
„Ez egy olyan terület, ahol valószínűleg törvénybe kell foglalni a minimális biztonsági elvárásokat, mert ez a piac nem fogja szabályozni magát” – tette hozzá a szakértő. „A legnagyobb probléma az, hogy ezek az eszközök a mai napig működnek. A bank kamerái is működnek, illetve a kaszinó akváriumában is működik a termosztát.”
Az IoT-eszközök minden olyan eszközt jelölnek, amelyek „hagyományos” funkcióik mellett online adatkapcsolaton keresztül különböző adatokat továbbítanak. Lehet szó egy olyan hűtőszekrényről, amelynek tartalmát távolról is megnézhetik a tulajdonosai, távolról vezérelhető légkondicionáló berendezésről vagy épp olyan kapucsengőrendszerről, amelynek segítségével az okostelefonunkon keresztül is beszélhetünk az ajtó előtt állókkal. De például az NLCafén is írtunk róla, hogy akár a gyerekszobában használt, internetre csatlakoztatott kamerás babaőr is a hackerek áldozatává válhat, amelyen keresztül vadidegenek nézhetnek be a gyerekek hálószobájába. Sőt egy kifejezetten a gyengén védett IoT-eszközök keresésére szakosodott keresőmotor is működik az interneten SHODAN néven.
Természetesen nem kell ezeket az eszközöket száműzni az életünkből, de ha hasonló eszköz beszerzését tervezzük, a telepítéskor kérjük szakember segítségét, vagy alaposan tanulmányozzuk a biztonsági beállításokat, hogy hasonlóra ne adjunk lehetőséget.