Évtizedek óta nagy álma az emberiségnek az okosotthon. Már a XX. század ötvenes-hatvanas éveiben ábrándoztak a jövő lakásairól, amelyekben mindenféle agyafúrt szerkezet könnyíti majd meg a lakók mindennapjait. Aztán ott van az egykori Microsoft-vezér, Bill Gates is, aki már 1995-ben körbeturnézta a médiát a Xanadu 2.0 nevet viselő luxusvillájával, amelyben már akkor különféle technológiai megoldásokkal lehetett vezérelni a világítást, a hangrendszereket vagy épp a klímaberendezés beállításait. Sőt, már akkor digitális kijelzők lógtak a falon festmények helyett, amelyek akkori áron 80 ezer dollárba kerültek. Ez mai árfolyamon közel a duplájának számít: 145 181 dollár, azaz bő 47 millió forint - csak a kijelzőkért.
Közben eltelt szűk 30 év, és már éledezik az egyik legszerencsétlenebb magyar nevet viselő jelenség, a dolgok internete, azaz az Internet of Things (IoT), amelynek lényege, hogy a világhálón már nemcsak mi, emberi felhasználók kommunikálhatunk egymással, hanem bármilyen digitális - sőt akár nem digitális - eszköz, amely képes jeleket kibocsátani, és amelyet internetcsatlakozással láttak el. Ez teszi lehetővé olyan technológiák működését, mint az okosotthonokba szánt intelligens háztartási vagy szórakoztató elektronikai eszközök, de a sort még sokáig lehetne folytatni az önvezető autókkal vagy a robotizált ipari megoldásokkal.
Sőt, 2021-ben már ott tartunk, hogy a hipermarketek olcsó, de nem feltétlenül minőségi termékei között is találunk internetről vezérelhető villanykörtét, klímaberendezést, univerzális távirányítót, de akár kávéfőzőt, biztonsági kamerát vagy vezeték nélküli hangszórót is. Ez részben szuper dolog, hiszen az ilyen eszközök birtoklása ma már nem csak a Bill Gateshez hasonló szupergazdagok kiváltsága, részben viszont aggasztó jelenség, ha egy informatikai biztonsággal foglalkozó szakember szemüvegén át szemléljük.
Az amerikai Washington Post nemrég számolt be Chet Wisniewski, a Sophos IT-biztonsági cég egyik kutatójának érdekes kísérletéről. A szakember egyszerűen besétált egy elektronikai eszközöket árusító Las Vegas-i áruházba, és összevásárolt egy csomó olyan eszközt, amit okosotthon kiépítéséhez kínáltak. Wisniewski arra volt kíváncsi, hogy milyen nehéz feltörni ezeket a technológiákat anélkül, hogy különösebben jártas lenne a firmware hacking néven emlegetett módszerek alkalmazásában.
Kiderült, hogy azokra semmi szükség, ugyanis a megvásárolt okoseszközök felett sokkal hamarabb és jóval egyszerűbb megoldások segítségével is át tudta venni az irányítást. Ahogy később elmondta, arra számított, hogy technológiákkal való ismerkedésnek kiváló lesz a kísérlet, még akkor is, ha nem sikerül áthatolnia a biztonsági rétegeken.
Wisniewski úgy kalkulált, hogy egy-egy termék megtöréséhez napokra, sőt akár hetekre is szüksége lesz, ehhez képest pár óra leforgása alatt a legtöbb okoseszköz védelmét térdre tudta kényszeríteni.
A háttérben pedig az áll, hogy sok kütyü szoftvere egészen hajmeresztően slendrián munka eredménye. Sok esetben egyáltalán nem korszerű, biztonsági résektől hemzsegő kódokat talált, amelyeken látszott, hogy egyes részeit innen-onnan, az internet különböző zugaiból vadászták össze a fejlesztők. Volt köztük olyan szoftver is, amelyet már évek óta nem frissítettek, így az "antik" biztonsági rések továbböröklődtek a színes-szagos eszközökbe, amelyeket a vásárlók boldogan visznek haza, mivel azt gondolják, csúcstechnikához jutottak hozzá.
További probléma, hogy sok okoseszköznél az alapbeállítás valamilyen egyszerű, könnyen feltörhető jelszóval érkezik (admin, password vagy hasonló). Bár Kaliforniában már 2018-ban elfogadtak egy törvényjavaslatot, amely ezt megtiltaná - pontosabban minden eszközhöz egyedi jelszót írna elő - ez nem vonatkozik más országok vállalataira, a felhasználók pedig nagyon gyakran nem bíbelődnek saját jelszó beállításával, mert azt gondolják, ha a gyártó azt adta meg, akkor azt kell használni.
Wisniewski a fenti kísérletet még 2015-ben végezte el, azonban 2021-ben, hat évvel később sem sokkal jobb a helyzet, cserébe azóta elképesztően elterjedtek az okoseszközök. Az IDC piackutató statisztikái szerint ugyanis a Wi-Fi-kapcsolattal rendelkező háztartások több mint 77 százalékában található legalább egy okoseszköz - azaz nem telefon vagy táblagép - míg tavaly ugyanez az arány még csak 65 százalék volt.
Ráadásul nem csak az obskúrus gyártók termékei jelentenek problémát: szintén a Washington Post számolt be róla 2019-ben (hopp.pcworld.hu/16630), hogy az Amazon Alexa és Echo okoshangszórói - vagy, ha úgy tetszik, digitális asszisztensei - folyamatosan rögzítik, amit hallanak, a cég pedig tárolja is ezeket a felvételeket. A Google és az Apple pedigréje sem sokkal különb ezen a téren.
Minél lejjebb megyünk az árak tekintetében, annál valószínűbb, hogy olyan eszközbe, termékbe botlunk, amely biztonsági szempontból nem túl megnyugtató. Miután az Amazon Alexájáról kiderült, hogy egy biztonsági résnek köszönhetően illetéktelenek is hozzáférhettek az említett hangfelvételekhez, a cég viszonylag gyorsan orvosolta a hibát. A kevésbé megbízható, kisebb, ismeretlen gyártók azonban távolról sem ennyire érzékenyek a felhasználók panaszaira - és saját hírnevük megőrzésére.
Mi bajom lehet, ha feltörik az okosotthonomat?
A hasonló informatikai problémák hallatán sokan csak legyintenek: nekem nincs takargatnivalóm. Mások felteszik a kérdést: és mit csinál egy hacker, kapcsolgatni kezdi a villanyomat? A helyzet ennél bonyolultabb. Az internetre kapcsolódó eszközökben ugyanis kisméretű számítógépek dolgoznak, ha pedig ezekhez könnyű hozzáférni, könnyű eltéríteni azok működését is. Itt most nem arra kell gondolni, hogy valaki több száz vagy több ezer kilométerről idegenek lakásában áll neki gonosz módon elállítani az intelligens termosztátot vagy leolvasztani az internetre csatlakozó hűtőt.
A The Record idén szeptemberben számolt be a Meris nevű "zombigép"-hálózatról, amelyet éppen az ilyen könnyen feltörhető eszközök alkotnak. Több mint 250 ezer digitális eszközről van szó, amelyek egytől egyig az azokat feltörő hacker akaratának engedelmeskednek.
A zombihálózatok segítségével végrehajthatóak az úgynevezett túlterheléses támadások, így már csak ezért is érdemes gondoskodni okosotthonunk és okoseszközeink biztonságáról. A zombihálózatokat más jellegű feladatokra is be lehet fogni, például, a több tízezernyi digitális eszköz kiválóan bevethető kriptovaluták bányászatára is, ilyenkor mi fizetjük a villanyszámlát, az illetéktelen behatolók pedig zsebre teszik a hasznot. De ennél is sokkal ijesztőbb, amikor az elégtelenül védett okoseszközökön keresztül utánunk vagy a családunk tagjai után próbálnak kémkedni. Sok okoseszköz különféle információkat tárolhat a felhasználói szokásainkról, de bizonyos esetekben akár a bankkártyánk adatai is hozzáférhetővé válhatnak egy nem megfelelően beállított kütyü miatt.
És akkor pedig még nem is említettük, hogy az internetre csatlakozó babaőr vagy gyerekfigyelő kamera milyen alakoknak nyújthat - virtuális - bejárást a kicsik hálószobáiba.
Ha valaki a fentieket olvasva még mindig csak a vállát vonogatja, "hogyan találnának oda hozzám?" felkiáltással, itt az ideje egy kis riogatásnak. Létezik kifejezetten olyan kereső, a Shodan, amely egyszerű próbálgatással megtalálja a gyengén vagy sehogyan sem védett hálózatokat, online eszközöket, így voltaképpen a világ bármely részén ülve hozzáférhetnek az otthonunkban működő IoT-gépekhez olyanok, akiket nem látnánk szívesen.
Ahogy pedig egyre több technológiát engedünk be az életünkbe, úgy kell egyre több helyen gondoskodni a biztonságunkról. Bár hazánkban egyelőre még kevésbé elterjedt, a tengerentúlon már szép piaca van az intelligens záraknak, amelyeket telefonnal, kamerán keresztül akár az arcunkkal vagy hangparanccsal is kinyithatunk. Innentől nem nehéz elképzelni, hogy egy hacker egy gyengén védett okoseszközön keresztül hozzáfér az otthoni hálózatunkhoz, majd egy vezeték nélkül csatlakozó hangszórón lejátszik egy hangutasítást - "Alexa, nyisd ki az ajtót!" -, és már nemcsak digitálisan, hanem fizikailag is hozzáférhet az otthonunkhoz. De már az is elég lehet, ha hozzáférnek más, szintén az otthoni hálózatra csatlakozó eszköz - laptop, táblagép, telefon, NAS - tartalmához.
Lapozz tovább, a cikk folytatódik!