Internet vecí (IoT) je dnes neoddeliteľnou súčasťou mnohých moderných domácností. Inteligentné zámky zabezpečujú vstup do domu bez kľúčov, smart termostaty regulujú teplotu podľa vašich preferencií, IP kamery monitorujú priestor v reálnom čase a dokonca aj inteligentné chladničky sledujú dátumy spotreby potravín. Hoci tieto zariadenia prinášajú množstvo výhod a zvyšujú komfort bývania, súčasne otvárajú dvere novým bezpečnostným hrozbám. Slabé zabezpečenie IoT zariadení môže viesť k hackerským útokom, odpočúvaniu, sledovaniu domácnosti či dokonca k ich zneužitiu na rozsiahle DDoS útoky. Preto je dôležité venovať pozornosť ich ochrane a zabezpečeniu, aby sa predišlo neželaným rizikám.

V tomto článku sa pozrieme na hlavné bezpečnostné hrozby a spôsoby, ako zabezpečiť IoT zariadenia v domácnosti.

Hlavné bezpečnostné hrozby IoT zariadení

1. Slabé heslá a autentifikácia

Veľa IoT zariadení prichádza s predvolenými heslami ako admin/admin alebo 123456, ktoré používatelia často nemenia. Predvolené heslá sú verejne známe a existujú databázy týchto údajov, ktoré hackeri môžu ľahko využiť na neoprávnený prístup k zariadeniam. Útočníci môžu vykonávať systematické pokusy o prihlásenie (tzv. brute-force útoky), pričom ak sa im podarí získať prístup, môžu zariadenie úplne ovládnuť. V najhoršom prípade môže útočník zneužiť IoT zariadenie na sledovanie domácnosti, pripojenie do botnetu alebo prienik do celej siete a následné odpočúvanie ďalších zariadení. Preto je dôležité venovať pozornosť zabezpečeniu hesiel už pri prvotnom nastavení zariadenia.

Ako sa chrániť?

• Vždy zmeňte predvolené heslo na silné heslo.
• Použite unikátne heslo pre každé zariadenie.
• Ak to zariadenie umožňuje, zapnite dvojfaktorovú autentifikáciu (2FA).

2. Nešifrovaná komunikácia

Niektoré IoT zariadenia posielajú dáta v nezašifrovanej podobe (napr. cez HTTP namiesto HTTPS), čím útočník môže zachytiť citlivé informácie. Nešifrovaná komunikácia znamená, že ak sa niekto dostane medzi zariadenie a router, môže odpočúvať alebo dokonca meniť prenášané údaje. Toto sa často deje na verejných Wi-Fi sieťach alebo na nesprávne nakonfigurovaných domácich sieťach. Okrem toho môžu útočníci využívať techniky ako Man-in-the-Middle (MITM) útoky, kde sa neoprávnene vložia medzi komunikáciu dvoch zariadení a odchytávajú, prípadne menia prenášané dáta. Toto môže viesť k úniku hesiel, údajov o používateľovi alebo dokonca umožniť prevzatie kontroly nad zariadením. Preto je nevyhnutné dbať na to, aby všetky IoT zariadenia podporovali šifrované spojenia a aby sa zabezpečila ich komunikácia.

Ako sa chrániť?

• Skontrolujte, či vaše zariadenie podporuje HTTPS alebo iné šifrovacie protokoly.
• Použite VPN na zašifrovanie sieťovej komunikácie.
• Zablokujte nezabezpečené pripojenia na úrovni routera.

3. Zraniteľnosti v softvéri

Zariadenia s neaktualizovaným firmvérom môžu obsahovať bezpečnostné diery, ktoré umožňujú útočníkom prevziať nad nimi kontrolu. Firmvér je softvér zabudovaný do hardvérového zariadenia, ktorý riadi jeho funkčnosť a bezpečnosť. Ak výrobca pravidelne nevydáva aktualizácie, zariadenie zostáva zraniteľné voči známym bezpečnostným hrozbám, ktoré útočníci môžu ľahko zneužiť. Hackeri môžu využiť zraniteľnosti na získanie neautorizovaného prístupu, nahratie škodlivého kódu alebo dokonca na úplné ovládnutie zariadenia. Takéto kompromitované IoT zariadenia môžu byť následne použité ako súčasť botnetu na vykonávanie rozsiahlych kybernetických útokov alebo môžu ohroziť súkromie používateľa tým, že prenášajú citlivé údaje útočníkom. Preto je nevyhnutné pravidelne kontrolovať dostupnosť aktualizácií firmvéru a aplikovať ich čo najskôr po ich vydaní, aby sa minimalizovalo riziko zneužitia.

Ako sa chrániť?

• Pravidelne kontrolujte aktualizácie firmvéru a inštalujte ich.
• Ak výrobca nepodporuje zariadenie aktualizáciami, zvážte jeho výmenu.

4. Botnet útoky a zneužitie IoT zariadení

Hackeri môžu infikovať IoT zariadenia malvérom a následne ich začleniť do botnetu – siete infikovaných zariadení, ktoré sú ovládané útočníkom na vykonávanie masívnych kybernetických útokov. Jedným z najznámejších príkladov je botnet Mirai, ktorý v roku 2016 infikoval milióny zariadení a bol použitý na rozsiahle DDoS útoky proti veľkým internetovým službám a infraštruktúre. Útoky tohto typu môžu ochromiť webové stránky, servery a dokonca celé internetové služby, pričom často využívajú slabé alebo predvolené heslá IoT zariadení a známe bezpečnostné diery. IoT zariadenia sú obľúbeným cieľom takýchto útokov, pretože mnohé z nich nemajú dostatočné bezpečnostné mechanizmy a používatelia ich často neaktualizujú. Ak je vaše zariadenie infikované, môže bez vášho vedomia vykonávať škodlivé aktivity, spomaľovať sieť a zvyšovať spotrebu dát. Preto je nevyhnutné pravidelne aktualizovať firmvér, meniť predvolené heslá a monitorovať sieťovú aktivitu zariadení.

Okrem Mirai sa objavili aj ďalšie známe botnety:

• Mozi – Tento botnet sa zameriava na IoT zariadenia a využíva peer-to-peer sieť na komunikáciu medzi infikovanými zariadeniami. Šíri sa cez slabé alebo predvolené heslá a známe zraniteľnosti v IoT softvéri.
• Hajime – Podobne ako Mirai, tento botnet infikuje IoT zariadenia, no na rozdiel od neho nemá škodlivý účel. Funguje ako tzv. "white-hat" botnet, ktorý sa snaží zabezpečiť infikované zariadenia proti iným škodlivým útokom tým, že blokuje prístup útočníkov.
• Reaper (IoTroop) – Tento botnet je sofistikovanejší než Mirai, pretože namiesto využívania len slabých hesiel dokáže infikovať zariadenia prostredníctvom známych softvérových zraniteľností. Je schopný vykonávať zložitejšie útoky na infraštruktúru internetu.

Útoky tohto typu môžu ochromiť webové stránky, servery a dokonca celé internetové služby, pričom často využívajú slabé alebo predvolené heslá IoT zariadení a známe bezpečnostné diery. IoT zariadenia sú obľúbeným cieľom takýchto útokov, pretože mnohé z nich nemajú dostatočné bezpečnostné mechanizmy a používatelia ich často neaktualizujú. Ak je vaše zariadenie infikované, môže bez vášho vedomia vykonávať škodlivé aktivity, spomaľovať sieť a zvyšovať spotrebu dát. Preto je nevyhnutné pravidelne aktualizovať firmvér, meniť predvolené heslá a monitorovať sieťovú aktivitu zariadení.– siete infikovaných zariadení, ktoré sú ovládané útočníkom na vykonávanie masívnych kybernetických útokov. Jedným z najznámejších príkladov je botnet Mirai, ktorý v roku 2016 infikoval milióny zariadení a bol použitý na rozsiahle DDoS útoky proti veľkým internetovým službám a infraštruktúre. Útoky tohto typu môžu ochromiť webové stránky, servery a dokonca celé internetové služby, pričom často využívajú slabé alebo predvolené heslá IoT zariadení a známe bezpečnostné diery. IoT zariadenia sú obľúbeným cieľom takýchto útokov, pretože mnohé z nich nemajú dostatočné bezpečnostné mechanizmy a používatelia ich často neaktualizujú. Ak je vaše zariadenie infikované, môže bez vášho vedomia vykonávať škodlivé aktivity, spomaľovať sieť a zvyšovať spotrebu dát. Preto je nevyhnutné pravidelne aktualizovať firmvér, meniť predvolené heslá a monitorovať sieťovú aktivitu zariadení.

Ako sa chrániť?

• Používajte firewall a segmentujte sieť (oddelená sieť pre IoT zariadenia og zvyšku domácnosti).
• Monitorujte neobvyklú sieťovú aktivitu.

Máte doma robotický vysávač?

Existujú známe prípady, kedy výskumníci ako aj hackeri názorne demonštrovali, že je možné ovládnuť napríklad bežné robotické vysávače a dokonca ich využiť na špehovanie. Aj keď neexistuje známy rozsiahly útok botnetového typu na robotické vysávače, boli publikované výskumy a dôkazy o ich možnej zraniteľnostiach. Tu sú niektoré z najznámejších prípadov:

1. Využitie vysávačov na odpočúvanie

Výskumníci z National University of Singapore (2020) dokázali, že robotické vysávače môžu byť zneužité na odpočúvanie prostredníctvom ich LiDAR senzorov (používaných na navigáciu). Táto metóda, nazvaná LidarPhone, funguje tak, že útočník zachytáva drobné vibrácie odrazov laserov vysávača a rekonštruuje z nich zvuk.

2. Infekcia IoT malvérom a vzdialené ovládanie

V roku 2017 sa objavila zraniteľnosť v populárnych robotických vysávačoch Xiaomi. Výskumníci zistili, že vysávače môžu byť infikované malvérom podobným botnetu Mirai.

Čo mohli útočníci urobiť?

• Vzdialene spustiť vysávač v určitom čase (potenciálne ako distrakciu pre krádež).
• Použiť vysávač na mapovanie bytu – veľa modelov ukladá pôdorys a dáta môžu byť odoslané útočníkovi.
• Použiť ho ako „proxy server“ na anonymizáciu škodlivej komunikácie.

Dôsledok: Hackeri by mohli sledovať konverzácie v miestnosti bez toho, aby sa fyzicky nachádzali v priestore.

3. Vysávače ako súčasť botnetu

V roku 2019 bezpečnostná spoločnosť Check Point objavila, že robotické vysávače bežiace na systémoch podobných Linuxu (ako mnohé modely Roomba, Xiaomi a Ecovacs) môžu byť ovládnuté a využité v botnetoch na DDoS útoky.

Čo bolo príčinou zraniteľnosti?

• Predvolené heslá: Mnoho IoT zariadení, vrátane vysávačov, má slabé predvolené "default" heslá (napr. „admin“ / „123456“). Nie je tajomstvom, že databázy týchto "default" hesiel kolujú naprieč internetom a poskytujú ich aj výrobcovia na svojich stránkach technickej podpory. Čo myslíte, aké percento užávateľov si pri inštalácii zariadenia zmení "default" heslo dodané výrobcom? odhady naznačujú, že až 50 % alebo viac používateľov nezmení predvolené heslo. Táto prax uľahčuje útočníkom prístup k zariadeniam a ich potenciálne zneužitie.
• Nešifrovaná komunikácia: Niektoré IoT zariadenia, najmä lacnejšie modely alebo zariadenia od menej renomovaných výrobcov, odosielajú dáta na servery v nezašifrovanej podobe. To znamená, že ak sa niekto dostane medzi zariadenie a server (napríklad cez nezabezpečenú Wi-Fi sieť alebo napadnutý router), môže odpočúvať a modifikovať prenášané údaje. Tento typ útoku je známy ako Man-in-the-Middle (MitM) útok.
• Zraniteľnosti v API: Mnohé moderné robotické vysávače ponúkajú ovládanie cez cloudovú aplikáciu, ktorá umožňuje používateľom vzdialene spúšťať a nastavovať vysávač z mobilného telefónu. Toto sa deje prostredníctvom API (Application Programming Interface) – rozhrania, cez ktoré aplikácia komunikuje so servermi výrobcu a vysávačom. Ak má API bezpečnostné chyby, môže byť zneužité útočníkmi na prevzatie kontroly nad zariadením. Hacker môže v takomto prípade spustiť vysávač, alebo ho kedykoľvek vypnúť, vymazať uloženú mapu miestnosti alebomôže odoslať falošnú aktualizáciu do zariadenia, alebo ho preprogramovať. Tak isto môže získavať dáta o pohybe vysávača a na základe nich zistiť, kedy nie je nikto doma.

Je to reálne? Áno je

Hackeri sa preukázateľne nabúrali do robotických vysávačov: V októbri 2024 hackeri získali kontrolu nad robotickými vysávačmi značky Ecovacs, ktoré následne prenasledovali domáce zvieratá a ľudí, pričom pomocou hlasového výstupu používali vulgárne výrazy. Dalším problémenom tejto značky boli ďalšie bezpečnostné problémy. Tak isto v októbri 2024 boli odhalené zraniteľnosti, ktoré umožňovali hackerom získať prístup k údajom zaznamenaným zariadením, vrátane kamery a mikrofónu. Príkladov je mnoho a pokiaľ by sme ich chceli rozpisovať podrobne, bolo by to na niekoľko článkov.

Robotické vysávače sú často prehliadané ako bezpečnostná hrozba, no v skutočnosti sú inteligentné IoT zariadenia s pripojením na internet a senzormi, ktoré môžu byť zneužité. Aj keď neboli použité v žiadnom veľkom kybernetickom útoku, výskumy ukázali, že ich môže byť možné hacknúť na špehovanie alebo ako súčasť botnetu.

Zabezpečenie IoT zariadení v domácej sieti

1. Použitie oddelenej Wi-Fi siete pre IoT zariadenia

Väčšina moderných routerov umožňuje vytvoriť samostatnú sieť pre IoT zariadenia, čím výrazne zvyšuje bezpečnosť domácej siete. Tieto zariadenia sú často zraniteľné voči kybernetickým útokom, preto ich oddelenie od hlavnej siete pomáha minimalizovať riziko kompromitácie citlivých dát, ako sú súbory na počítači, internetové bankovníctvo alebo heslá uložené v smartfónoch.

Praktický príklad použitia oddelenej siete

Predstavte si, že máte v domácnosti smart kamerový systém, inteligentné žiarovky, robotický vysávač a smart televízor. Tieto zariadenia potrebujú internetové pripojenie na aktualizácie a vzdialené ovládanie, ale nepotrebujú prístup k vašim osobným údajom uloženým na počítačoch alebo mobilných zariadeniach. Ak by bol jeden z týchto IoT produktov napadnutý hackermi, mohli by cez neho získať prístup do celej vašej siete. Preto je dôležité tieto zariadenia izolovať.

Ako vytvoriť oddelenú Wi-Fi sieť pre IoT zariadenia

1. Použitie Guest Network (hosťovskej siete) – Väčšina moderných routerov umožňuje vytvorenie tzv. hosťovskej siete, ktorá môže byť využitá ako samostatná Wi-Fi sieť napríklad pre IoT zariadenia. Túto možnosť nájdete v nastaveniach vášho routera a odporúča sa jej zabezpečenie vlastným silným heslom (nie rovnakým ako heslo k domovskej sieti) a nastavenia obmedzení prístupu k hlavným zariadeniam a prostriedkom v sieti.
2. Vytvorenie VLAN (Virtual Local Area Network) – Pokročilé routery a sieťové switche umožňujú vytvorenie VLAN, ktorá logicky oddeľuje IoT zariadenia od hlavnej siete. To znamená, že IoT zariadenia síce môžu komunikovať s internetom, ale nemajú priamy prístup k citlivým zariadeniam v domácnosti.
3. Použitie dvoch samostatných Wi-Fi routrov – Ak váš router nepodporuje VLAN alebo hosťovskú sieť, môžete použiť dva samostatné Wi-Fi routre – jeden pre IoT zariadenia a druhý pre kritické zariadenia (notebooky, telefóny, pracovné stanice a dátové úložiská).

2. Blokovanie prístupu IoT zariadení na internet

Niektoré IoT zariadenia nepotrebujú internetové pripojenie na správne fungovanie, preto je rozumné im ho zakázať, aby sa minimalizovalo riziko bezpečnostných hrozieb. Mnohé inteligentné zariadenia, ako napríklad lokálne ovládané osvetlenie, domáce servery alebo smart senzory, môžu fungovať iba v rámci vnútornej siete bez potreby prístupu na internet. Ak takýmto zariadeniam internet nie je nevyhnutný, jeho zablokovanie môže zabrániť neoprávneným prístupom zvonku, malvéru alebo odosielaniu citlivých údajov na vzdialené servery. Blokovanie internetového prístupu môžete vykonať priamo v nastaveniach routera pomocou firewallových pravidiel alebo prostredníctvom nastavení individuálnych zariadení, ktoré umožňujú obmedzenie komunikácie na lokálnu sieť.

V routeri môžete vytvoriť pravidlo firewallu, napr.:

Tento príkaz blokuje zariadenie s IP adresou 192.168.1.100 v lokálnej sieti.

3. Použitie bezpečného DNS

Použitie bezpečného DNS (napr. Cloudflare 1.1.1.1 alebo Quad9 9.9.9.9) môže pomôcť blokovať škodlivé domény, ktoré môžu IoT zariadenia kontaktovať. Bezpečné DNS servery filtrujú nebezpečné webové adresy, chránia pred phishingom a môžu zabrániť komunikácii s malvérom. Okrem toho poskytujú rýchlejšie a spoľahlivejšie preklady doménových mien, čím môžu zvýšiť aj celkovú stabilitu internetového pripojenia. Používaním takýchto DNS riešení sa znižuje riziko, že IoT zariadenie nevedomky komunikuje s neznámymi alebo škodlivými servermi, ktoré by mohli zhromažďovať citlivé údaje alebo vykonávať neoprávnené operácie.

Nastavenie DNS na routeri:

4. Monitoring siete

Pravidelné sledovanie prevádzky v domácej sieti pomáha odhaliť podozrivé aktivity IoT zariadení a identifikovať potenciálne bezpečnostné hrozby. Ak zariadenie komunikuje s neznámymi servermi, prenáša nadmerné množstvo dát alebo sa správa inak neobvykle, môže to byť známkou kompromitácie alebo škodlivého softvéru. Monitorovanie siete umožňuje odhaliť tieto problémy včas a podniknúť potrebné kroky, ako je blokovanie podozrivých spojení, aktualizácia firmvéru alebo izolácia infikovaného zariadenia. Na tento účel môžete využiť rôzne nástroje, ako napríklad nmap na detekciu pripojených zariadení, Wireshark na analýzu sieťovej prevádzky alebo funkcie firewallu a routera na sledovanie podozrivej komunikácie. Automatizované bezpečnostné riešenia, ako IDS (Intrusion Detection System), môžu tiež pomôcť identifikovať neautorizované pokusy o prístup a potenciálne útoky.

Použite nmap na skenovanie zariadení v sieti:

Tento príkaz zobrazí zoznam všetkých pripojených zariadení.

5. Používanie dôveryhodných zariadení

Nie všetky IoT zariadenia sú bezpečné. Pred kúpou si overte niekoľko dôležitých faktorov, ktoré môžu výrazne ovplyvniť bezpečnosť vášho domáceho prostredia. V prvom rade je dôležité zistiť, či výrobca pravidelne vydáva bezpečnostné aktualizácie a ako rýchlo reaguje na objavené zraniteľnosti. Ak je výrobca známy tým, že neaktualizuje svoje zariadenia alebo ignoruje bezpečnostné problémy, je lepšie sa takýmto produktom vyhnúť. Okrem toho je vhodné prečítať si recenzie a hodnotenia od odborníkov na kybernetickú bezpečnosť, ktoré vám môžu poskytnúť prehľad o možných rizikách spojených s konkrétnym produktom.

Ďalším dôležitým aspektom je spôsob autentifikácie a šifrovania údajov. Zariadenia by mali podporovať moderné šifrovacie protokoly, ako je TLS 1.2 alebo vyšší, a umožňovať konfiguráciu silného hesla či dvojfaktorovú autentifikáciu. Vyhnite sa produktom, ktoré majú pevne nastavené predvolené heslá alebo umožňujú vzdialený prístup bez silnej autentifikácie.

Taktiež sa uistite, že IoT zariadenie ponúka možnosť manuálnej konfigurácie bezpečnostných nastavení. Niektoré lacnejšie modely nemusia umožňovať zmenu štandardných nastavení, čo môže predstavovať riziko. Zariadenie by malo umožniť zakázanie nepotrebných sieťových pripojení a funkcií, ako je vzdialený prístup cez internet, ak ho neplánujete používať.

Nakoniec si overte, či zariadenie neposiela citlivé údaje na servery tretích strán bez vášho vedomia. Niektoré menej známe značky môžu mať pochybné praktiky týkajúce sa ochrany súkromia, a preto je vhodné dôkladne preštudovať podmienky používania a politiku ochrany osobných údajov. Použitie známych a overených značiek, ktoré majú dobrú reputáciu v oblasti bezpečnosti, je vždy rozumnejšou voľbou. Vždy si overte:

• Či výrobca pravidelne vydáva bezpečnostné aktualizácie.
• Aké má zariadenie hodnotenia v oblasti bezpečnosti.
• Nenakupujte a nepoužívajte zariadenia neznámych značiek.

Nebezpečenstvá čínskych IoT riešení a riziká nákupu z čínskych predajných platforiem

Hoci mnohé čínske IoT zariadenia spĺňajú technické štandardy a lákajú na nízke ceny, ich používanie môže predstavovať vážne bezpečnostné riziká. Mnohé lacné IoT produkty z čínskych predajných platforiem ako AliExpress, Banggood či Temu majú neznámy alebo nedostatočne zabezpečený firmvér, čo môže viesť k zraniteľnostiam a umožniť tak potencionálne hackerské útoky. Okrem toho sa často objavujú správy o tom, že niektoré čínske zariadenia nešifrujú prenos dát správne, zbierajú nadmerné množstvo údajov o používateľoch a odosielajú ich na servery v Číne, kde platia odlišné zákony o ochrane osobných údajov. Problémom je aj nedostatočná podpora zo strany výrobcu – bezpečnostné aktualizácie buď neprichádzajú vôbec, alebo sú vydávané s veľkým oneskorením, čím sa zariadenia stávajú ľahkým cieľom pre kybernetických útočníkov. Aj keď niektoré modely môžu vyzerať bezpečne na papieri, ich skutočné správanie sa v praxi môže byť často nepredvídateľné a neželané. Preto sa odporúča kupovať IoT riešenia od overených výrobcov so zárukou pravidelných aktualizácií a transparentnou politikou ochrany súkromia.

Záver

IoT zariadenia môžu výrazne zvýšiť pohodlie v domácnosti tým, že umožňujú diaľkové ovládanie osvetlenia, vykurovania, zabezpečovacích systémov a mnohých ďalších aspektov každodenného života. Avšak s týmto komfortom prichádzajú aj bezpečnostné riziká, ktoré nemožno podceňovať. Nezabezpečené IoT zariadenia sa môžu stať vstupnou bránou pre kybernetické útoky, ktoré môžu viesť k narušeniu súkromia, odcudzeniu údajov alebo dokonca k ovládnutiu zariadení útočníkmi.

Na ochranu domácej siete je dôležité dodržiavať niekoľko základných pravidiel:

1. Zabezpečenie siete – Použitie silných hesiel, šifrovania a oddelených sietí pre IoT zariadenia.
2. Pravidelné aktualizácie softvéru – Udržiavanie najnovšej verzie firmvéru minimalizuje bezpečnostné diery.
3. Obmedzenie prístupu IoT zariadení na internet – Ak zariadenie nemusí komunikovať s externými servermi, jeho internetový prístup by mal byť blokovaný.
4. Monitoring siete – Sledovanie podozrivej aktivity pomôže identifikovať možné hrozby včas.

Dodržiavanie týchto odporúčaní výrazne zníži riziko útokov na IoT zariadenia a pomôže ochrániť vaše súkromie a bezpečnosť v domácnosti. Vedomý prístup k bezpečnosti IoT technológií je dnes nevyhnutnosťou, pretože s rastúcou digitalizáciou domácností rastie aj počet kybernetických hrozieb.

Zdroje

What is the Mirai Botnet?
Mirai (malware)
Why IoTroop / Reaper Remains a Persistent Threat
ESET odhalil vypínač, ktorý znefunkčnil obávaný IoT botnet Mozi
AKO SA UBRÁNIŤ PRED MIKROTIK BOTNETOM HAJIME