Hlavní navigace

Senzory Martina Malého: A pak se objeví červ, který infikuje Arduina

Martin Malý

Bezpečnost zařízení pro Internet věcí je vděčné téma. Samozřejmě, nic není tak žhavé, jak to podle novinových titulků vypadá.

Útoky DDoS, provedené pomocí zařízení s přístupem k internetu, jsou čtenářsky vděčné téma. Spojují v sobě nedůvěru k novinkám (zde IoT) a hrůzné následky (miliony lidí nemohly zveřejnit fotky svého jídla na Instagramu). Ne, to samozřejmě zlehčuju, jak se to tak ve sloupcích dělává. Ve skutečnosti je riziko nemalé, protože včera to byl Instagram či Twitter, zítra to bude třeba něco důležitého a pozítří samotné servery EET! Já bych všechny ty Internety věcí zakázal!

A už dokonce i Arduina! Na kurzech říkáme lidem, že Arduina jaksi nejsou moc napadnutelná, protože jsou “secured by obscurity”, nemají vlastní operační systém a přeprogramování na dálku není tak snadné… Jenže pak se objeví ArduWorm, tedy červ, který infikuje Arduina, a co teď?

Samozřejmě, nic není tak žhavé, jak to podle novinových titulků vypadá. ArduWorm je spíš PoC (Proof of Concept) než reálná hrozba a neznamená to, že jsou všechna Arduina napadnutelná. Jedná se o jeden konkrétní model, a tím je Arduino Yún.

Arduino Yún je takový pozoruhodný hybrid. Obsahuje jednočip AVR, jak už jsme u Arduin zvyklí, ale zároveň obsahuje i “internetovou” část, postavenou na Atherosu AR9331 a systému Linino, založeném na OpenWrt. ArduWorm funguje díky jedné vlastnosti tohoto slepence – Linino totiž plně důvěřuje AVR. ArduWorm proto neútočí přímo na Linino, ale na AVR… Samozřejmě se může šířit z Yúnu na Yún, zůstává natrvalo součástí systému a vůbec se chová tak, jako jiní červi.

Přesto asi není důvod k panice a hromadnému ničení Arduin. Je tu spousta mnohem lákavějších cílů než poměrně málo rozšířené Arduino Yún a nabízejí jednodušší postupy – třeba defaultní a nezměnitelná hesla, že…

Kdo nemá Yún, dá tam Raspberry, a kdo nemá ani Raspberry Pi, dá tam Orange Pi. Čínský výrobce Shenzhen Xunlong vyrábí miniaturní jednodeskové počítače, podobné Raspberry, s označením Orange Pi. Takových výrobců je spousta – ostatně na Rootu vyšel začátkem roku přehled podobných počítačů, jenže během roku informace zastarají, protože výrobci přidávají stále novější a výkonnější modely, popřípadě novější a levnější. 

To je případ Orange Pi Zero: za sedm dolarů získáte jednodeskový mikropočítač se čtyřjádrovým procesorem Allwinner H2+ (Cortex -A7) na 1,2GHz, 256MB RAM (za 512 si dva dolary připlatíte), s Wifi, 10/100M Ethernetem (možnost PoE) a USB portem (1 host + 1 OTG). Videovýstup lze zařídit přes konektor, podobně jako u RasPi Zero. O další dolar navíc pak stojí OrangePi One: zde je procesor Allwinner H3, konektor pro HDMI na desce, ale bez WiFi.

S nástupem různých LPWAN sítí roste i poptávka po jednoduchých devkitech s transceivery LoRaWAN či Sigfox. Zajímavou variantu nabízí Marvin. Jde o vývojovou desku ve tvaru USB sticku, s procesorem ATmega32u4 (tedy zhruba odpovídající procesoru v nejběžnějším Arduinu), s několika konektory pro připojení senzorů a s integrovaným modulem pro síť LoRa. Cena není moc příznivá, 70 EUR za kit bez senzorů a 80 za kit s powerbankou a teploměrem není asi nic, nad čím bychom mohli jásat, ale doufejme, že časem bude takovýchto kitů dostupných víc a konkurence srazí jejich cenu někam k přijatelné hranici.

Mimochodem, pokud si chcete vyzkoušet práci se sítí LoRaWAN, přijďte 25. 11. do Impact Hubu v Praze, koná se zde už třetí IoT Hackaton Českých Radiokomunikací. Další informace a registrační formulář naleznete na pripoj.me.

Našli jste v článku chybu?

18. 11. 2016 16:40

Klik je cvik (neregistrovaný)

V oblasti bezpečnosti se všeobecně ví, že řetěz je jen tak silný jako jeho nejslabší článek, a tady útok není proti systému,proto psaní červa pro AVR není tak jednoduché.

I přesto bych nebezpečí nezlehčoval.

16. 11. 2016 9:28

desdy (neregistrovaný)

Včera a dneska byl hackathon s IQRF moduly. Podle mě, naprosto úžasná zařízení. Ano, nestojí to stejně jako ESP8266, ale srovnávat tyto dvě zařízení stejně nelze...

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

DigiZone.cz: Zdeněk Gerlický: nový ředitel nangu.tv

Zdeněk Gerlický: nový ředitel nangu.tv

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

120na80.cz: Stoná vaše dítě často? Upravte mu jídelníček

Stoná vaše dítě často? Upravte mu jídelníček

Podnikatel.cz: Daňové úlevy s EET nestačí. Budou zdražovat

Daňové úlevy s EET nestačí. Budou zdražovat

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Vitalia.cz: Analýza letáků: Na co lákají do prodejen?

Analýza letáků: Na co lákají do prodejen?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Nejlepší obranou při nachlazení je útok

Nejlepší obranou při nachlazení je útok

DigiZone.cz: Vedení ČRo: personální změny od ledna

Vedení ČRo: personální změny od ledna

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Root.cz: Kamery Sony se dají ovládnout na dálku

Kamery Sony se dají ovládnout na dálku