Hlavní navigace

Juraj Malcho (ESET): Běžným lidem nedochází, že i chytrá televize se dá napadnout

Jan Sedlák

K internetu je připojeno stále více věcí, a to s sebou nese bezpečnostní hrozby. Zařízení by měla mít tlačítko, které by je od internetu odpojilo, říká technologický ředitel ESETu.

Doba čtení: 9 minut

Slovenská kyberbezpečnostní společnost ESET se vrhla také na vývoj antiviru pro chytré televize. Technologický ředitel firmy Juraj Malcho v rozhovoru pro Lupu popisuje, jaké útoky na smart TV hrozí a proč obecně internet věcí do budoucna může představovat problém.

ESET jako první velký hráč představil antivir pro chytré televize. Blíží se doba, kdy ho budeme mít i v ledničkách?

Lednička je stále něco jiného, z ní zatím asi nebudete surfovat na internetu. To už se s televizemi v podstatě dá. Dnes už se pomalu televize, která není chytrá, nedá koupit. Televize je v podstatě počítač a stejně, jako na ní může běžet užitečný software, se na ni může dostat malware.

Jakým způsobem se do chytrých televizí nejčastěji dostávají neplechy?

Pravda je, že to je stále scénář spíše teoretický nebo akademický, než to, že bychom útoky viděli nějak ve velkém. Ale zase je to jenom další Android, takže ty možnosti jsou stejné jako u chytrých telefonů s tímto systémem. Objevují se falešné aplikace, což je spolehlivý způsob doručení malwaru, a potom phishing.

Jsou zdrojem napadení také USB zařízení, která se k televizím připojují?

Android není úplně ten systém, jako jsme byli zvyklí u Windows, a autorun není ten samý případ. Možnost skenování připojených zařízení ale máme také. Už jenom z tohoto důvodu, že je možné na zařízení vložit nějaké androidové .apk a udělat sociální inženýrství – ikona může vypadat jako film a podobně.

Prozatím se nejvíce mluví o útocích ransomwaru, který zcela televizi zablokuje. Je to zatím nejčastější typ útoků?

Přesnou statistiku nemám. Je pravda, že ransomware je vidět. Ale to může být dáno i tím, že ransomware je prostě vidět a některé útoky vidět nejsou. Na Androidu obecně je často k vidění adware. V rámci výzkumu často narážíme na to, že chytré televize s ransomwarem jsou „bricknuté“ a v podstatě se s tím nedá skoro nic dělat. Zkoušíme také, zda se televize dají využívat k těžbě kryptoměn, a samozřejmě to jde. O tom uživatelé ani nemusí vědět – dívají se na televizi a ta zatím těží krypto. Všechna zařízení, která mají nějaký výpočetní výkon, mají potenciál být zneužívaná.

Juraj Malcho, ESET
Autor: ESET

Juraj Malcho, ESET

Kolik různých typů útoků se tedy na chytré televize vyskytuje?

Je jich spíše málo. Televize jsou v podstatě mobilní platformy, takže nejsou k vidění nějací červi, kteří by sami něco dělali, ale útočníci jsou spíše závislí na akcích uživatele. Nachytá ho nějaká webová stránka, on odklepne bezpečnostní hlášku a podobně. Pak jsou zde také exploity přes DVB-T. Celý IoT svět je super do okamžiku, kdy si člověk řekne, že by chtěl být odpojený, ale ono to nejde.

Jak velké systémové prostředky si vaše ochrana chytré televize bere?

Dopady by měly být minimální. Tato věc trápí zejména uživatelé mobilů, kvůli výdrži baterie a podobně. U televizí jde o minimální skeny – když nastává nějaká změna. Jakmile se něco stáhne, spustí se sken a tak dále. Nejde o kontinuální trackování paměti jako u Windows produktů, to se tomu neblíží. Je to postavené na mobilním produktu. Když je mobilní produkt schopný běžet tak, aby co nejméně likvidoval baterii, na televizi to není problém. Výkonností rezerva je zcela v pořádku a spotřeba je rovněž zanedbatelná.

Jak zásadně se Android TV liší oproti běžnému mobilnímu Androidu?

Není to úplně to samé. TV verze je určitě oproti mobilní zjednodušená. Vše je kompatibilní, principiálně je to to samé. Mám napsaný kód a udělám kompilaci na jednu a druhou platformu. Některé věci z mobilů fungují i na televizi. Kvůli tomu, že jde principiálně o jednu a tu samou věc, jsme při vývoji vyšli z produktu pro mobilní Android a řešení pro smart TV spadá i pod naši mobilní sekci. Když to zjednoduším a přitáhnu za uši, vezmeme ten samý kód a pouze ho překompilujeme na jiný procesor.

Máte už zjištěné reakce uživatelů na to, že by se měli najednou o antivir starat i na televizi? Ostatně ne každý přistoupil na to, že by bezpečnostní řešení měl mít na mobilu.

Budou to takové ty klasické skupiny. Někdo to vezme, někdo řekne, že ho to nezajímá, a asi tak 10 procent bude „trollovat“ a říkat, že je to nesmysl. První krok bude typická skepse, že smart TV není problém. Ale může to být jako s tradičním Androidem. Když s ním uživatel nic nedělá, má nainstalovány standardní aplikace a nechodí na nakažené webové stránky či nebezpečné veřejné Wi-Fi, může být celkem v klidu. Záleží na jeho chování v digitálním prostoru. Pokud se uživatel nechová bezpečně, rizika zde jsou.

Jakmile se nebude dát koupit „nechytrá“ televize, bude smart TV v každé rodině, a ne každý se v těchto věcech orientuje. Běžným lidem nedojde, že i televize by se dala napadnout. Ne každý je odborník. U televizí je to dnes o tom být připravený a vidět možnosti. U chytrých telefonů dávno vidíme, že útoky jsou realita a hýbe se to společně s populací. Jakmile se něco stane rozšířeným a populárním, začne to zajímat i útočníky. Jdou tam, kde jsou lidé a peníze.

Jak k bezpečnosti chytrých televizí přistupují jejich výrobci?

Mají vlastní App Store a měli by vládnout nad svými aplikacemi. Nasazují model, který byl vyzkoušený a nasazený jinde. Jinak je to případ od případu. Například Sony se nad tím hodně zamýšlí, ostatně jsme spolu uzavřeli spolupráci.

Dnes máte antivir pro Android TV. Zajímají vás i systémy typu Tizen (Samsung) či webOS (LG)? Mají také problémy s bezpečností?

Na další systémy jsme se ještě pořádně nedívali. Android byl pro nás přímočarý v tom, že už jsme měli kód napsaný a dal se portovat a také máme silný výzkum zaměřený na útoky na Androidu. Máme lidi, kteří se v tom vyznají, a také vidíme, že škodlivý kód je adaptovatelný. Například jedním z důvodů toho, proč pro macOS stále není tolik malwaru, je to, že by bylo třeba napsat něco nového. A to se nikomu moc nechce. Na televizi s Androidem se to dá udělat rychle. U Tizenu či webOS přesně situaci neznám. Jde každopádně o velmi uzavřené platformy.

Chytré televize spadají do širší koncepce internetu věcí (IoT). Ten se začíná různě využívat a často slýchám, že v případě IoT a „všeho“ připojeného k síti bude třeba zcela přehodnotit přístup ke kybernetické bezpečnosti. Přemýšlíte nad tím podobně?

Určitě ano. Z osobních počítačů a přístrojů se velká část věcí přesunula k poskytovatelům cloudových služeb – e-maily, soubory a podobně. Řekněme, že tito cloudoví provideři nasadili dobré bezpečnostní technologie, instalují aktualizace, nemají tam malware a podobně. Přichází ale nové problémy spojené se správou přístupů. Kdo ke službě přistupuje, kdy, jak?

IoT přináší do hry správu obrovského množství zařízení. Reálně spravovat hromady incidentů, které budou chodit třeba z desítek tisíc senzorů, to už je statistika, to není bezpečnost toho typu, jaká se dělala. Přichází technologie typu umělá inteligence – je to buzzword, ale v tomto případě je to přesně ono. Je to způsob, jak tyto věci dát dohromady, podívat se na ně a hledat anomálie. Anomálie je to klíčové slovo. Statistika mi dá statický pohled na to, kde jsme dnes, ale zítra to může být jinak. Aktivní útočník statistiku může vygenerovat, vynutí si, že jistý typ událostí bude tolerovaný a jiný typ nebude, a poté toho zneužije. Tyto útoky začínají reálně fungovat.

K čemu jsou dnes IoT zařízení nejvíce zneužívána?

Nejvíce viditelné jsou DDoS útoky. Všechna ta zařízení mají konektivitu. Může docházet k únikům informací. Senzor může mít uloženy některé údaje. Na GitHubu je k dispozici AutoSploit – automatický hackovací framework. Je to kombinace Shodanu a Metasploitu. To je velký průšvih. Někdo zmáčkne tlačítko a díky známým zranitelnostem může sestřelovat zařízení. Je to výstraha pro ty, kteří říkají, že kyberbezpečnostní průmysl straší nějakými bubáky.

V dalších generacích IoT bych nad tím přemýšlel ještě více. A také bych zavedl něco jako certifikát pro případ, když nechci být připojený. Zařízení, která by měla hardwarový „kill switch“, by měla nějaký emblém. Nemusíme se bavit pouze o senzorech, ale i třeba autech. K čemu mi je, aby auto bylo neustále připojené? Řada věcí – jako třeba update firmwaru na dálku – je super, ale nemusím být připojený pořád, stačí jen když chcete a potřebujete.

Třeba na autech je jedna věc kritická. Nikdo nechce, aby se útočníci dostali k ovládání auta. Když někdo sbírá takzvanou „crowdsource intelligence“, chce samozřejmě data od každého, protože jim to pak zvyšuje kvalitu služby a produktu. Ale jakmile se začnou vyskytovat opakované problémy, začnou se nad tím lidé zamýšlet. Řada automobilek už naráží na to, že jde na dálku jejich auta odemykat a podobně.

Pak tu jsou všemožné průmyslové senzory. Tam už to jde směrem ke kritickým systémům typu energetika. Nedávno jsme viděli útoky Black Energy a další. Zde už se bavíme o další formě chybějícího zabezpečení. Průmyslové SCADA systémy jsou často technologie z devadesátých let a nemají téměř žádné zabezpečení. Když byly navrhovány, nikdo neřešil problémy dneška. V tom dnes fungujeme.

Na Shodanu mě vždy překvapí, kolik je tam možné najít připojených a nezabezpečených zdravotnických zařízení…

To je hodně velké téma. Jsou to specifické průmyslové systémy, které na sebe navíc připojují ještě lidi. Řada zařízení byla například designovaná před deseti lety a běží na nich Windows XP. Nějaké změny, úpravy a tak dále by stály hromadu peněz, takže se do toho nikdo nechce pouštět. To vyplývá z debat, které s tímto průmyslem máme. Nemocnice sice často mají moderní síť, tablety, počítače s Windows 10 a kdo ví co. Pak je tam ale také přístroj na magnetickou rezonanci připojený k internetu kvůli updatům firmwaru, který běží na XPčkách.

Je legacy IT velký bezpečnostní problém?

Když odstraním známé bugy, tak přesně vím, co jsem vyřešil. Shodan, tak jak dnes vypadá, by měl nulový „output“. Ale byl by nahrazen něčím jiným. A to „něco“ by začalo ten Shodan něčím krmit. I nová zařízení budou mít své problémy. Komplexita toho, do čeho se lidstvo pouští, to propojení všeho, je obrovská.

Je řešením nějaká forma regulace?

Regulace bude mít svoje limity. Úplně základní věcí je třeba elektromagnetická kompatibilita zařízení. Na to jsou základní normy a podobně a většina zařízení je splňuje. Některé je ale nesplňují, přijdou odněkud z východu. Když se bavíme o IoT, některá zařízení budou v pořádku, ale někdo si řekne, že to udělá za polovinu a pár věcí obejde nebo je nedotáhne. Je třeba naučit spotřebitele, aby nekupovali ty nejlevnější věci.

V rámci IoT a digitalizace po lidech zůstane obrovské množství stop, jen na základě dat, co budou třeba z domácností. Na to bude regulace, ale legislativa sama často vůbec neví, jak si tyto věci vykládat. Když budeme mít takové množství všelijakých informací, bude to mít dopad na soukromí a identifikovatelnost. Zařízení budou přes ID vždy identifikovatelná. Stačí udělat první spárování a je to. A když jedna věc nebude fungovat, spáruji jich více. Dnes už má doma každý řadu připojených zařízení – tablety, počítače, telefony, smart měřiče, televize… Vyrobí se základní profil, patterny.

WT100 tip v článku Kabátová

Očekáváte dystopickou propojenou budoucnost?

Snad ne. Nakonec o tom je i to, že si komunita věci uvědomuje, a stejně tak přichází regulace. Vezměme si třeba cloud. V Evropě se na něj ještě stále lidé dívají trochu podezíravě, ve Státech na něj naskákali všichni. Ale také tomu vždy nebyli odevzdaní. Přišel tlak regulátorů na zabezpečení, reporting, přístupy a tak dále. Firmy byly donucené se tím zabývat. Cloud providerem nemůže být jen tak někdo. Svou roli stejně tak hrají vývoj a ekonomické zájmy. Je třeba poslouchat zákazníky, kteří chtějí bezpečné řešení.

Našli jste v článku chybu?