Czy moje inteligentne urządzenia domowe mnie szpiegują?

Niektóre tak – zgodnie z projektem. Inteligentne głośniki nasłuchują słów budzących i po uruchomieniu przesyłają próbki dźwięku do chmury. Inteligentne kamery mogą przesyłać strumieniowo wideo do magazynu w chmurze. Kontrola prywatności różni się w zależności od dostawcy; Apple, Amazon i Google publikują szczegółowe polityki prywatności, ale historia ich wdrażania jest nierówna. Przed zakupem sprawdź ustawienia urządzenia i politykę sprzedawcy.

Czy moje urządzenie inteligentne może zostać wykorzystane do atakowania innych witryn?

Tak, jeśli zostanie to naruszone. Zaatakowane urządzenie IoT dołącza do botnetu wynajmowanego do ataków DDoS. Nie zauważyłbyś tej aktywności, chyba że Internet będzie wolniejszy w oknach ataków. Wzorzec Mirai nadal działa na wielu urządzeniach konsumenckich.

Czy powinienem umieścić urządzenia IoT w oddzielnej sieci?

Tak. Wiele routerów konsumenckich oferuje sieci dla gości, które uniemożliwiają urządzeniom IoT dotarcie do innych urządzeń w sieci LAN. Kilka z nich obsługuje odpowiednie sieci VLAN lub dedykowane segmenty IoT. Segmentacja sieci ogranicza szkody w przypadku naruszenia bezpieczeństwa urządzenia — może zaatakować Internet, ale nie Twój laptop.

Jak długo urządzenia IoT powinny otrzymywać aktualizacje zabezpieczeń?

Dobrą praktyką branżową jest co najmniej oczekiwany czas życia urządzenia — ponad 5 lat w przypadku produktów takich jak kamery, ponad 7 lat w przypadku routerów i głównych urządzeń. Większość dostawców wypada słabo. Poszukaj pisemnego zobowiązania w specyfikacji produktu; brak zobowiązań oznacza żółtą flagę.

Czy oprogramowanie typu open source jest bezpieczniejsze?

Czasami. OpenWrt, Tasmota, Home Assistant ESPHome zapewniają długoterminowe obsługiwane alternatywy dla niektórych kategorii urządzeń. Bezpieczeństwo jest mniej więcej tak samo dobre, jak w przypadku zewnętrznych opiekunów — ogólnie lepsze niż oprogramowanie sprzętowe porzuconego dostawcy, ale nie magiczne. Listy zgodnego sprzętu informują, które urządzenia obsługują wymianę oprogramowania sprzętowego.

Wyjaśnienie bezpieczeństwa IoT: dlaczego Twoja inteligentna kamera dołączyła do botnetu

Urządzenia Internetu rzeczy są dostarczane z domyślnymi hasłami, nigdy nie otrzymują aktualizacji oprogramowania sprzętowego i pozostają w sieci przez lata, gdy producent przestanie się tym przejmować. Łącznie te właściwości stworzyły największą armię botnetów, jaką kiedykolwiek widział Internet — Mirai, Mozi i ich następców. Historia bezpieczeństwa IoT to historia tego, jak skala i bezpieczeństwo nie spotkały się ze sobą.

Poniżej znajduje się pełna treść artykułu w języku angielskim.

Bezpieczeństwo

IoT (Internet rzeczy) obejmuje ochronę urządzeń podłączonych do sieci, które nie są laptopami, telefonami ani tradycyjnymi serwerami — kamer, routerów, inteligentnych głośników, termostatów, dzwonków do drzwi, żarówek, niani elektronicznych i czujników przemysłowych. Kategoria ta gwałtownie wzrosła z kilkuset milionów urządzeń w 2015 r. do ponad 25 miliardów w 2026 r., a stan bezpieczeństwa nie dotrzymuje tempa.

Dlaczego bezpieczeństwo Internetu Rzeczy jest wyjątkowo złe

Cztery powody strukturalne:

Niezwykle niewielkie marginesy. Konkuruje kamera IP za 20 USD na cenę; producent nie ma budżetu na inżynierię zabezpieczeń ani długoterminowe wsparcie.
Domyślne dane uwierzytelniające. Większość urządzeń jest dostarczana z ustawieniami administratora/administratora, administratora/hasła lub udokumentowanymi ustawieniami domyślnymi dla poszczególnych dostawców. Wielu użytkowników nigdy ich nie zmienia.
Brakuje mechanizmu aktualizacji lub jest on uszkodzony. Wiele urządzeń nie ma automatycznej aktualizacji; niektóre mają aktualizacje wymagające ręcznego pobrania i instalacji; niektóre mają aktualizacje, których producent przestaje publikować po 1–2 latach.
Domyślnie połączone. Wiele urządzeń IoT łączy się z usługami w chmurze bez monitu, wymagając ścieżek przychodzących lub trwałych połączeń wychodzących z pominięciem NAT.

Historia Mirai

W 2016 r. Botnet Mirai skompromitował setki tysięcy urządzeń IoT — głównie rejestratorów DVR i kamer IP — i wykorzystał je w rekordowych atakach DDoS na Krebs na Security, OVH i dostawcę DNS Dyn (który na wiele godzin zablokował połowę Internetu konsumenckiego).

Podejście Mirai było proste: przeskanuj Internet w poszukiwaniu telnet/SSH na porcie 23/22, wypróbuj małą listę fabrycznych par nazwa użytkownika/hasło, zainstaluj bota, jeśli się powiedzie. Nie było żadnych exploitów, żadnych dni zerowych, żadnych sprytnych sztuczek. Luka dotyczyła tego, że „urządzenie jest dostarczane z administratorem/adminem i znajduje się w publicznym Internecie”. Samo to wystarczyło do setek tysięcy infekcji.

Kod źródłowy Mirai wyciekł do wiadomości publicznej pod koniec 2016 roku. Następnie pojawiły się dziesiątki pochodnych — Hajime, Persirai, Reaper, Mozi, IZ1H9. Ten sam schemat ataków sprawdza się w 2026 r.; ewoluują tylko cele urządzeń i listy danych uwierzytelniających.

Główne klasy luk w zabezpieczeniach IoT

Poświadczenia domyślne lub zakodowane na stałe. Nadal najpopularniejsze.
Odsłonięte interfejsy zarządzania w Internecie. Telnet, Panele administracyjne SSH i HTTP dostępne z dowolnego miejsca.
Nieaktualne oprogramowanie. Wbudowane dystrybucje Linuksa sprzed wielu lat od aktualizacji zabezpieczeń jądra.
Luki w zabezpieczeniach związane z uszkodzeniem pamięci. Kod osadzony w C i C++ bez nowoczesnych zabezpieczeń (bez ASLR, w niektórych przypadkach bez kanarków stosu) platformy).
Niebezpieczne usługi w chmurze. Aplikacje mobilne komunikujące się z chmurą dostawcy za pośrednictwem interfejsów API pozbawionych uwierzytelnienia, ujawniając urządzenia innych użytkowników.
Powierzchnie ataku fizycznego. Nagłówki debugowania, JTAG, odsłonięty serial, niezaszyfrowana pamięć flash pamięć masowa.

Problem z cyklem życia

Typowa kamera bezpieczeństwa kupiona w 2026 r. ma:

1–3 lata aktualizacji oprogramowania sprzętowego od producenta (jeśli występują)
A Okres użytkowania wynoszący 5–10 lat sieć
Brak mechanizmu powiadamiającego o zatrzymaniu aktualizacji

Po zatrzymaniu aktualizacji urządzenie nadal działa, ale gromadzi się w nim niezałatane luki w zabezpieczeniach. Użytkownik nie ma sygnału, że coś jest nie tak. Urządzenie jest szczęśliwie zagrożone i można uzyskać do niego dostęp przez Internet przez lata.

Co robią organy regulacyjne

Rozpoczęła się reakcja polityczna:

UE Ustawa o odporności cybernetycznej (obowiązuje od 2026 r.) nakłada wymagania dotyczące bezpieczeństwa, obsługi luk w zabezpieczeniach i zobowiązań w zakresie aktualizacji zabezpieczeń dla połączonych produktów sprzedawanych w EU.
UK Ustawa o bezpieczeństwie produktów i infrastrukturze telekomunikacyjnej (2022) zakazuje urządzeń z domyślnymi poświadczeniami i wymaga ujawnionych okresów wsparcia.
California SB-327 (2020) wymaga „rozsądnych” funkcji zabezpieczeń i unikalnych ustawień domyślnych hasła.
FCC's Cyber Trust Mark (Stany Zjednoczone, wdrażanie w latach 2024–2026) — dobrowolne oznaczanie zgodnych urządzeń.

Wpływ na rynek jest powolny, ale widoczny: główni producenci (TP-Link, Netgear, Eufy) rozpoczęli wysyłkę urządzeń z unikalnymi losowymi hasłami początkowymi i przynajmniej zapowiedzieli aktualizację Windows.

Co możesz zrobić jako użytkownik

Zmień domyślne hasło. Krok pierwszy dla każdego urządzenia.
Wyłącz widoczność interfejsów zarządzania w Internecie. Jeśli kamera nie musi być dostępna z zewnątrz, nie przekierowuj portów do it.
Segmentuj sieć. Oddzielna sieć VLAN/SSID dla urządzeń IoT, odizolowana od laptopów i telefonów. Większość routerów konsumenckich obsługuje obecnie sieci gościnne; niektóre obsługują pełną segmentację VLAN.
Aktualizuj oprogramowanie sprzętowe. Sprawdzaj okresowo; wielu dostawców nie wysyła automatycznie.
Preferuj urządzenia z udokumentowanymi zobowiązaniami do aktualizacji. Marki, które publikują harmonogram pomocy technicznej, są bardziej niezawodne niż te, które tego nie robią.
Kupuj od głównych dostawców, jeśli to możliwe. Nieznana kamera za 7 USD na Amazon jest prawie na pewno mniej bezpieczna niż Eufy lub Ring za 40 USD produkt. Nie zawsze, ale średnio.
Wymień porzucone urządzenia. Po zatrzymaniu aktualizacji urządzenie należy wycofać, a nie pozostawiać włączone.

Często zadawane pytania

Czy moje inteligentne urządzenia domowe mnie szpiegują?: Niektóre tak – zgodnie z projektem. Inteligentne głośniki nasłuchują słów budzących i po uruchomieniu przesyłają próbki dźwięku do chmury. Inteligentne kamery mogą przesyłać strumieniowo wideo do magazynu w chmurze. Kontrola prywatności różni się w zależności od dostawcy; Apple, Amazon i Google publikują szczegółowe polityki prywatności, ale historia ich wdrażania jest nierówna. Przed zakupem sprawdź ustawienia urządzenia i politykę sprzedawcy.
Czy moje urządzenie inteligentne może zostać wykorzystane do atakowania innych witryn?: Tak, jeśli zostanie to naruszone. Zaatakowane urządzenie IoT dołącza do botnetu wynajmowanego do ataków DDoS. Nie zauważyłbyś tej aktywności, chyba że Internet będzie wolniejszy w oknach ataków. Wzorzec Mirai nadal działa na wielu urządzeniach konsumenckich.
Czy powinienem umieścić urządzenia IoT w oddzielnej sieci?: Tak. Wiele routerów konsumenckich oferuje sieci dla gości, które uniemożliwiają urządzeniom IoT dotarcie do innych urządzeń w sieci LAN. Kilka z nich obsługuje odpowiednie sieci VLAN lub dedykowane segmenty IoT. Segmentacja sieci ogranicza szkody w przypadku naruszenia bezpieczeństwa urządzenia — może zaatakować Internet, ale nie Twój laptop.
Jak długo urządzenia IoT powinny otrzymywać aktualizacje zabezpieczeń?: Dobrą praktyką branżową jest co najmniej oczekiwany czas życia urządzenia — ponad 5 lat w przypadku produktów takich jak kamery, ponad 7 lat w przypadku routerów i głównych urządzeń. Większość dostawców wypada słabo. Poszukaj pisemnego zobowiązania w specyfikacji produktu; brak zobowiązań oznacza żółtą flagę.
Czy oprogramowanie typu open source jest bezpieczniejsze?: Czasami. OpenWrt, Tasmota, Home Assistant ESPHome zapewniają długoterminowe obsługiwane alternatywy dla niektórych kategorii urządzeń. Bezpieczeństwo jest mniej więcej tak samo dobre, jak w przypadku zewnętrznych opiekunów — ogólnie lepsze niż oprogramowanie sprzętowe porzuconego dostawcy, ale nie magiczne. Listy zgodnego sprzętu informują, które urządzenia obsługują wymianę oprogramowania sprzętowego.