Špehujú ma moje zariadenia pre inteligentnú domácnosť?

Niektoré áno – podľa návrhu. Inteligentné reproduktory počúvajú slová prebudenia a po spustení odosielajú zvukové vzorky do cloudu. Inteligentné kamery môžu streamovať video do cloudového úložiska. Ovládanie ochrany osobných údajov sa líši podľa predajcu; Apple, Amazon a Google zverejňujú podrobné pravidlá ochrany osobných údajov, ale história implementácie je nerovnomerná. Pred nákupom skontrolujte nastavenia zariadenia a zásady predajcu.

Dá sa moje inteligentné zariadenie použiť na útok na iné stránky?

Áno, ak bude ohrozený. Kompromitované zariadenie internetu vecí sa pripojí k botnetu, ktorý je prenajatý na útoky DDoS. Aktivitu by ste si nevšimli, s výnimkou pomalého internetu počas útočných okien. Vzor Mirai aj dnes funguje proti mnohým spotrebiteľským zariadeniam.

Mám umiestniť zariadenia IoT do samostatnej siete?

áno. Mnoho spotrebiteľských smerovačov ponúka hosťujúce siete, ktoré bránia IoT zariadeniam dostať sa k vašim ďalším LAN zariadeniam. Niekoľko z nich podporuje správne siete VLAN alebo vyhradené segmenty internetu vecí. Segmentácia siete obmedzuje poškodenie v prípade napadnutia zariadenia – môže zaútočiť na internet, ale nie na váš laptop.

Ako dlho by mali zariadenia internetu vecí dostávať bezpečnostné aktualizácie?

Osvedčeným postupom v tomto odvetví je prinajmenšom predpokladaná životnosť zariadenia – 5+ rokov pre produkty ako kamery, 7+ pre routery a veľké zariadenia. Väčšina predajcov zaostáva. Hľadajte písomný záväzok v špecifikáciách produktu; absencia záväzku je žltá vlajka.

Je firmvér s otvoreným zdrojom bezpečnejší?

Niekedy. OpenWrt, Tasmota, Home Assistant ESPHome vám poskytujú dlhodobo podporované alternatívy pre niektoré kategórie zariadení. Bezpečnosť je zhruba taká dobrá ako u upstreamových správcov – vo všeobecnosti lepšia ako firmvér opusteného dodávateľa, ale nie mágia. Zoznamy kompatibilného hardvéru vám povedia, ktoré zariadenia podporujú náhradný firmvér.

Vysvetlenie bezpečnosti internetu vecí: Prečo sa vaša inteligentná kamera pripojila k botnetu

Zariadenia Internet of Things sa dodávajú s predvolenými heslami, nikdy nedostanú aktualizácie firmvéru a zostanú v sieti roky po tom, čo to výrobcu prestane zaujímať. Spolu tieto vlastnosti vytvorili najväčšie botnetové armády, aké kedy internet videl – Mirai, Mozi a ich nástupcovia. Príbeh bezpečnosti internetu vecí je príbehom o tom, ako sa rozsah a bezpečnosť nepodarilo nájsť.

Celé telo článku je uvedené v angličtine nižšie.

Zabezpečenie

IoT (Internet of Things) pokrýva ochranu zariadení pripojených k sieti, ktoré nie sú notebookmi, telefónmi ani tradičnými servermi – kamery, smerovače, inteligentné reproduktory, termostaty, zvončeky, žiarovky, detské pestúnky, priemyselné senzory. Kategória explodovala z niekoľkých stoviek miliónov zariadení v roku 2015 na viac ako 25 miliárd v roku 2026 a pozícia zabezpečenia neudržala krok.

Prečo je bezpečnosť internetu vecí jedinečne zlá

Štyri štrukturálne dôvody:

Razor1 fotoaparátov na konkurencii 10 dolárov. cena; výrobca nemá rozpočet na bezpečnostné inžinierstvo ani dlhodobú podporu.
Predvolené poverenia. Väčšina zariadení sa dodáva s admin/admin, admin/heslo alebo zdokumentovaným predvoleným nastavením pre jednotlivých dodávateľov. Mnoho používateľov ich nikdy nezmení.
Mechanizmus aktualizácie chýba alebo je poškodený. Mnohé zariadenia nemajú žiadnu automatickú aktualizáciu; niektoré majú aktualizácie, ktoré vyžadujú manuálne stiahnutie a inštaláciu; niektoré majú aktualizácie, ktoré výrobca prestane vydávať po 1 až 2 rokoch.
Predvolene pripojené. Mnohé zariadenia internetu vecí oslovujú cloudové služby bez výzvy a vyžadujú si prichádzajúce cesty alebo trvalé odchádzajúce pripojenia, ktoré obchádzajú príbeh NAT.

XPLZ26PL2XThe Mira26 Botnet Mirai kompromitoval stovky tisíc zariadení internetu vecí – predovšetkým DVR a IP kamier – a použil ich na rekordné DDoS útoky proti Krebsovi na bezpečnosť, OVH a poskytovateľovi DNS Dyn (ktorý na niekoľko hodín zničil polovicu spotrebiteľského internetu). malý zoznam párov používateľského mena/hesla predvolených z výroby, v prípade úspechu nainštalujte robota. Neexistovali žiadne exploity, žiadne zero-days, žiadne chytré triky. Chyba bola „zariadenie sa dodáva s admin/správcom a je na verejnom internete“. To samo osebe stačilo na státisíce infekcií. Zdrojový kód
Mirai bol zverejnený koncom roka 2016. Nasledovali desiatky derivátov — Hajime, Persirai, Reaper, Mozi, IZ1H9. Rovnaký vzor útoku funguje v roku 2026; vyvíjajú sa iba ciele zariadení a zoznamy poverení.
Hlavné triedy zraniteľnosti internetu vecí
Predvolené alebo napevno zakódované poverenia. Stále najbežnejšie.
XPLZ43sed,XXPLZ4Sieť. Správcovské panely HTTP sú dostupné odkiaľkoľvek.
Zastaraný softvér. Vstavané distribúcie Linuxu po rokoch aktualizácií zabezpečenia jadra.
Chyby spojené s poškodením pamäte. C a C++ nie je možné nahromadiť žiadne vstavané kódy bez moderných zmierňovačov ASLR platformy).
Nezabezpečené cloudové služby. Mobilné aplikácie, ktoré komunikujú s cloudom dodávateľa prostredníctvom rozhraní API bez overenia, čím odhaľujú zariadenia iných používateľov.
Physical attack surface. Ladiace hlavičky, JTAG, nešifrovaný flash serial, úložisko.
Problém životného cyklu
Typická bezpečnostná kamera, ktorú si kúpite v roku 2026, má:
1–3 roky aktualizácií firmvéru od výrobcu (ak existujú)
A životnosť vás upozorní 0Z73XŽiadny mechanizmus v sieti2 5–1 keď sa aktualizácie zastavia
Po zastavení aktualizácií zariadenie naďalej funguje, ale hromadí sa neopravené zraniteľnosti. Používateľ nemá signál, že niečo nie je v poriadku. Zariadenie je šťastne kompromitované a dostupné z internetu už roky.
Čo robia regulačné orgány
Reakcia politiky sa začala:
EU Cyber Resilience Act (účinná aktualizácia z roku 2026) požiadavky na zabezpečenie pre predané produkty vulnera v príkazoch na zabezpečenie EU.
UK Zákon o bezpečnosti produktov a telekomunikačnej infraštruktúre (2022) zakazuje zariadenia s predvolenými povereniami a vyžaduje zverejnené obdobia podpory.
California vyžaduje jedinečné predvolené bezpečnostné funkcie a predvolené bezpečnostné funkcie heslá.
FCC Cyber Trust Mark (USA, uvedenie na trh v rokoch 2024 – 2026) — dobrovoľné označovanie vyhovujúcich zariadení.
Účinok na trh je ohlásený pomaly, ale je viditeľný: hlavní výrobcovia, zariadenia s náhodným heslom ELink a Netgear majú minimálne jedinečné windows.
Čo môžete urobiť ako používateľ
Zmeňte predvolené heslo. Prvý krok pre každé zariadenie.
Zakážte internetové vystavenie rozhraní správy. Ak fotoaparát nepotrebuje byť dostupný zvonku, nepreposielajte naň port X1ZXXPL0PLXXX1ZXXPL0PLXX. network. Samostatná VLAN/SSID pre IoT zariadenia, izolovaná od vašich notebookov a telefónov. Väčšina spotrebiteľských smerovačov teraz podporuje siete pre hostí; niektoré podporujú úplnú segmentáciu VLAN.
Aktualizujte firmvér. Pravidelne kontrolujte; mnohí predajcovia netlačia automaticky.
Uprednostňujte zariadenia so zdokumentovanými záväzkami aktualizácie. Značky, ktoré zverejňujú časovú os podpory, sú spoľahlivejšie ako tie, ktoré to nerobia.
Nakupujte od veľkých predajcov, ak je to možné. Krúžkový výrobok. Nie vždy, ale v priemere.
Nahradiť opustené zariadenia. Keď sa aktualizácie zastavia, zariadenie by sa malo vyradiť z prevádzky, nie ponechať spustené.

Často kladené otázky

Špehujú ma moje zariadenia pre inteligentnú domácnosť?: Niektoré áno – podľa návrhu. Inteligentné reproduktory počúvajú slová prebudenia a po spustení odosielajú zvukové vzorky do cloudu. Inteligentné kamery môžu streamovať video do cloudového úložiska. Ovládanie ochrany osobných údajov sa líši podľa predajcu; Apple, Amazon a Google zverejňujú podrobné pravidlá ochrany osobných údajov, ale história implementácie je nerovnomerná. Pred nákupom skontrolujte nastavenia zariadenia a zásady predajcu.
Dá sa moje inteligentné zariadenie použiť na útok na iné stránky?: Áno, ak bude ohrozený. Kompromitované zariadenie internetu vecí sa pripojí k botnetu, ktorý je prenajatý na útoky DDoS. Aktivitu by ste si nevšimli, s výnimkou pomalého internetu počas útočných okien. Vzor Mirai aj dnes funguje proti mnohým spotrebiteľským zariadeniam.
Mám umiestniť zariadenia IoT do samostatnej siete?: áno. Mnoho spotrebiteľských smerovačov ponúka hosťujúce siete, ktoré bránia IoT zariadeniam dostať sa k vašim ďalším LAN zariadeniam. Niekoľko z nich podporuje správne siete VLAN alebo vyhradené segmenty internetu vecí. Segmentácia siete obmedzuje poškodenie v prípade napadnutia zariadenia – môže zaútočiť na internet, ale nie na váš laptop.
Ako dlho by mali zariadenia internetu vecí dostávať bezpečnostné aktualizácie?: Osvedčeným postupom v tomto odvetví je prinajmenšom predpokladaná životnosť zariadenia – 5+ rokov pre produkty ako kamery, 7+ pre routery a veľké zariadenia. Väčšina predajcov zaostáva. Hľadajte písomný záväzok v špecifikáciách produktu; absencia záväzku je žltá vlajka.
Je firmvér s otvoreným zdrojom bezpečnejší?: Niekedy. OpenWrt, Tasmota, Home Assistant ESPHome vám poskytujú dlhodobo podporované alternatívy pre niektoré kategórie zariadení. Bezpečnosť je zhruba taká dobrá ako u upstreamových správcov – vo všeobecnosti lepšia ako firmvér opusteného dodávateľa, ale nie mágia. Zoznamy kompatibilného hardvéru vám povedia, ktoré zariadenia podporujú náhradný firmvér.