Bezpečnost IoT

Posted on by Monika P.
Bezpečnost IoT

Proč je bezpečnost IoT jiná (a náročnější)

Internet věcí (IoT) propojuje miliardy zařízení s heterogenní hardwarovou a softwarovou výbavou, rozptýlenou od domácností po průmyslové provozy. Bezpečnost v tomto prostředí se liší od klasického IT především dlouhou životností zařízení, omezenými zdroji (CPU, paměť, energie), širokým spektrem radiových protokolů a rozbitou odpovědností napříč dodavatelským řetězcem (čipset → modul → OEM → integrátor → provozovatel). Výsledkem je unikátní hrozbový profil, v němž se prolínají útoky na firmware, rádiové rozhraní, lokální sítě, cloudový backend i mobilní aplikace.

Hrozbový model IoT: vrstvy a útočné plochy

  • Zařízení (edge): bootloader, firmware, senzory/aktuátory, paměti (Flash/EEPROM), debug rozhraní (UART/JTAG/SWD), fyzické porty (USB).
  • Komunikační vrstva: Wi-Fi, Ethernet, BLE, Zigbee, Thread, Z-Wave, LoRaWAN, NB-IoT/LTE-M, 2G/3G/4G/5G, proprietární ISM (FSK/LoRa/802.15.4).
  • Lokální infrastruktura: brány (gateways), edge servery, směrovače, přístupové body.
  • Cloud/Backend: IoT huby, message brokery (MQTT/AMQP/CoAP), API, databáze, skladování telemetrie, analytika.
  • Klientské aplikace: mobilní/webové aplikace, digitální asistenti, integrační platformy (IFTTT, domácí huby).
  • Dodavatelský řetězec: vývoj, testování, CI/CD, podpisy firmware, distribuce aktualizací, OEM branding.

Typologie protivníků a motivace

  • Kyberzločinci: monetizace (botnety pro DDoS, ransomware, prodej přístupu, klikfraud na STB).
  • Insider/servisní partner: zneužití privilegovaných přístupů nebo servisních účtů.
  • Průmyslová konkurence: krádež duševního vlastnictví (firmware, modely ML), sabotáž kvality.
  • Aktivisté a hobby útočníci: odhalování slabin, modding, „funware“ útoky.
  • Státní aktéři: zpravodajské a sabotážní operace proti kritické infrastruktuře a výrobním linkám.

Nejčastější slabiny zařízení (device-level)

  • Nezabezpečený boot: chybí secure boot / ověřování podpisu; možnost nahrát modifikovaný firmware.
  • Default/pevná hesla: hard-coded účty, neznemožněná změna výchozích přihlašovacích údajů.
  • Nešifrované úložiště tajemství: klíče/API tokeny v plaintextu ve Flash, konfigurační JSON v /etc.
  • Otevřené debug porty: nezakrytý UART/JTAG umožňuje dump paměti, bypass autentizace.
  • Nedostatečná izolace procesů: monolitické RTOS obrazy bez MPU/MMU, chybí sandboxing.
  • Slabé aktualizační mechanismy: OTA bez podpisu, bez rollback ochrany, bez A/B oddílů.
  • Nesprávná správa oprávnění: všechno běží jako root, sdílené klíče mezi celou flotilou.
  • Insecure by design: telnet/FTP povolené, HTTP místo HTTPS, „cloud first“ bez lokálního ACL.

Rádiová a protokolová vrstva: specifická rizika

  • BLE: slabé pairing módy (Just Works), reuse LTK, útoky MITM a spoofing periferií.
  • Zigbee/Thread (802.15.4): sdílené network keys, slabé touchlink párování, downgrade a channel hopping útoky.
  • LoRaWAN: chybná správa AppKey/NwkKey, reuse DevNonce → replay; fyzické klonování uzlů.
  • NB-IoT/LTE-M: IMSI catching, slabá segmentace APN, nešifrované aplikační protokoly přes mobilní síť.
  • RF DoS a vyčerpání baterie: jamming, flooding join/subscribe, zneužití always-on příjmu.

Síťové a aplikační hrozby

  • Botnety a DDoS: zneužití slabých autentizačních/aktualizačních mechanismů, masové nábory (brute-force přes telnet/SSH/HTTP).
  • Laterální pohyb: pivot z IoT segmentu do citlivých VLAN (OT/IT) přes špatně nastavené routování/ACL.
  • Injekce a serializace: OS command injection v CGI/FastCGI, zranitelné webové panely zařízení, deserializační chyby.
  • MQTT/AMQP/CoAP zneužití: otevřené brokery bez ACL/TLS, wildcard subscriptions, topic enumeration.
  • Supply-chain malware: kompromitované SDK, závislosti v mobilních aplikacích, škodlivé aktualizační servery.

Cloud a mobilní aplikace jako kritické články

  • Chybná autentizace API: slabé OAuth toky, chybějící audience/scope validace, dlouho žijící tokeny.
  • Multi-tenant izolace: špatné scoping klíčů a identit → přístup ke cizím zařízením/telemetrii.
  • S3/BLOB expozice: veřejné bucket policy, logy s PII/klíči.
  • Reverse-engineering mobilních aplikací: extrakce API klíčů z APK/IPA, obcházení TLS pinningu.

Soukromí a bezpečnost dat

  • PII a senzitivní telemetrie: poloha, hlasová data, zdravotní údaje → riziko deanonymizace a sledování.
  • Nelegitimní sekundární využití dat: profilace, marketing, sdílení s třetími stranami bez řádného právního titulu.
  • Chybné retence: logy bez limitů, absence mazacích procesů a práva být zapomenut.

Fyzické útoky a side-channels

  • Tear-down & dump: odhalený UART/JTAG, chip-off (NAND/NOR), glitching (voltage/clock) pro bypass zabezpečení.
  • Side-channel analýza: odposlech EMI/spotřeby, únik kryptoklíčů z MCU.
  • Útoky na senzory: akustické, optické, teplotní injekce (např. falešná přítomnost, spoofing měření).

Mapování hrozeb na zranitelnosti (příklady)

Hrozba Zranitelnost Dopad
Botnet nábor Default hesla, otevřený telnet DDoS, blacklist IP, reputační škody
Firmware implant Chybějící secure boot/OTA podpis Tichá perzistence, krádež dat, pivot
MITM na MQTT Bez TLS/ACL, slabý broker Manipulace příkazů, exfiltrace telemetrie
Klíčová eskalace Shared secrets, plaintext ve Flash Komplet převzetí flotily
Jamming & battery drain Always-on příjem, bez anti-replay Výpadky služby, předčasné vybití

Specifika průmyslového IoT (IIoT) a OT

  • Propojení OT/IT: průmyslové protokoly (Modbus, Profinet) bez nativní bezpečnosti; gateway jako jediné místo enforcementu.
  • Bezpečnost procesů: riziko dopadu na bezpečnost osob a výrobu (safety vs. security konflikty).
  • Legacy zařízení: nemožnost patchovat, nutnost kompenzačních opatření (segregace, virtuální patche).

Řetězec dodávek: kde vznikají systemické chyby

  • Re-brand OEM: shodné firmware pro mnoho značek → hromadná zranitelnost.
  • SDK a knihovny: staticky linkované verze OpenSSL/mbedTLS bez aktualizací, proprietární šifrování.
  • Nezajištěná OTA služba: centralizovaný update server jako single point of failure a cíl pro supply-chain útok.

Metodiky hrozbového modelování pro IoT

  • STRIDE (na úrovni zařízení a API): spoofing, tampering, repudiation, information disclosure, DoS, elevation.
  • LINDDUN (na soukromí): linkage, identifiability, non-repudiation, detectability, disclosure, unawareness, non-compliance.
  • Kill-chain IoT: průzkum (RF sken, Shodan) → přístup (cred stuffing, UART) → perzistence (implant/cron) → C2 (MQTT/HTTP) → rozšíření (worm) → monetizace.

Detekce a reakce: co sledovat v IoT prostředí

  • Telemetrie bezpečnosti: anomální frekvence spojení, odchylky payloadu, změny certifikátů, chybové kódy OTA.
  • Edge logování: eventy z bootloaderu, selhání verifikace podpisu, přepnutí oddílu, pády watchdogu.
  • Síťová analýza: DNS tunneling, neznámé C2 domény, skokový nárůst MQTT publish/sub.
  • Forenzní připravenost: chráněné logy, vzdálený konzolový přístup, reproducibilní buildy a symboly pro analýzu.

Kompenzační a preventivní kontroly (high-level)

  • Bezpečný životní cyklus: threat modeling, SAST/DAST, fuzzing, podpisy artefaktů, SBOM, pravidelné OTA s rollback ochranou.
  • Hardwarové kotvy: secure element/TPM, PUF, anti-rollback a měřený boot, chráněné úložiště klíčů.
  • Komunikace: TLS 1.2+/DTLS s oboustranným ověřením, MQTT s ACL a per-device certifikáty, princip minimální důvěry (zero trust segmentace).
  • Identita a klíče: unikátní klíče na zařízení (ne shared secrets), pravidelná rotace, krátká expirace tokenů.
  • Segmentace a gatewaye: oddělení IoT/OT VLAN, firewall L3/L7, pouze egress do definovaných cloudových endpointů.
  • Správa zranitelností: inventář flotily, verze firmware, SBOM mapované na CVE, maintenance okna.
  • Privacy by design: minimalizace dat, edge agregace/anonimizace, řízená retence a dohledatelnost přístupů.

Testování a audit IoT komponent

  • Penetrační testy specifické pro IoT: teardown, RF pentest, fuzzing protokolů (CoAP/MQTT), OTA řetězec a cloud API.
  • Bezpečnostní hodnocení firmware: statická analýza (strings, symboly, kryptografie), hledání známých balíčků a CVE.
  • Laboratorní simulace: emulace MCU/SoC, HW-in-the-loop, testy výpadků napájení a poruch rádia.

Metriky rizika a prioritizace opatření

  • Exploitability vs. Impact: škálování podle dostupnosti útoku (remote/adjacent/physical) a dopadu (bezpečnost lidí, provoz, finance).
  • Vulnerable device minutes: agregovaná doba, po kterou jsou zařízení bez fixu; cílové limity a SLA pro OTA rollout.
  • Připravenost na incidenty: MTTD/MTTR, procento zařízení s funkčním secure boot/OTA, míra unikátních klíčů ve flotile.

Checklist minimálních požadavků bezpečného IoT

  • Secure/Measured boot, podepsané a šifrované OTA s anti-rollback.
  • Vypnuté nepoužívané služby, odstraněný telnet/FTP, pouze TLS/DTLS.
  • Unikátní zařízení-klíče, per-device certifikáty, rotace tajemství.
  • Zavřené/zakryté debug porty, nebo chráněné autentizací a fuse bity.
  • Segmentace sítě, přístup jen přes gateway, egress allow-list.
  • Inventář, SBOM, proces aktualizací a zranitelností s měřitelnými SLA.
  • Privacy by design: minimalizace, šifrování, retence, audit přístupů.
  • Monitoring: anomálie v MQTT/HTTP, selhání ověření podpisu, RF stav.

Závěr: bezpečnost IoT jako průřez disciplínami

Bezpečnost IoT není jednorázová vlastnost zařízení, ale souhra hardwaru, firmware, rádiové vrstvy, síťové architektury, cloudového backendu, mobilních aplikací a procesů správy. Úspěch určuje schopnost vidět celý ekosystém, dělat informované kompromisy (výkon/energie vs. bezpečnost), řídit rizika v čase a kontinuálně validovat účinnost kontrol. Organizace, které zavedou bezpečný životní cyklus, měřitelné metriky a segmentovanou architekturu s důvěryhodnou identitou zařízení, zásadně snižují pravděpodobnost i dopad útoků v prostředí Internetu věcí.

Related Posts

Bezpečnost archivu

Bezpečnost archivu

Bezpečnost a požární ochrana archivu: Doporučení pro dlouhodobé uchování dokumentů od návrhu po digitalizaci. Klima, regály, bezpečnost a workflow pro přehlednou a bezpečnou s

Balónová/odklad istiny

Balónová/odklad istiny

Produkty s balónovou splátkou či odkladom istiny zlepšia cashflow, ale kumulujú riziko na konci; potrebný je jasný exit.

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *