Vart líður sá dagur að ekki berist fréttir af netárásum einhvers staðar í heiminum. Færri gera sér hins vegar grein fyrir því að eigin tæki gætu átt óbeina aðild að slíkum árásum. Netöryggissveitin CERT-IS hefur greint ummerki um að um fimm þúsund snjalltæki og tölvur á Íslandi hafi verið sýkt af spilliforritinu BADBOX. Um er að ræða hugbúnað sem getur tengt tæki saman í svonefnt botnet, eða yrkjanet, sem óprúttnir aðilar geta síðan nýtt í frekari árásir. „Þetta er net af tækjum sem er stýrt af einhverjum árásaraðila sem getur nýtt tækin í frekari árásir,“ segir Magni R. Sigurðsson, forstöðumaður CERT-IS. Skýring Hvernig BADBOX virkar Frá sýktu tæki yfir í botnet og netárásir Sýkt tæki Ódýrt Android-tæki, til dæmis streymisbox, spjaldtölva eða snjallsjónvarp. ↓ ⚠️ Bakdyr í tækinu Falinn hugbúnaður getur verið fyrir í tækinu eða komið inn með forriti frá óviðurkenndum aðila. ↓ C2 Tengist stjórnþjóni Smituðu tækin tengjast netþjónum ógnaraðila og hlusta á fyrirmæli frá þeim. ↓ TV Hluti af botneti Tækið verður eitt af mörgum sem saman mynda yrkjanet sem hægt er að misnota. ↓ DDoS Auglýsingasvik ↔️ Residential proxy ✉️ Spam / árásir Magni segir að slík tæki geti meðal annars verið notuð til að senda út fjöldapósta, framkvæma álagsárásir eða reyna að brjótast inn í önnur kerfi. „Við sáum út frá kerfi sem við erum með hér að yfir fimm þúsund tæki hér á landi, Android-tæki, voru smituð,“ segir hann. Að sögn Magna eru þetta oft ódýrar spjaldtölvur, lítil Android-sjónvarpsbox og önnur nettengd tæki sem margir líta ekki á sem tölvur í hefðbundnum skilningi. Þar undir geta fallið snjallsjónvörp, skjávarpar og jafnvel afþreyingarkerfi sem sett eru í eldri bíla eftir á. Tækin eigi það sameiginlegt að vera gjarnan mjög ódýrar vörur, oft keyptar af erlendum netmarkaðstorgum. Smit getur verið til staðar við kaup Í sumum tilvikum er spilliforritið þegar í tækinu þegar það er keypt. Í öðrum tilvikum smitast tækið þegar notandi setur það upp í fyrsta sinn og hleður niður forritum úr óopinberum forritaverslunum. Sérstaklega er bent á ódýr Android-sjónvarpsbox sem eru auglýst sem „opnuð“ og eiga að veita ókeypis aðgang að streymisveitum sem annars þarf að greiða fyrir. CERT-IS segir að þar geti falist sérstök áhætta. Tæki sem virðast bjóða upp á óeðlilega mikið fyrir lágt verð séu oftar en ekki veikburða hvað varðar öryggi, eða beinlínis hönnuð með því að komast fram hjá hefðbundnum vörnum. Samhengi Heimilið verður hluti af botneti Notandi þarf ekki að vita af því að tækið sé notað í netglæpum Heima hjá notanda TV box Sími Spjaldtölva Wi-Fi / beinir → BOTNET Þúsundir tækja tengjast saman og svara skipunum árásaraðila. Þótt notandinn verði ekki var við neitt getur heimilistenging og tæki á sama neti orðið hluti af stærri árás. Spilliforritið hefur í mörgum tilvikum verið í tækinu þegar það er keypt. Í öðrum tilvikum smitast tækið þegar notendur setja það upp í fyrsta sinn og hlaða niður forritum úr óopinberum forritaverslunum. Uppruni smits Hvernig tækin smitast 1 Sýkt frá upphafi Í sumum tilvikum er spillibúnaður þegar til staðar í tækinu þegar það er keypt. 2 Óopinber app-verslun Tæki getur smitast þegar notandi setur upp forrit frá óviðurkenndum aðila utan opinberra verslana. 3 Gamalt og óuppfært kerfi Ódýr tæki eru oft með gamalli Android-útgáfu og fá hvorki uppfærslur né öryggisviðgerðir. Greiningin leiddi jafnframt í ljós að um væri að ræða snjalltæki sem margir tengja ekki við hefðbundnar netógnir. Þau geti engu að síður verið fullgildir þátttakendur í botneti og sinnt verkefnum í bakgrunni án þess að notandi verði þess var. Heimilistæki geta orðið hluti af stærri árás Það sem gerir BADBOX varhugavert er að tæki á venjulegum heimilum geta orðið hluti af alþjóðlegu neti sýktra tækja. Notandinn þarf ekki að taka eftir neinu sérstöku. Tækið virkar áfram, en í bakgrunni getur það tekið við fyrirmælum frá stjórnþjónum árásaraðila. Afleiðingar Hvað yrkjanet (botnet) getur gert DDoS árásir Mörg tæki senda umferð samtímis og reyna að lama þjónustur eða vefi. Auglýsingasvik Tæki eru notuð til að búa til falska umferð, smelli og tekjur fyrir svikara. ↔️ Residential proxy Aðgangur að heimatengingu sýktra tækja er notaður eða seldur til að fela stafræna slóð. ✉️ Spam og frekari árásir Tæki geta verið nýtt í fjöldasendingar, vefveiðar eða tilraunir til innbrota í önnur kerfi. Afleiðingarnar fyrir eigendur tækjanna geta einnig verið alvarlegar. Sé nettenging heimilisins notuð í netglæpum getur IP-tala notandans endað á svörtum lista. Þá getur skapast hætta á að önnur tæki á sama neti sýkist, og einnig að gögnum sé stolið beint af tækinu sjálfu, þar á meðal persónuupplýsingum, kortaupplýsingum og öðrum viðkvæmum gögnum. Ekki alltaf hægt að sjá hvað tækin eru notuð í Þótt CERT-IS sjái að tækin séu sýkt er ekki sjálfgefið að hægt sé að rekja með vissu til hvaða verka þau hafi verið notuð. „Nei, við sjáum það í rauninni ekki. Við sjáum í rauninni bara að þessi tæki eru smituð,“ segir Magni spurður hvort sjáist hvort íslensk tæki hafi verið notuð í tiltekin afbrot eða árásir. CERT-IS miðlar upplýsingum um slík mál til þjónustuaðila og fjarskiptafyrirtækja, en viðfangsefnið er erfitt viðureignar. Ný tæki berast stöðugt inn á markaðinn og sum þeirra eru sýkt strax við sölu. „Það er erfitt að berjast við þetta þar sem þessi tæki eru keypt daglega og koma jafnóðum inn til landsins, smituð,“ segir Magni.