Chyba č. 1: Výchozí hesla ponechaná beze změny

Toto je zdaleka nejčastější a nejzávažnější chyba. Výrobci dodávají zařízení s výchozími přihlašovacími údaji — „admin/admin", „root/root", „1234/1234" nebo název modelu jako heslo. Na internetu jsou volně dostupné databáze výchozích hesel pro tisíce modelů. Automatizované skenery prochází internet a hledají zařízení, která tato výchozí hesla stále používají.

Týká se to nejen routeru (ten je naštěstí v povědomí lidí víc), ale i IP kamer, chytrých hubů, NAS disků a dalších síťových zařízení. Kamera s výchozím heslem přístupná z internetu je triviální cíl.

Náprava: Ihned po instalaci každého nového zařízení změňte výchozí přihlašovací údaje. Použijte správce hesel — nemusíte si hesla pamatovat. Podrobněji o správě hesel na stránce jak zabezpečit chytrou domácnost.

Chyba č. 2: Zastaralý firmware a ignorované aktualizace

Výrobci vydávají aktualizace firmwaru, které opravují bezpečnostní zranitelnosti. Pokud firmware neaktualizujete, zůstáváte s known exploity — zranitelnostmi, které jsou veřejně popsané a aktivně zneužívané. Čím starší firmware, tím více publikovaných zranitelností zůstalo neopravených.

Typický vzorec: výzkumník nalezne zranitelnost, odpovědně ji nahlásí výrobci, výrobce vydá záplatu. Jenže záplata pomůže jen těm, kteří firmware aktualizovali. Ti ostatní jsou stále zranitelní — a útočníci jsou si toho vědomi.

Náprava: Nastavte si čtvrtletní připomenutí pro kontrolu aktualizací firmwaru u všech chytrých zařízení. Otevřete aplikaci výrobce a zkontrolujte dostupné aktualizace. Pokud výrobce přestal vydávat aktualizace pro vaše zařízení, zvažte jeho nahrazení nebo izolaci v síti.

Chyba č. 3: Levná zařízení bez bezpečnostní podpory

Ne každý výrobce chytrých zařízení investuje do bezpečnosti stejně. Levné chytré zásuvky, žárovky nebo kamery z neznámých zdrojů mohou mít zabudované zranitelnosti, hardcodovaná hesla nebo nezdokumentované backdoor přístupy. A protože výrobce nemá motivaci vydávat opravy pro levné produkty, zranitelnosti zůstávají otevřené.

Výzkumníci opakovaně odhalili u levných IoT kamer výchozí přihlašovací údaje zabudované přímo ve firmwaru, které nelze změnit. Jiná zařízení odesílala data na servery v Číně bez jakékoliv transparentnosti.

Náprava: Pro bezpečnostně kritická zařízení (kamery, zámky, alarm) vybírejte prověřené výrobce s transparentní bezpečnostní politikou. Pro méně kritická zařízení (žárovky, zásuvky) je riziko nižší, ale platí stejné pravidlo: izolujte IoT v oddělené síti. Jak vybírat kompatibilní zařízení popisuje stránka jak vybírat kompatibilní zařízení.

Kamery jsou nejvyšší riziko

Chytré kamery jsou z hlediska soukromí a bezpečnosti nejcitlivější kategorií IoT zařízení. Napadená kamera poskytuje útočníkovi přímý vhled do vašeho domova. Volte výrobce s aktivní bezpečnostní podporou, měňte výchozí hesla a umístěte kamery do oddělené sítě. Levná kamera z neznámého e-shopu je v tomto kontextu špatná volba bez ohledu na cenu.

Chyba č. 4: Všechna zařízení v jedné síti

Smíchání chytrých žárovek, kamer, termostatů a přepínačů v jedné síti s notebookem, NAS diskem a telefony vytváří zbytečné riziko. Napadené IoT zařízení má v takové síti přímý přístup ke všem ostatním zařízením — může skenovat síť, hledat nechráněné sdílené složky nebo se pokoušet o přístup k dalším zařízením.

Náprava: Vytvořte pro IoT zařízení guest síť nebo VLAN. Je to nejjednodušší a nejúčinnější síťové bezpečnostní opatření. Podrobný postup na stránce jak nastavit síť pro smart home.

Chyba č. 5: Cloudová závislost bez zálohy

Mnoho cloudových ekosystémů přestane fungovat, pokud výrobce ukončí službu, zkrachuje nebo výrazně změní podmínky. Uživatelé, kteří investovali do uzavřených proprietárních ekosystémů, pak stojí před volbou: platit dál nebo vyhodit vše a začít znovu.

Toto riziko je reálné — stalo se uživatelům Wink, Insteon a dalších platforem. Otevřené protokoly (Zigbee, Matter) a výrobci s lokálním API toto riziko snižují. Podrobněji na stránce co se stane, když výrobce vypne cloud.

Chyba č. 6: Zapomenutá zařízení v síti

Stará zařízení, která jste přestali aktivně používat, ale zůstala připojená v síti, jsou bezpečnostní riziko. Nikdo je neaktualizuje, nikdo na ně nedohlíží — ale stále jsou přítomná v síti a potenciálně zranitelná. Typicky jde o staré routery v bridge módu, zapomenuté IP kamery nebo původní smart home hub, který byl nahrazen novým.

Náprava: Jednou ročně projděte seznam připojených zařízení v administraci routeru. Zařízení, která nepotřebujete, odpojte nebo vyřaďte z provozu.

Co zkontrolovat ve vaší chytré domácnosti dnes

Časté otázky

Jak zjistím, zda moje zařízení mají výchozí hesla?
Podívejte se do manuálu nebo na štítek zařízení — výchozí přihlašovací údaje jsou tam uvedeny. Pokud si nejste jistí, zda jste heslo změnili, přihlaste se výchozími údaji: pokud to funguje, heslo jste nikdy nezměnili. Okamžitě ho změňte.
Jak nebezpečné je používat chytrá zařízení z neznámých zdrojů?
Levná zařízení z neznámých e-shopů jsou rizikovější ze dvou důvodů: mohou mít zabudované bezpečnostní chyby a výrobce je pravděpodobně nikdy neopraví aktualizací. Navíc tato zařízení mohou odesílat data na servery v zemích s odlišnou legislativou ochrany dat. Základní pravidlo: u bezpečnostních kritických zařízení (kamery, zámky, alarmy) volte prověřené značky.
Co mám dělat se starým zařízením, které výrobce přestal podporovat?
Máte tři možnosti: nahradit ho novým podporovaným zařízením, přejít na alternativní firmware (Tasmota, ESPHome pro Wi-Fi zařízení), nebo izolovat ho v síti tak, aby nemělo přístup na internet. Zařízení bez bezpečnostní podpory ponechané v nezabezpečené síti je dlouhodobé riziko.
Jsou routerové firewally dostatečnou ochranou pro IoT?
Základní NAT firewall v domácím routeru chrání IoT zařízení před přímými útoky z internetu — to je dobrá výchozí ochrana. Ale neochrání vás před malwarem, který se do IoT zařízení dostane jinak (přes zranitelný firmware, napadení účtu výrobce), ani před komunikací IoT zařízení s C&C servery. Proto je vhodné IoT síť navíc segmentovat od hlavní sítě.