IoT | Antivirus

Avast Omni: Krabička, která vám hackne síť a promění se v unikátní antivirus

  • Počítač dnes ochrání kdejaký antivirus
  • Drobná krabička Omni se postará rovnou o celou domácí síť
  • Bude ji odposlouchávat, analyzovat a blokovat útoky

Před pár týdny jsme se vás v našem novém seriálu Vy a počítač ptali, zdali používáte antivirus. Jak to dopadlo? Nějakou formu zabezpečení potvrdilo 92 % z vás, přičemž s obrovskou převahou zvítězilo vestavěné řešení od Microsoftu, které je dnes součástí Windows 10.

Antivirus z Redmondu jistě dělá vrásky nejednomu tradičnímu výrobci bezpečnostních aplikací, kterým Microsoft na běžných domácích laptopech a desktopech sebral pořádný kus trhu. Všichni tedy hledají další možná odbytiště.

Exotický Wi-Fi router Ally, který neprorazil

Před lety se staly novým útočištěm pro většinu z nich naše chytré mobilní telefony, no a jak postupně chytrost prostupovala i do další domácí elektroniky počínaje televizory a konče chytrými žárovkami s Wi-Fi, začali někteří koketovat s myšlenkou, proč se vedle počítačů a mobilů nezaměřit rovnou na celou domácí síť.

21ad9d3b-54e4-4356-b561-8a89f37772b2
S antivirem v routeru to zkoušelo před lety také AVG, které dnes patří pod křídla Avastu

Přesně to si na CES 2017 vyzkoušelo AVG, když společně s Amped Wireless představilo malý domácí router Ally vyzbrojený bezpečnostní platformou Chime. Router získal v Las Vegas cenu za inovaci, do širšího povědomí se ale nakonec nedostal.

Malá černá krabička Avast Omni

Nápad antiviru pro celou domácí síť a všechny ty chytré krabičky ale nezapadl a následující rok opět probublal na veřejnost pod názvem Smart Life. Dnes celý systém zastřešuje zabezpečení domácí sítě Smart Home Security a Smart Life Platform pro operátory a OEM výrobce, kteří ji mohou integrovat do svých produktů.

Oficiální upoutávka na Avast Omni:

Loni inženýři z mateřského Avastu opět zajeli do Las Vegas, aby na CES 2020 – na tom posledním normálním – převzali (opět) cenu za inovaci. Malý router Ally tentokrát nahradila ještě menší kulatá krabička Omni velikosti a tvaru bezdrátové nabíječky Ikea Nordmärke.

5676d76d-ad5f-488f-9646-b134a86f1cb721e4b8ad-43b5-4b20-b624-87631d9fb164aacb8ee1-72c3-4e70-8cbd-ff43a6075107
Avast Omni je takový černý puk velikosti nabíječky Ikea Nordmärke, který stačí připojit k napájení, domácí LAN a oživit skrze aplikaci pro Windows/Mac nebo Android/iOS

Pokud jste o padesátidolarovém Avast Omni ještě neslyšeli, není divu, na českém trhu se totiž neprodává a výrobce se zatím orientuje především na USA a země, kde se pokouší prorazit spíše skrze ony partnery z řad telekomunikačních operátorů. To je příklad Itálie.

67590869-0a36-466a-a4fb-9cdac31e9a8ed4bde788-1037-4d16-9eda-8508f2dfb2ba732bda78-9a65-44f6-becc-cfba531160f6
Desktopová a mobilní aplikace Omni. Po spárování s krabičkou nabídne přehled o domácí síti, statistiku přenesených dat v síti i možnost odpojení zařízení od internetu.

Omni analyzuje domácí síť, hledá hrozby a blokuje hackery

Omni je malá černá kulatá krabička bez jediného tlačítka; pomineme-li tedy to resetovací. Lesklý plast přerušuje jen jedna jediná LED a na zadní straně ethernetový konektor RJ-45 a 5V napájení. Omni už není kompletní Wi-Fi router jako v případě experimentu Ally, ale je to opravdu jen síťový antivirus.

ec651712-97cd-4aa3-ae99-ec4f662aad2f177344ae-9dcc-438e-8aa3-bdb9e2f34a7764a0b893-661e-483a-a4a9-6ee5867e1193
Omni prohledá lokální síť a najde síťová zařízení, která si můžete zorganizovat podle jejich majitele a pro lepší přehlednost libovolně pojmenovat. Jakmile se v síti objeví nová krabička, na mobil dorazí notifikace.

Co to znamená v praxi? Omni neustále kontroluje tok dat v domácí LAN a hledá vzory škodlivého chování. Pokud tedy máte veřejnou IP adresu a na routeru do vnějšího internetu otevřené některé TCP porty, krabička Omni se postará o to, aby odstřelila všechny pokusy o spojení z pochybných destinací

704c6cae-dc3d-42dd-8ed4-8ad471acfcb1c56300be-a508-40e1-8805-cbede6f7aafe3c115f20-66a6-47ed-a751-3cff6946e284
Jelikož Omni analyzuje datový tok v síti, počítá i statistiky vytížení sítě a jednotlivé krabičky nebo i celou domácnost můžete jedním kliknutím odpojit od internetu

Anebo, pokud budete mít doma třeba chytrý televizor, který svému výrobci posílá zbytečné množství telemetrických dat, Omni tuto komunikaci detekuje a nabídne její zablokování. A konečně do třetice, jakmile se některé zařízení začne chovat v síti jakkoliv podivně oproti normálu, i tuto činnost se Omni pokusí detekovat a nabídne řešení.

4ecb9812-0e4b-4ec9-95b8-dd51aab76861
Omni právě detekovala podezřelý přístup z této IP adresy k mému zařízení jménem Hospodyňka v8. Jedná se o Raspberry Pi 4, na kterém běží můj systém chytré domácnosti a jeho WWW část je dostupná z vnějšího internetu.

Stejně tak umí Omni na váš povel odpojit libovolné rozpoznané zařízení nebo dokonce celý segment od internetu. Jednotlivé spotřebiče si totiž můžete v desktopové a mobilní aplikaci zařadit do skupin podle vlastníka a jedním kliknutím pak zablokovat třeba Pepu, který má být u babičky, ale jeho počítač přitom zvesela komunikuje dál.

Omni požívá i prvky A.I. v cloudu

Možná si kladete otázku, jak dokáže Omni analyzovat dění v síti, když je dnes drtivá většina informací šifrovaná a i u protokolu HTTP se stala z předpony HTTPS:// prakticky norma? Omni sice skutečná data nevidí, ale jejich obsah se pokouší odhadnout podle charakteru jednotlivých paketů. Tímto způsobem pak dokáže rozpoznat třeba to, že se jedná o video nebo o jiné obvyklé typy datových přenosů.

3cc2f2a9-0bf9-415f-81da-fdb44616e9bd
Během večera Omni zablokovala několik dalších útoků

Pro detekci rizikové komunikace Omni používá i prvky z ranku umělé inteligence. Díky tomu, že za krabičkou stojí Avast se svoji obří databází uživatelů a ještě větším počtem zmapovaných útoků, ví, jak se různé síťové malwary chovají, mohl nad nimi vybudovat strojové učení a modely, no a ty pak tuto činnost hledají i ve vzorcích z Omni.

Pokročilá detekce rizik už neprobíhá přímo na čipu pod plastovým krytem, ale v cloudu na výkonných serverech. Aby ale mohla Omni na podobnou hrozbu co nejrychleji zareagovat, musí se kvůli co nejkratší síťové latenci nacházet blízko infrastruktury Avastu. V opačném případě by se totiž o potenciálním útoku krabička dozvěděla ve chvíli, kdy už probíhá a domácí síť je kompromitovaná.

Aby tedy mohla celá bezpečnostní platforma fungovat opravdu spolehlivě, základní podmínkou je i slušné internetové připojení. Nejde zde přitom o rychlost – Omni není Netflix, Stadia nebo GeForce Now a přenáší jen drobná telemetrická data –, ale právě o co nejmenší latenci. O co nejkratší ping.

Krabička hackne vaši síť

Fajn, už tedy víme, že i když Omni nemusí vždy vidět skutečný obsah šifrovaných paketů, může jej podle charakteru odhadnout, a že využívá i výpočetní výkon v cloudu. Hlavní magie malé černé krabičky ale spočívá především v tom, jak je sakra možné, že tu síť vůbec dokáže monitorovat a odpojovat od ní jednotlivá spojení. Omni přece není router!

fd9eacb6-3509-4187-b328-ed1fe9d369ad
ARP spoofing/poisoning je typický příklad útoku MITM – „muž uprostřed“ Foto: 0x55534C

Odpověď je prostá. Aby mohla Omni chránit před hackery, sama musí provést takový drobný hack: ARP spoofing. ARP (Address Resolution Protocol) je základní síťový protokol, který v lokální síti slouží k překladu IP adresy na MAC adresu koncového zařízení.  

V rámci spoofingu (podvrhu) se útočník pokouší nahradit v odpovědi MAC adresu libovolného zařízení v síti svou vlastní, takže zatímco před útokem platilo, že LAN IP adresa 192.168.1.10 mířila na MAC adresu AA:AA:AA:AA:AA:AA, po podvrhu bude tatáž IP mířit na útočníkovu MAC BB:BB:BB:BB:BB:BB.

V běžné domácí síti to bude fungovat na jedničku

Na podobném principu pracuje i Omni, která na sebe přesměruje síťovou aktivitu a může ji dále analyzovat. V domácí LAN přitom dále vše funguje jako dříve a že je něco jinak potvrdí leda nějaký další pokročilý analyzátor. Třeba populární mobilní aplikace Fing pro vyhledávání zařízení v LAN.

28182d4c-0711-4353-9313-3860980d0f5c
S krabičkou Omni neměl během testu problém jak můj router Turris Omnia, tak všechna další zařízení. Že je kvůli ARP spoofingu něco v nepořádku, odhalil až Fing. IP adresa 192.168.1.1 má patřit routeru.

Když jsem s ním prolustroval síť, kterou už měla pod správou krabička Omni, Fing na obvyklé IP adrese routeru 192.168.1.1 neviděl můj Turris Omnia, ale zařízení, které detekoval jako tablet Amazon Fire. Tablet to ve skutečnosti ale není – je to právě Omni.

ARP spoofing samozřejmě lze odhalit a zablokovat, případně mu specifickou konfigurací LAN jednoduše předejít. V takovém případě by pak Omnia pochopitelně nefungovala. Jedná se však o krabičku, která cíli především na běžné americké domácnosti se standardní konfigurací sítě, no a tam běží na jedničku.

Jelikož mám 300Mb/s symetrickou přípojku (300Mb/s download, 300 Mb/s upload), byl jsem zvědavý, zdali se přítomnost Omni v domácí síti podepíše na snížení výkonu. Nic takového jsem ale nezaznamenal a přinejmenším Speedtest na linuxovém routeru i na koncovém počítači s Windows 10 ukazoval prakticky stejné rychlosti jako před připojením Omni do sítě.

Síťový antivirus by měl být už dávno samozřejmostí

Antivirus v dedikované krabičce je ale pouze jednou z cest. Tou druhou a mnohem korektnější je instalace celé platformy rovnou na router partnerského OEM výrobce/ISP. Pak bychom se vyhnuli nestandardnímu ARP spoofingu a měli síť pod důkladnou kontrolou přímo na onom úzkém hrdle, přes které všechno teče.

Je až s podivem, že zatímco naše počítače antivirem chráníme, na domácích Wi-Fi routerech nic takového dodnes neexistuje a veškerá obrana se spoléhá jen na základní a většinou statický firewall (český projekt Turris budiž výjimkou potvrzující pravidlo) a tím to tak nějak končí.

05a4c62b-b6ce-4276-83a0-ceec87c88bad
Při přípravě článku mě krabička Omni skrze notifikaci několikrát upozornila, že zablokovala přístup k Raspberry Pi 4 z podezřelé internetové IP adresy

V domácí síti mi běží několik serverů a jelikož mám veřejnou IP adresu, část infrastruktury je skrze přesměrování TCP portů na routeru viditelná i z vnějšího internetu. V dnešním světě plném botů, které stále procházejí veřejné IP adresy, je pak jen otázkou času, kdy některý z nich objeví i tu moji. A právě v ten okamžik se hodí Omni, která takového bota okamžitě odstřihne a dá mi o tom vědět notifikací na mobilu. Ostatně, ta poslední vyskočila před pár minutami.

Pokročilá síťová kontrola by tedy měla být v roce 2021 spíše samozřejmostí, než technologickou exotikou jako v případě krabičky Avast Omni. Realita je ale odlišná a domácí sítě zůstávají mnohdy až žalostně nezabezpečené.

Ostatně, před pár lety jsem si to vyzkoušel sám na jedné domácnosti z britského Brightonu. K totálnímu ovládnutí a odposlechu spotřebičů v domě a zjištění geografické polohy členů domácnosti mi stačilo pár desítek sekund ve vyhledávači Shodan a jednoduchý MQTT klient.

Diskuze (120) Další článek: Chystaný Samsung Exynos s grafickým čipem od AMD drtí i Apple Bionic A14, zatím neoficiálně

Témata článku: , , , , , , , , , , , , , , , , , , , , , , , , ,