Redakcja Asseco News
e-mail: [email protected]
Szacuje się, że w roku 2020, na świecie będzie nawet 25 miliardów urządzeń tworzących internet rzeczy. To ogromny rynek, który będzie miał duże konsekwencje dla cyberbezpieczeństwa.
Pojęcie internetu rzeczy (ang. Internet of Things, IoT) znane jest od dawna, jednak stało się popularne w ciągu kilku ostatnich lat za sprawą masowo powstających inteligentnych urządzeń, starających się ułatwić nam najdrobniejsze aspekty naszego życia. To zabawki dla geeków, smartwatche i opaski do biegania, a nawet inteligentne domy, szpitale lub całe smart cities. Między innymi poprzez telemetrię oraz nawigację elementy wokół starają się sprawniej funkcjonować, wysyłając informację o stanie naszego zdrowia bezpośrednio do lekarza, usprawniając ruch uliczny poprzez sterowanie światłami, czy choćby wyświetlając na infomatach treści dostosowane konkretnie do osób znajdujących się w pobliżu. Szacuje się, że w roku 2020 będzie nawet 25 miliardów takich urządzeń na świecie. Większość z nich zostanie wpięta do globalnej sieci Internet na stałe lub będzie się z nią komunikować okresowo. Nie trzeba zatem wspominać, jak ogromny jest to rynek i jak duże konsekwencje odnośnie cyberbezpieczeństwa ze sobą niesie.
Głównym zmartwieniem rozrastającego się świata IoT, staje się prywatność. Większość takich urządzeń zbiera dane o nas lub naszym otoczeniu, a następnie wysyła je do chmury, aby mogły zostać przeanalizowane i wyświetlone na ładnych wykresach. Często też udostępniane dane są nadmiarowe. Wykraczają ponad funkcje oferowane przez powiązane usługi i zalegają na zewnętrznych serwerach. Pytanie brzmi – w jakim stopniu dane te zostaną wykorzystane w przyszłości? Może będą udostępnione podmiotom trzecim, aby ulepszyć targetowanie reklam, a może pozwolą na oszacowanie naszej przyszłej lokalizacji po analizie zapisanych nawyków. Jak to się popularnie zwykło mawiać “co raz trafi do sieci, zostanie tam na zawsze”.
Kolejnym problemem jest niewystarczająca autoryzacja/autentykacja. Może to być spowodowane całkowitym brakiem takich funkcji w urządzeniu, jak również ignorancją (stwierdzenie “nie mam nic do ukrycia”) czy niewiedzą użytkowników zostawiających domyślne hasła oraz stosujących hasła typu “1234”. W dobie popularyzacji skanerów sieci (np. Masscan mogący przeskanować cały Internet w 6 minut) nie jest problemem znalezienie setek niezabezpieczonych lub podatnych na ataki kamer, kontrolerów domowej/firmowej klimatyzacji, czy nawet lodówek ze znanym wszystkim mobilnym systemem operacyjnym, szczególnie że wiele z nich nigdy nie będzie przez producenta zaktualizowanych. Warto zwrócić na ten aspekt uwagę, kiedy po raz kolejny klimatyzator ustawi +30 stopni, a inteligentne żarówki w domu znów niespodziewanie zmienią kolor, mimo iż my naszym smartwatchem niczego akurat nie konfigurowaliśmy.
Co w przypadku, gdy urządzenie jest odpowiednio zabezpieczone, jednak nie stosuje żadnego szyfrowania w komunikacji ze światem? Oczywiście to tak, jakby nie było zabezpieczone w ogóle. Trzeba liczyć się z tym, że cała komunikacja może zostać podsłuchana, dane najczęściej w formie jawnego tekstu XML lub JSON będą możliwe do odczytania dla dowolnej osoby w tej samej sieci lokalnej, dysponującej odpowiednim oprogramowaniem na telefon komórkowy, pozwalającym na tzw. “ARP Poisoning”. Będzie to mało znaczące, jeśli ktoś odczyta zapis trasy ostatniego wieczornego biegu. Gorzej jeśli nieświadomie udostępnimy dane związane przykładowo ze stanem zdrowia. Brak szyfrowania komunikacji i weryfikacji podpisów cyfrowych otwiera również możliwość zainstalowania nieautoryzowanej aktualizacji takiego urządzenia i wyposażenia go w dodatkowe funkcje, o których zwykły użytkownik nie będzie wiedział.
Niedawno, 21 października 2016 roku, mogliśmy słyszeć o największym do tej pory ataku DDoS na infrastrukturę sieci Internet, co spowodowało tymczasową niedostępność dużych serwisów takich jak Twitter, Reddit, Github. Co ciekawe atak został przeprowadzony przez botnet składający się z ponad 100 tys. urządzeń IoT. Zostały one najpierw zainfekowane szkodliwym oprogramowaniem, a następnie wytworzyły ruch rzędu 650Gbps, blokując dostęp do głównych serwerów DNS. W rezultacie mieliśmy do czynienia z kuriozalną sytuacją, kiedy to kamery, czy domowe urządzenia audio sterowane przez anonimowych atakujących uniemożliwiły zwykłym użytkownikom z innej części świata dostęp do ich ulubionych stron www. Przykład ten obrazuje, że opisywany sektor IT dopiero zaczyna odkrywać swoje możliwości oraz wynikające z nich zagrożenia. Należy bacznie zwracać uwagę na inteligentne elementy otoczenia, w które się wyposażamy, czy przypadkiem ktoś jeszcze nie zechce stać się ich ukrytym użytkownikiem.
Przemysław Stopa, Starszy Projektant, Asseco Poland