Objavljeno: 13.6.2017 | Avtor: Miran Varga | Monitor Posebna 2017

Internet (nevarnih) stvari

So stvari in so stvari, povezane v internet. Kot ključno razliko(valno prednost) med enimi in drugimi ustvarja povezanost – v internet in med seboj povezana množica naprav. S pretakanjem – zasebnih in občutljivih – podatkov neizogibno trčimo ob internet (ne)varnih stvari.

Internet stvari (angl. Internet of Things; IOT) posega v naše življenje in delovanje in ju docela spreminja. Gradnik te nove paradigme so pametne naprave in senzorji, ki bodo prepredli domala vse okoli nas. V okoljih, kjer delujejo, t. i. pametne naprave opravljajo svoje poslanstvo in pri tem zbirajo, prejemajo in izmenjujejo podatke po internetu. Avtomatizirana medsebojna komunikacija naprav, strojev in sistemov prinaša skoraj neskončno polje priložnosti. Internet stvari je postal vzvod za izboljšanje vsakdana in za oblikovanje novih storitev, izdelkov in uporabniških izkušenj, namenjenih posameznikom, podjetjem in organizacijam ter tudi širšemu okolju. Pametni gospodinjski aparati, pripomočki za zabavo, prevozna sredstva, aplikacije za upravljanje pametnega doma in druge pametne naprave za upravljanje raznih poslovnih funkcij nam nedvomno prinašajo številne koristi. A obenem tudi pasti in nevarnosti.

Družba Gartner je februarja napovedala, da bo letos po svetu v rabi 8,4 milijarde povezanih naprav, oziroma 31 odstotkov več kot leto prej. V naslednjih treh letih naj bi se število teh naprav povečalo že na 20,4 milijarde, pri čemer so Gartnerjevi podatki precej zadržani (druga analitska podjetja in podjetja IT objavljajo bistveno višje številke). Že res, da se posamezniki in organizacije vedno bolj zavedamo prednosti interneta stvari, kaj pa pomanjkljivosti?

Zlorabe naprav IoT

Varnostni strokovnjaki že vrsto let opozarjajo na velikanske varnostne pomanjkljivosti naprav interneta stvari. Žal se je doslej še vsaka njihova temna napoved uresničila. V internet povezan hladilnik, ki je veljal za eno izmed »zvezd« pametnega doma, je po tem, ko so nadzor nad njim prevzeli zunanji napadalci, začel pošiljati v omrežje pornografsko obarvano nezaželeno pošto. Naprave, ki jih starši uporabljajo za poslušanje aktivnosti dojenčkov v oddaljeni sobi, so hekerji spremenili v prisluškovalne naprave. Ljudje se zgrozijo, ko berejo zgodbe o zlorabah povezanih naprav na področju zdravstva. Napadalci so že prevzeli nadzor na spodbujevalniki srčnega utripa, dozirniki inzulina pri sladkornih bolnikih itd. Oktobra lani je skupina kibernetskih kriminalcev izkoristila ranljivost v povezanih spletnih kamerah in iz več tisoč teh kamer sestavila omrežje, s katerim je nato izvedla uspešen napad DDoS na ponudnika storitev DNS. Posledica? Polovica najbolj priljubljenih spletnih strani, kot so Twitter, AirBnB in podobne, je bila več ur nedosegljivih. Hekerji Shadow Brokers so razkrili orodja, s katerimi ameriška obveščevalna agencija CIA Samsungove v internet povezane pametne televizorje spreminja v prisluškovalne naprave. Našteli smo le nekaj zgovornih primerov, internet je poln zlorab IoT.

Grožnje s področja interneta stvari lahko v grobem razdelimo v dve kategoriji. Prvo zastopajo naprave, ki so jih napadalci pripravili do tega, da počno nekaj, čemur niso namenjene – zgornji primer kamer, združenih v napadalno omrežje. V drugi kategoriji pa najdemo naprave, ki potem, ko nekdo prevzame nadzor nad njimi, počno tisto, čemur so namenjene, a v škodo uporabnika/družbe. Prav možno je, da bomo čez nekaj let brali o tem, kako je napadalec prevzel nadzor nad samovozečim vozilom in mu zaukazal, naj zapelje z mostu. Še prej bomo verjetno dobili nove razsežnosti industrijske sabotaže, v katerih bodo hekerji na daljavo onesposobili stroje v pametnih tovarnah.

Poročilo 451 Global Digital Infrastructure Alliance Report iz oktobra 2016 kaže, da je največja ovira pri uvajanju interneta stvari po mnenju večine anketirancev prav varnost, na prvo mesto jo je postavila polovica vprašanih. Sledijo ji pomanjkljivo opredeljene koristi oziroma donosnost naložb v IoT (41 %), skladnost (32 %), pomanjkanje internega znanja in veščin (31 %), nedovršenost tehnologije (26 %), organizacijski odpor (25 %) pa tudi nezadostne zmogljivosti okolja IT (20 %). Tisti, ki postavljajo v ospredje varnost, menijo, da največja varnostna tveganja pripisujejo fizično nevarnim končnim napravam (63 %). Drugo največjo skrb predstavlja slabo preverjanje pristnosti končnih naprav IoT (55 %). Sledijo nezavarovane varnostne pomanjkljivosti aplikacij v sistemih IoT (47 %), nezavarovano omrežje med končno napravo IoT in centralnimi omrežji (42 %) in napadi DDoS (27 %).

Varnost ne dohaja tempa razvoja naprav IoT

V množični proizvodnji v internet povezanih pametnih naprav je torej eden najbolj perečih izzivov prav zagotavljanje varnosti. Ritma, ki ga narekuje strma krivulja razvoja interneta stvari, varnost očitno (še) ne dohaja. Če smo se sprijaznili, da brez ustrezne varnostne rešitve za računalnike ne gre, pa se očitno uporabnikom, izdelovalcem in regulatorjem koncept varnosti v internetu stvari še ni povsem zasidral v (pod)zavest.

Vseprisotnost naprav, ki hranijo občutljive podatke ter upravljajo in nadzorujejo razne (tudi zelo kritične) procese, ob šibki informacijski infrastrukturi povečuje privlačnost za kibernetske kriminalce. Internet stvari tako odpira nešteto možnosti za napade in zlorabe.

Razloge velja iskati v tem, da se z vsako dodatno v splet povezano napravo povečuje tudi število ranljivosti, ki lahko nepridipravom potencialno omogočijo dostop do informacijske infrastrukture, občutljivih poslovnih in zasebnih informacij, pa tudi do nadzora nad izvajanjem ključnih procesov. Nihče si ne želi, da bi nepridipravi prevzeli nadzor nad hladilnim sistemom reaktorja v jedrski elektrarni, vrati v jezu hidroelektrarn, prometno signalizacijo in podobnimi scenariji.

Napovedi varnostnih strokovnjakov za področje IoT

Spletna stran TechRepublic je objavila zanimivo anketo med varnostnimi strokovnjaki. Tole so njihova letošnja pričakovanja s področja (ne)varnosti interneta stvari:

Frank Gillett: Forrester napoveduje obsežne varnostne incidente, povezane z IoT. Med največjimi tarčami bodo upravitelji flot vozil, naprave, ki skrbijo za varnost in nadzor, ter sistemi za upravljanje zalog in skladiščnega poslovanja. Napadalci bodo pogosteje merili tudi na proizvodna podjetja.

Tom Kellermann: Leta 2017 pričakujem vsaj dva polimorfna črva, ki bosta merila na naprave IoT z namenom poznejšega opravljanja napadov DDoS. Enega bo razvila Severna Koreja in zahod »kaznovala« z internetnimi izpadi.

Jason Collins: Pričakujem veliko varnostnih zlorab na področju IoT, predvsem takih, ki bodo merile na krnitev zagotavljanja storitev.

Simon Moffatt: Napadi DDoS in nedosegljivost internetnih strani bodo vse pogostejša posledica varnostno neustreznih naprav IoT, vsaj dokler ponudniki dostopa do interneta ne izboljšajo svojih varnostnih mehanizmov in izdelovalci naprav ne zakrpajo številnih ranljivosti in uvedejo varnostne rešitve, ki temeljijo na spremljanju identite naprav. Največ medijske pozornosti bo namenjene napadom DDoS in njihovim »katastrofalnim« posledicam, a prava škoda, ki bo posledica neustrezno zavarovanih naprav IoT, storitev in infrastrukture, bo nastajala drugje.

Varnostni trinog

Odgovornost za varnost naprav IoT gre iskati pri ključnih vpletenih: izdelovalcih, regulatorjih in uporabnikih. Nujni del varnostne enačbe so, če hočemo ali nočemo, še čas, znanje in sredstva. Varnost bi moral biti eden ključnih vidikov obravnave že pri izdelovalcih v fazi razvoja naprav IoT. A tem se močno mudi spraviti naprave na trg do kupcev, ki v praksi postanejo šele prvi resni preizkuševalci teh naprav. Proizvodna naglica je eden glavnih razlogov za pomanjkljivo varnost pametnih naprav. V želji po čim prejšnji splavitvi naprav na trg je varnost prehitro spregledana. S tehnološkega vidika lahko trpi na račun omejene procesne moči ali pomnilnika v napravah IoT, da bi te lahko zadostile namestitvi ustrezne varnostne rešitve (če njeno rabo izdelovalec sploh predvidi). Prepad med strojno programsko opremo in varnostno zaščito lahko zaradi ranljivosti privede do prodora zlonamerne programske opreme, napadov DDoS ali napadov prek posrednikov. Svoj delež k (ne)varnosti prispeva še možnost dostopa na daljavo – ta sicer povečuje udobje skrbnikov naprav, a odpira vrata morebitnim zlorabam na daljavo.

Koliko varnosti »vgraditi« v naprave IoT, zaenkrat ostaja v domeni izdelovalcev. Celovitega nadzora, minimalnih standardov in predpisov za varnost naprav IoT, na katere bi se izdelovalci opirali, pravzaprav ni. Kljub temu se številna podjetja čedalje bolj zavedajo varnostnih izzivov in se osredotočajo na iskanje rešitev, kako varnostne pomanjkljivosti v prihodnje odpraviti. Ne nazadnje jim za uporabnike nevarni izdelki, za katere ni nobene prave podpore ali pa je ta omejena na kratek življenjski (beri: tržni) cikel posameznega izdelka, ne delajo prav velike pozitivne reklame. Če se že industrija ne more zediniti, mora stopiti na sceno regulator in zagotoviti uporabo vsaj nivo višjih varnostnih standardov od minimalne zaščite. Vsekakor je nujno varnostno nadzorovanje, certificiranje in testiranje naprav IoT na eni strani in sodelovanje s ponudniki varnostnih rešitev za nenehno nadgrajevanje varnosti na drugi.

Odgovornost za samo varnost seveda nosimo tudi uporabniki. Prav nedavni izsiljevalski napad WannaCry je pokazal, da uporabniki ne skrbijo za redno posodabljaje nameščene programske opreme, četudi so posodobitve na voljo. S tem, ko ne (po)krpajo ranljivosti, čeprav imajo na voljo ustrezne »obliže«, na stežaj odprejo vrata kibernetskim kriminalcem. Neredko se tudi pripeti, da se uporabniki ne držijo priporočil varne uporabe naprav. V teh primerih je digitalni darvinizem sicer povsem na mestu. Če v prihodnjih letih ne želimo govoriti o internetu nevarnih stvari, bodo morali vsi vpleteni opraviti in opravljati svoje naloge. Uporabniki se moramo torej naučiti, da varnost povezanega sveta ni samoumevna, in prevzeti svoj del skrbi zanjo.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji