Internet Rzeczy i jego – nasze problemy…

G DATA

Eddy WillemsCzy przemysł IoT wciąż popełnia te same błędy? Czy obawy o bezpieczeństwo związane z rozszerzaniem się Internetu Rzeczy są uzasadnione?

Przemysł samochodowy

Włamania hakerów do samochodów stały się jednym ulubionych tematów w najbardziej popularnych mediach internetowych. Fiat Chrysler miał kłopot z 1,4 mln swoich samochodów sprzedanych na rynku amerykańskim. Koncern wezwał do serwisu użytkowników, po tym jak eksperyment przeprowadzony na jednym z pojazdów pokazał, że może zostać zhakowany. Ale to nie jedyna tego typu historia. Głośno było również o przypadkach Jeepa (http://www.bbc.com/news/technology-33650491), a nawet Corvetty (http://www.wired.com/2015/08/hackers-cut-corvettes-brakes-via-common-car-gadget/).

Branża fitness

Z Internetem Rzeczy bardzo blisko są powiązane gadżety takie, jak inteligentne opaski, mierniki kroków oraz mobilne urządzenia i ich dane, które są przechowywane w chmurze lub w pamięci smartfonów. Bardzo ciekawe dane na temat bezpieczeństwa elektronicznych urządzeń fitness przynoszą wyniki AV-Test (https://www.av-test.org/en/news/news-single-view/test-fitness-wristbands-reveal-data/), powszechnie znanej na świecie organizacji, zajmującej się badaniem produktów bezpieczeństwa. Autorzy testu próbowali zbadać, w jaki sposób prywatne dane użytkowników są transferowane z urządzeń do smartfonów lub chmury oraz na ile są bezpieczne.

Szczególnie dużym popytem wśród fanów aktywnego wypoczynku cieszą się inteligentne opaski. Wszystkie czynności są analizowane i zapisywane w aplikacjach na smartfonach użytkowników. Ale pojawia się pytanie – czy dane przekazywane z opasek do smartfonów są w pełni bezpieczne? Czy istnieje możliwość, że ktoś przechwyci, skopiuje lub zmanipuluje dane. Czy aplikacja może być przekształcona przez hakera? Aby odpowiedzieć na powyższe pytania AV-TEST sprawdził pracę 9 inteligentnych opasek fitness oraz mierników, pracujących pod kontrolą systemu Android. Jak spisywały się mierniki pod względem bezpieczeństwa? Czy pojawiło się niebezpieczeństwo podsłuchiwania rozmów?

Testy niemożliwe
Inteligentne opaski fitness odegrają istotną rolę w branży ubezpieczeń zdrowotnych. Informacje o sprawności fizycznej klientów są bardzo łakomym kąskiem dla ubezpieczycieli. Dlatego osoby korzystające z gadżetów fitness powinny jak najszybciej zatroszczyć się o swoje dane, zanim będzie za późno i trafią do towarzystw ubezpieczeniowych. To sytuacja doskonale znana Amerykanom oraz kilku innym nacjom korzystającym z ubezpieczeń zdrowotnych. Niestety, istnieje też duże pole do popisu dla poważnych nadużyć. Niewykluczone, że skradzione dane będą sprzedawane firmom ubezpieczeniowym. Z innej strony informacje o czynnościach wykonywanych przez użytkownika mogą posłużyć złodziejom, którzy poznają zwyczaje potencjalnej ofiary i włamią się do jej mieszkania podczas nieobecności.

Badania akcesoriów fitness zapoczątkowują nowy rodzaj testów. Ich autorzy skupili się na trzech zasadniczych kwestiach: danych, szyfrowaniu oraz uwierzytelnianiu. Ale nie powinniśmy ograniczać się wyłącznie do wymienionych zagadnień. Szyfrowanie to tylko jeden z aspektów bezpieczeństwa. Proces obejmuje jedynie integralność oraz poufność danych. Natomiast bezpieczeństwo zawiera znacznie więcej obszarów, które powinny być uwzględnione w przyszłych badaniach. Jak zaprojektować testy sprawdzające elektronikę samochodową pod względem bezpieczeństwa sieciowego?

W ostatnim czasie zauważyłem, że część etycznych hakerów stara się pomóc firmom branży samochodowej, udostępniając testy penetracyjne. Ale to rozwiąże tylko część problemów związanych z zapewnieniem bezpieczeństwa. Internet Rzeczy staje się coraz bardziej powszechnym zjawiskiem i wymaga zastosowania zaawansowanych metod. Najlepszym sposobem jest stworzenie specjalnej organizacji, która opracuje wytyczne dla różnych segmentów przemysłu Internetu Rzeczy, a także zajmie się kontrolą oraz badaniem poszczególnych rozwiązań pod kątem ich bezpieczeństwa.

Online Trust Alliance

Jedną z inicjatyw, mających za zadanie ochronę zasobów, jest platforma Internet of Trust Framework (https://otalliance.org/initiatives/internet-things-iot#resource) powołana przez Online Trust Alliance (https://otalliance.org/). Założenia tego projektu zmierzają do wypracowania wytycznych dla producentów oraz developerów, które pomogą zredukować ilość ataków hakerskich oraz luki w systemach, a także adoptować odpowiedzialne praktyki w zakresie ochrony danych. Internet of Trust Framework zawiera też zbiór rozwiązań umożliwiających wdrażanie pomysłów przez różne firmy.

Powyższa inicjatywa zmierza w prawidłowym kierunku, choć potrzebne są też dodatkowe działania. Internet Rzeczy jest bardzo szerokim obszarem, gdzie trudno znaleźć równowagę pomiędzy bezpieczeństwem a prywatnością, dotyczy to każdego zakątka naszego globu i wszystkich produktów.

Mam szczególnie dużo wątpliwości w jaki sposób osoby badające bezpieczeństwo pomogą firmom IoT, kiedy rynek rośnie w tempie wykładniczym. Tym bardziej, że już dziś mają ręce pełne pracy, rozwiązując kwestie bezpieczeństwa Internetu, systemów operacyjnych i urządzeń pracujących na całym świecie. Dlatego najlepszą metodą na ograniczenie zagrożeń związanych z Internetem Rzeczy jest bardziej holistyczne, systemowe podejście.

Prawdziwe zagrożenie i kilka rozwiązań: nie powtarzajmy błędów z przeszłości.

Prognozy dotyczące Internetu Reczy są oszałamiające. Do 2020 roku Internet Rzeczy obejmować będzie 212 mld urządzeń oraz ponad 3 mln petabajtów danych. (http://www.businesswire.com/news/home/20131003005687/en/Internet-Poised-Change-IDC#.VdHhVVNVhBc). To oznacza, że ryzyko ataku na urządzenia Internetu Rzeczy jest nieporównywalnie wyższe niż w przypadku komputerów. Co się stanie, jeśli samochód zostanie porwany w czasie jazdy? Co się wydarzy, jeśli pompa insulinowa będzie zdalnie kontrolowana przez cyberprzestępców? Również ryzyko, że ktoś zostanie skrzywdzony fizycznie staje się coraz bardziej realne.

Znaczna część problemów związanych z bezpieczeństwem może być rozwiązania podczas projektowania urządzeń. Stosowanie od początku odpowiednich zabezpieczeń to odpowiedni kierunek. Jest to szczególnie ważne w budowie oprogramowania do urządzeń Internetu Rzeczy. Warto zwrócić uwagę, iż potrzeba łatwej aktualizacji urządzeń, z jednej strony będzie ich atutem, ale może stać się koszmarem, jeśli cyberprzestępcy zaczną ingerować w ten proces.

Cyberprzestępcy zawsze chętnie sięgają po niżej zawieszone owoce, dlatego aplikacje powiązane z Internetem Rzeczy są poważnie zagrożone. Można je znaleźć w urządzeniach mobilnych, desktopach, firmwarze oraz platformach np. Tizen Watches. Wszystkie z wymienionych aplikacji potrzebują zabezpieczenia, chroniącego przed kradzieżą poufnych danych bądź dostępem do kanałów płatniczych. Oczywiście już spotkaliśmy się z malwarem (e.g. Vicepass Trojan), który poszukuje haseł dostępu do urządzeń połączonych w sieci. Nie są to jak na razie zaawansowane działania. G DATA zaoferuje kilka nowych rozwiązań wychodzących na przeciw nowym potrzebom zmieniającego się świata. Obecnie rozwijamy produkty dla systemów Android. Windows, Linux i Mac OS, aby w przyszłości nie były furtką dla hakerów do przeprowadzania zdalnych ataków na inteligentne urządzenia.

Internet Rzeczy powiązany z takimi branżami jak inteligentny dom, inteligentne miasta i samochody, automatyka przemysłowa (określana jako industry 4.0), oraz inteligenta opieka zdrowotna, rozwija się dynamicznie. Nie powinniśmy popełniać błędu sprzed lat, kiedy nikt nie traktował bezpieczeństwa jako jednego z kluczowych problemów. Potrzebujemy bezpiecznych wdrożeń oraz wysokich standardów ochrony danych. Nie zapominajmy o tym. Zawsze możemy wypełnić luki bezpieczeństwa. Muszą być na tyle małe, żeby nie udało się przez nie prześlizgnąć przestępcom.


Eddy Willems, G DATA

 

Related posts

Top font