Internet rzeczy, a nowoczesne zabezpieczenia.
Internet przedmiotów - pojęcie znane również, jako Internet rzeczy (ang. Internet of Things - IoT) jest to nienowa pojęcie, bo nazwa użyta była po raz pierwszy już w 1999 roku.
To koncepcja, która zakłada jednoznacznie identyfikowalne przedmioty, które mogą pośrednio lub bezpośrednio gromadzić i przetwarzać oraz wymieniać między sobą informacje za pośrednictwem sieci komputerowej. Do tego typu sprzętu zaliczamy między innymi urządzenia AGD, artykuły oświetleniowe, grzewcze, inteligentne lodówki itp.
Taki stan rzeczy zbliża się coraz większymi krokami do wcielenia tej teorii w praktyce. Dzieli już nas od tego tylko kilka lat. Wychodzi również na to, że do grupy powiązanych urządzeń zaliczymy już na pewno domowe termostaty, elektryczne zamki, systemy alarmowe. Zakres korzyści z tego płynących rozciąga się od usprawnienia procesów konserwacyjnych i konfiguracyjnych po pełną automatyzację kampusów biurowców. Przechodzimy już z fazy podłączania się do konkretnego urządzenia i łączenia ich ze sobą do łączenia wszystkiego razem.
Nie dajmy się zaskoczyć!
Przedsiębiorstwa, które wdrażają tego typu usługi i urządzenia, zwiększają tym samym automatycznie przestrzeń, na której mogą zostać zaatakowane. Niesie to za sobą wzrost ryzyka prowadzenia takiej działalności. Oznacza to, że liderzy w biznesie muszą zastanowić się i zrozumieć realne zagrożenia płynące z tego typu inwestycji oraz odpowiednio zabezpieczać się przed nim. Osoby z nieupoważnionym dostępem mogą potencjalnie wygenerować i wprowadzić sporo zamieszania, takiego jak zakłócenia działania urządzeń, ich wewnętrznej komunikacji oraz wpłynąć na zmiany danych, które przesyłane są za pomocą Internetu. Może to mieć bezpośredni wpływ na ograniczenie zaufania do produktów i urządzeń (na przykład inteligentnego ogrzewania) używanych przez firmy.
Na pewno nie każdy byłby zachwycony brakiem możliwości dostania się do własnego domu lub mieszkania (po niespodziewanym włamaniu hackera lub ataku innego złośliwego oprogramowania na system urządzeń naszego przybytku), kradzieży auta lub jeszcze gorszych następstw takich zdarzeń. Ile osób prowadzących biznes tolerowałoby stan rzeczy, w którym część posiadanych urządzeń przesyła nam błędne informacje telemetryczne. Pewnie niewielu.
Gdy przychodzi nam mówić o tego typu atakach, przywodzi nam na myśl ostrzeżenie, które otrzymaliśmy w grudniu zeszłego roku. Niemiecka huta metali straciła w wyniku ataku hackerskiego kontrolę nad swoimi maszynami, a rezultatem były rozległe straty. Napastnicy przeprowadzili atak na zasadzie phishingu, przesyłając maile, które umożliwiły im zdobycie uwierzytelnienia, w celu zdobycia dostępu do maszyn znajdujących się w hucie.
Historia ta była już cytowana w rocznym raporcie niemieckiego federalnego biura ochrony informacji (BSI). W tym raporcie, BSI przyznaje, że napastnicy byli bardzo utalentowani i użyli oni ukierunkowanych wiadomości mailowych oraz technik inżynierii społecznej, by przeniknąć do systemów zakładu. Napastnicy użyli tzw. phishingu, kampanii wymierzonej w konkretne, indywidualne cele w firmie, które podstępem były nakłaniane do otwarcia wiadomości, której zawartość przechwytywała loginy i hasła.
Zeszłego lata, David Jacob napisał na łamach Dark Reading „Jak zhakowałem swój dom w stylu IoT”. Przeanalizował wszystkie rzeczy, które były podłączone w swojej domowej sieci: telewizor z generacji smart, odbiornik satelitarny, odtwarzacz DVD/Blu-ray, urządzenia pamięci masowej podłączone do sieci, konsola gier i podobne. „Gdy się już do tego zabrałem, nie zajęło mi dużo czasu odnalezienie luk bezpieczeństwa we wszystkich z wymienionych systemów. Udało mi się odnaleźć 14 luk w samym urządzeniu pamięci masowej, jedną lukę w telewizorze i kilka potencjalnie ukrytych opcji zdalnego kontrolowania routera”.
Stan rzeczy przypomina nam bardzo sytuację z roku 1990, gdzie na zachodzie pierwsze przedsiębiorstwa zaczęły wprowadzać do swoich firm komputerowe bazy danych. Bazy danych, które schowane za firewallami były cały czas wystawione na ryzyko penetracji z Internetu poprzez pośpieszne wdrożenia tych rozwiązań. Tylko kilka firm tak naprawdę przejmowało się tym, by poprawiać znalezione luki bezpieczeństwa. To wtedy rozpoczęła się epoka największych problemów systemów operacyjnych i siejących spustoszenie robaków internetowych. Czy chcemy przerabiać to po raz kolejny? Tym razem z problematyką IoT'u w roli głównej. Jesteśmy przekonani, że nie.
Alternatywą jest tworzenie i sprzedawanie urządzeń, które nie będą później już nigdy wymagały aktualizacji, pomimo posiadania możliwości dostępu do Internetu i innych technicznych możliwości komunikacyjnych. Jedną z pierwszych prób zabezpieczenia wszystkich przedmiotów użytku domowego, które są podłączone do sieci podjął producent oprogramowania Bitdefender.
Sieci domowe coraz częściej zawierają rozmaite inteligentne urządzenia takie jak telewizory, konsole do gier, centra multimedialne, kamery IP, urządzenia pamięci masowej, inteligentne termostaty i wiele innych urządzeń. Wiele z tych systemów zawiera nasze dane, które wolelibyśmy by pozostały prywatne, a brakuje programów antywirusowych obsługujących takie platformy. Nowe urządzenie firmy Bitdefender jest połączeniem routera i zapory sieciowej, które zapobiega włamaniom. Może być używane, jako router, podłączony do jednego z portów Ethernet. Jak również możne zostać podłączone do routera tak by chronić przed atakami internetowymi cała naszą sieć.
Ważne jest, aby jednocześnie z rozwojem i wdrażaniem rozwiązań IoT, uczyć się na błędach, które pojawiały się przy powstawaniu handlu elektronicznego i w „pierwszych dniach” utworzenia sieci globalnej. Sprzedawane urządzenia powinny być produkowane z myślą o bezpiecznej komunikacji, zamiast śrubowania zabezpieczeń ich systemów już po ich wydaniu.
Dobre wieści są takie, że są to zagrożenia z których dobrze zdajemy sobie sprawę. Znamy nasze urządzenia i musimy pracować nad ich poprawnym projektowaniem. Będzie to wymagało, by twórcy urządzeń IoT brali przykład z wykonanej już pracy deweloperów oprogramowania i kontynuowali ją w celu wprowadzenia wielu nowych ulepszeń. Wymagać to będzie również zacieśnienia współpracy między zespołami projektującymi urządzenia, a programistami.