Zgłoś błąd

X

Zanim wyślesz zgłoszenie, upewnij się że przyczyną problemów nie jest dodatek blokujący reklamy.

Typ zgłoszenia
Treść zgłoszenia
Twój email (opcjonalnie)
Nie wypełniaj tego pola
 
.
Załóż konto
EnglishDeutschРусскийFrançaisEspañol中国
 

Internet Rzeczy kusi swymi możliwościami, ale czy jest bezpieczny?

LukasAMD | 28-01-2016 16:05 |

Internet RzeczyIdea Internetu Rzeczy jest niesamowicie pociągająca. Czyż nie piękna jest wizja budynku, w którym wszystkie światła są sterowane automatycznie przez naszą aktywność, który sam wyłącza niepotrzebne urządzenia podczas naszej nieobecności, który wreszcie dba o bezpieczeństwo i w razie zagrożenia wzywa policję lub straż? Technologie związane z inteligentnymi budynkami to znacznie więcej, mają zaś na celu ułatwienie codziennego życia i zdjęcie z nas niektórych obowiązków. Przy tym wszystkim często zapominamy niestety o bardzo ważnej kwestii – Internet Rzeczy to nie tylko większe możliwości i wygoda, ale także duża odpowiedzialność. Niektóre rozwiązania i sposób ich wdrażania pozostawiają wiele do życzenia pod względem bezpieczeństwa i to nie tylko w przypadku domów, ale wszelkich urządzeń działających w tak zautomatyzowany sposób.

Wizja scentralizowanego systemu zarządzania całym domem i innymi urządzeniami jest niezwykle atrakcyjna, ale i zdradliwa.

W przypadku wizji i praktycznego zastosowania Internetu Rzeczy bardzo pociągającym rozwiązaniem jest połączenie, swoiste scentralizowanie wszystkich systemów: po co korzystać z zupełnie osobnych mierników i sterowników do wody, prądu, gazu czy też światła, skoro wszystkie możemy za pomocą tych rozwiązać, spiąć w jeden, centralnie zarządzany. Wydaje się to szalenie wygodne, tym bardziej że do urządzeń tego typu możemy uzyskać dostęp zdalnie, zarówno z komputerów, jak i np. przez aplikacje mobilne na smartfonach. Wracamy z pracy, kilka kliknięć a po powrocie będziemy mieli gotową wodę na kawę, włączone oświetlenie, zwiększoną temperaturę w pomieszczeniach.

Bezpieczeństwo IoT #1

Wygląda to świetnie, ale co jeżeli dostęp do naszego systemu uzyska ktoś niepowołany? Pół biedy, gdy chodzi o żarówkę z własnym IP, którą się zabawi i wyłączy w nieodpowiedniej dla nas chwili (choć z drugiej strony, to może być początek „wypadku”, który nie skończy się dla nas zbyt dobrze np. przy pokonywaniu schodów). Gorzej, gdy taki atakujący przejmie kontrolę nad całym naszym inteligentnym budynkiem. Chcemy włączyć telewizor – przykro mi, gniazdko zostało wyłączone. Wchodzimy do łazienki… cóż, na podłodze jest pełno wody, czujniki zostały wyłączone. Wracamy do domu, a całe oświetlenie odmawia współpracy, na dodatek jest przeraźliwie zimno… awaria? Niekoniecznie, to może być celowe działanie.

Taki nieco czarny scenariusz nie jest niczym zaskakującym. O bezpieczeństwie IoT mówi się stosunkowo niewiele, bo producenci tych rozwiązań często nie chcą o tym mówić: przecież ich systemy są proste w użyciu, nieskomplikowane, mają ułatwiać, a nie utrudniać życie. Temat jest więc często zamiatany pod dywan, aby nie straszyć użytkowników, podobnie zresztą jak ma to miejsce w przypadku komputerów czy usług internetowych, które również są narażone na ataki. Niestety, tak się nie da w przypadku IT i czegokolwiek, do czego da się uzyskać dostęp z zewnątrz. Nie potrzeba tu wcale dostępu do Internetu, część urządzeń korzysta z sieci bezprzewodowych, a wielu użytkowników nie wie, jak łatwo da się przełamać ich zabezpieczenia i jaka powinna być prawidłowa konfiguracja routerów i punktów dostępowych. Samochód i osoba z laptopem w środku nie budzi natomiast podejrzeń.

O skali zagrożeń świadczyć może kilka przypadków z życia wziętych. W ostatnich dniach rozszerzono działanie specjalnej internetowej wyszukiwarki Shodan. Służy ona do wyszukiwania urządzeń podłączonych do Internetu, a po opłaceniu dostępu do wersji rozszerzonej możemy dzięki niej także badać te urządzenia pod kątem bezpieczeństwa. Jak się okazało, po dodaniu obsługi urządzeń Internetu Rzeczy w zasadzie każdy może sprawdzać dostępność niezabezpieczonych kamer wchodzących w skład domowego monitoringu. Montujemy takie systemy np. w celu ochrony przed włamywaczami lub obserwowania dziecka, a w praktyce ktoś może to wykorzystać do obserwowania nas samych. Niczym monitoring i podglądanie z Roku 1984, tyle tylko, że serwowane nam na nasze własne życzenie i wynikające z naszej nieodpowiedzialności.

W połowie ubiegłego roku miał miejsce ciekawy eksperyment – dwóch badaczy przeprowadziło zdalny atak na Jeepa, którym kierował dziennikarz (wiedział on o teście). Mogli oni sterować klimatyzacją, poziomem głośności, wycieraczkami i spryskiwaczem. W pewnym momencie zablokowali możliwość przyśpieszania, a samochód znajdował się na autostradzie. Test powtórzono na parkingu, gdzie badacze byli w stanie kontrolować kierownicę, a także blokować hamulce. Co prawda producent wydał poprawkę do oprogramowania używanego w aucie, ale problemu to nie rozwiązuje. Samochody również są wyposażane w kolejne elementy IoT i tutaj również istnieje duże ryzyko ataku. Co gorsza, bardzo atrakcyjnego ataku: trudno byłoby bowiem udowodnić, że to jakiś włamywacz spowodował nieprawidłowe zachowanie na drodze, wypadek i w konsekwencji śmierć kierującego.

Bezpieczeństwo IoT #3

Przykłady można mnożyć: funkcja strumieniowania zawartości ekranu dostępna w Google Chromecast okazała się dziurawa i pozwalała na przesyłanie danych atakującemu, pewien zdalnie sterowany ekspres do kawy umożliwiał zdobycie hasła do sieci bezprzewodowej, a liczne smartwatche i urządzenia do pomiaru aktywności fizycznej często nie zabezpieczają transmisji, przez co mogą doprowadzać do wycieku naszych danych. Źródłem ataków może być Android, pod którego kontrolą działają np. niektóre Smart TV. Zaznaczmy również, że sporo urządzeń Internetu Rzeczy korzysta z Linuksa, a w jego jądrze odkryto ostatnio poważną lukę. Nie jest to problem w przypadku popularnych dystrybucji otrzymujących aktualizacje, ale dla urządzeń stworzonych po prostu do działania i sterowania problem ma znacznie szerszy wymiar.

Nie możemy w pełni ufać automatom. Producenci tworzą już systemy ochronne, choć i te będą wymagały naszej uwagi i świadomości ryzyka.

Co robić i jak żyć w takiej sytuacji? Czy powinniśmy zrezygnować z urządzeń Internetu Rzeczy? Niekoniecznie. Ważne jest, aby do sprawy podchodzić z uwagą, rozwagą i nie ufać w marketingowe zapewnienia, że wszystko jest w stu procentach bezpieczne – takiego poziomu nie oferuje żaden system, a już na pewno nie takie, które tworzy się z myślą o niezaawansowanych użytkownikach. Niektóre firmy zajmujące się zabezpieczeniami tworzą już oprogramowanie i całe systemy do zabezpieczania sfery IoT, przykładem może tu być Trend Micro. Wszystko zależy od tego, jak będą dokładnie wyglądały takie zabezpieczenia i jak dalece „zautomatyzują” kwestię ochrony. Także i w tym przypadku ogromne zaufanie może być zgubne, bez ochrony lepiej jednak do Internetu Rzeczy nie podchodzić.

Źródło: PurePC.pl
0
Zgłoś błąd
Łukasz Tkacz
Liczba komentarzy: 11

Komentarze:

x Wydawca serwisu PurePC.pl informuje, że na swoich stronach www stosuje pliki cookies (tzw. ciasteczka). Kliknij zgadzam się, aby ta informacja nie pojawiała się więcej. Kliknij polityka cookies, aby dowiedzieć się więcej, w tym jak zarządzać plikami cookies za pośrednictwem swojej przeglądarki.