Odlehčená bezpečnost internetu věcí

Rozmach „internetu věcí“ (Internet of Things, IoT) před nás postaví zcela nové bezpečnostní výzvy.

Odlehčená bezpečnost internetu věcí


Gartner tvrdí, že v roce 2020 bude k internetu připojeno 30 miliard zařízení. Cisco dokonce uvádí skoro dvakrát tolik – 50 miliard. A Morgan Stanley jde přitom ještě výš -- zařízení prý bude 75 miliard. Kdo z nich bude blíže realitě, ukáže až čas.

Pokud se podíváme na různé žebříčky typu „X technologií, které v nejbližších Y letech změní náš svět“, nikdy tam právě IoT nechybí. Jde o svět, kdy budeme komunikovat přímo s jednotlivými zařízeními a kdy tato budou komunikovat navzájem (M2M, Machine To Machine).

 

Hacknutý záchod

Loni se objevila informace, že díky bezpečnostní chybě lze luxusní chytrý záchod společnosti Satis ovládat jakýmkoliv mobilem na dálku skrze Bluetooth. Lze tak zvedat či spouštět prkénko, splachovat nebo zvyšovat či snižovat teplotu vzduchu určeného k usušení.

Zpráva působí úsměvně a vyvolává otázku, jakouže asi má tato informace hodnotu pro hackery. Staré a prověřené bezpečností poučky nám ovšem říkají, že „nemusíme chápat celý rozsah problému, oni útočníci už něco vymyslí“ a že „každý zranitelný bod se může stát odrazovým můstkem k útoku na další místa“.

Napadení chytrých televizorů Samsung a ovládnutí disku, možnost přepínání kanálů, změny nastavení, instalace malwaru nebo dokonce ovládnutí instalované webové kamery (jak se o chybě informovalo v prosinci 2012) je z hlediska názornosti přece jen jasnější.

Symantec zase loni upozornil na linuxového červa Darlloz, který se zaměřuje na starší (leč často neopravenou) chybu v php. Speciálně se přitom zaměřoval na IoT: bezpečnostní kamery, set-top boxy, chytré měřiče...

V závěru loňského roku pak společnost Proofpoint detekovala tisíce infikovaných chytrých zařízení, která byla připojená do sítě zajišťující rozesílání spamu. Šlo o multimediální centra, televizory, domácí směrovače a dokonce i o jednu ledničku!

Ovšem nejen útoky ve smyslu, v jakém se nejčastěji vnímají (malware, rozesílání spamu, krádež dat...), představují v IoT nebezpečí. Potenciální útočník si totiž data může „vyrobit“. Stačí mu zjistit, kolikrát otevřete mikrovlnku, ledničku nebo zda vůbec zapnete televizní přijímač – a má odpověď na otázku, jestli jste vůbec doma. Těžko dnes předvídat, zda tyto okruhy nakonec budeme řešit, nebo se s nimi prostě smíříme.

Další směry vývoje napoví třeba nedávné patentování technologií, které dokážou s pomocí chytrých televizorů určit počet osob v místnosti, jejich velikost (dítě vs. dospělý) a třeba i vzájemnou polohu.

Následně jim promítá reklamy „šité na míru“: Něco jiného tak v komerční přestávce uvidí dvojice zamilovaná sedící blízko sebe ruku v ruce, něco jiného pak matka za žehlícím prknem.

Obecně obecně se ale dá říci, že na nás v IoT čekají zcela nové hrozby, které dnes ani nedokážeme kvantifikovat.

 

Jak na to?

Na pořadu dne tak nebude otázka, zda to je bezpečné. Spíše se budeme ptát, jak IoT řádně zabezpečit.

„Žádné samostatné řešení nedokáže plně ochránit zařízení před útočníky, kteří využijí několika odlišných vektorů,“ uvádí Steve Hoffenberg z M2M Embedded Software & Tools.

V tom má bezpochyby pravdu a lze jen dodat, že nejspíše nikdy nebudeme schopni zajistit takovou míru bezpečnosti na všech frontách, jakou bychom si představovali.

Hoffenberg jedním dechem sice dodává, že pro maximalizaci bezpečnosti bude třeba zařízení vybavit technologií detekce malwaru, whitelisty i blacklisty, kontrolou přístupu, šifrováním dat, autentizací uživatele či analýzou hrozeb v reálném čase.

Což je sice také pravda, ale jde především o technický pohled na věc: dokážete si byť jen část těchto systémů představit v inteligentním měřiči spotřeby tepla, rotopedu nebo v zubním kartáčku?

Technologie zabezpečení tak bude zřejmě ležet jinde: Indický výzkumník Shahid Raza ze švédského institutu SICS, který se o IoT dlouhodobě věnuje, používá poměrně trefný termín Lightweight Security (odlehčená bezpečnost).

Řeší tři základní oblasti. Jednak bezpečnou komunikaci, kterou navrhuje ošetřit skrze komprimované (byť stále bezpečné) protokoly IPSec (síťový), DTLS (Datagram Transport Layer Security; transportní) a IEEE 802.15.4 (linkový).

A také pomocí detekce útoků pomocí zcela nové koncepce IDS a firewallů (Raza dokonce vytvořil nástroj, který nazval SVELTE). A konečně zajistit ochranu dat uvnitř uzavřených uzlů.

„Odlehčení“ přitom spočívá jak ve vytvoření nových algoritmů, tak v orientaci se jen na určité skupiny rizik. To znamená, že aplikace by nebyly všeřešící, ale spíše než zajišťovat bezpečnost by ji měly zvyšovat. Raza podotýká, že platformy musí zůstat dostatečně otevřené, aby byly schopné reagovat na aktuální vývoj.

Dále dodává, že jde především o modely a že bude třeba vytvořit nové standardy -- jak technické, tak organizační. Stejně jako v dnešním světě bude i v IoT zapotřebí reagovat na nové objevované hrozby – třeba i v podobě zranitelností.

Pravdou se ale asi stane to, že budeme muset přehodnotit naše vnímání toho, co je ještě bezpečné a co už ne - a tomu přizpůsobit naše požadavky.

Ať tak či onak, velká příležitost IoT zkrátka přinese i velkou zodpovědnost. Jinak se realitou stane tvrzení některých zlých jazyků, kteří nehovoří o IoT, ale o IoHT – Internet of Hackable Things.

 

Tento příspěvek vyšel v Securityworldu 1/2014.

Úvodní foto: © Tommi - Fotolia.com










Komentáře