Bezpieczeństwo IoT - sprawa życia lub śmierci

Zagrożenia związane z Internetem Rzeczy nie są już wyłącznie teorią, lecz realnym ryzykiem. Co więcej, niebezpieczeństwo jest znacznie większe, niż powszechnie się uważa.

Internet Rzeczy dla różnych ludzi oznacza co innego: automatyczne samochody, inteligentne miasta, inteligentne budynki, służbę zdrowia czy też aplikacje do fitnessu. Jednak dla ludzi zajmujących się bezpieczeństwem jest przede wszystkim dużym problemem i wyzwaniem. Bardzo surowo stan bezpieczeństwa IoT ocenia Christian Byrnes, analityk Gartnera, który sformułował kilka prognoz sięgających do roku 2020. Byrnes uważa, że pęd w kierunku podłączania do sieci czego się da jest nieuchronny, a wpływ takiego zachowania jest trudny do przecenienia.

Jedną rzeczą są ataki hakerskie, powodujące przestój w pracy aplikacji czy kradzież danych, numerów kart kredytowych czy danych osobowych. Ale co się stanie, jeśli profesjonalistów od bezpieczeństwa obciążymy odpowiedzialnością za zapewnienie dostępności systemów czasu rzeczywistego? Liczba czarnych scenariuszy jest nieskończona. Wyobraźmy sobie systemy dostarczania leków w szpitalu, sterujące sygnalizacją świetlną na skrzyżowaniach, dostawami wody, itd. Co będzie, jeśli ktoś włamanie się, do któregoś z tych systemów? Wtedy zagrożone będzie ludzkie życie. Jest to coś zupełnie innego, niż to, z czym dotychczas mieli do czynienia eksperci od bezpieczeństwa IT. W wielu branżach ludzkie życie będzie zagrożone. Warto odnotować, że amerykańska Administracja Żywności i Leków (FDA) wycofała z rynku pewien model pompy insulinowej, ponieważ było to urządzenia mogące komunikować się w sieci, a więc narażone na ataki hakerskie.

Zobacz również:

Ponieważ budynki i inne systemy w świecie fizycznym coraz częściej są sterowane z użyciem sensorów, bezpieczeństwo fizyczne będzie łączone z cyberbezpieczeństwem, a nad całością pieczę będzie sprawować dział IT. Dla osób odpowiedzialnych za bezpieczeństwo są to dodatkowe obowiązki. Osoby zajmujące się bezpieczeństwem, patrząc w przyszłość, powinny zauważyć, że za kilka lat będą musiały zajmować się nie tylko bezpieczeństwem systemów komputerowych.

Strategia bezpieczeństwa polega na wykrywaniu, izolowaniu i odpowiadaniu na atak. Zmiana tej strategii bezpieczeństwa jest największym wyzwaniem dla IT. Historyczna migracji z serwerów mainframe do architektury serwer-klient czy też przechodzenie na urządzenia mobilne to procesy, które wydają się dziecinną igraszką z dzisiejszymi wyzwaniami bezpieczeństwa IoT. Byrnes zaleca specom od bezpieczeństwa, żeby już dziś zaczęli się przygotowywać do nadchodzącej rzeczywistości Internetu Rzeczy, w której wszystko jest podłączone do sieci i jednocześnie wszystko może być podatne na ataki.

Wróg nie śpi

Dwa różne badania – jedno przeprowadzone przez HP, a drugie przez OpenDNS – pokazują krajobraz zagrożeń dla urządzeń IoT. Oba kończą się podobnymi wnioskami – zagrożenia są realne już teraz i są powszechniejsze niż się uważa.

OpenDNS specjalizuje się w usługach DNS, obsługując dziennie ok. 70 miliardów żądań pochodzących od 50 milionów użytkowników domowych i korporacyjnych w 160 krajach. Dane do raportu firma zbierała każdego piętnastego dnia w kolejnych trzech miesiącach. Znaleziono zadziwiająco dużo luk w bezpieczeństwie korporacyjnych sieci, również w silnie regulowanych sektorach, jak służba zdrowia, energetyka, edukacja, instytucje finansowe czy sektor publiczny.

Na podstawie analizy zebranych danych wskazano trzy główne problemy bezpieczeństwa związane z IoT:

1. urządzenia IoT wprowadzają nowe możliwości (podatności) zdalnego ataku na sieci korporacyjne;

2. infrastruktura służąca do podłączania urządzeń IoT często jest poza kontrolą użytkownika oraz firmowych działów IT;

3. IT często dość przypadkowo podchodzi do zarządzania urządzeniami IoT, co powoduje, że są one niewystarczająco monitorowane i często zapomina się o instalowaniu aktualizacji oprogramowania.

Infrastruktura Internetu Rzeczy okazuje się podatna na dobrze znane zagrożenia, jak Freak czy Heartbleed. Dobrym przykładem są też dyski firmy Western Digital z funkcjami chmurowymi, które są często wykorzystywane w firmach, aktywnie przesyłają dane do niezabezpieczonych serwerów chmurowych.

Poważnym problemem jest również to, że wiele urządzeń IoT wykorzystuje Internet, aby regularnie kontaktować się z sieciami poza lokalną infrastrukturą IT, czego firmowe działy często nie są świadome. Raport wskazuje, że, np. inteligentne telewizory wykorzystywane w salach wideokonferencyjnych mają wbudowane tego typu możliwości i mogą wykorzystywać przestarzałą infrastrukturę, która używa niezaufanych certyfikatów bezpieczeństwa, co otwiera furtkę do przeprowadzenia kilku dobrze znanych ataków. Autorzy raportu podkreślają, że taka funkcjonalność sama w sobie nie jest niebezpieczna, ale daje potencjalnie hakerom możliwość monitorowania tych urządzeń sieciowych i ustalania, kto z nich korzysta. Ten rodzaj komunikacji jest również dodatkową płaszczyzną ataku dla hakerów próbujących wykorzystać określone luki w bezpieczeństwie.

Eksperci z OpenDNS przeprowadzili również ankietę wśród 500 profesjonalistów IT, z której wynika, że wiele przedsiębiorstw jest wystawionych na ryzyko. Wyniki pokazały, że 23% ankietowanych nie ma wdrożonych mechanizmów zabezpieczających firmową siecią przed łączeniem się z nią przez nieautoryzowane urządzenia.

Z kolei badanie przeprowadzone przez HP koncentrowało się na 10 popularnych urządzeniach IoT z takich segmentów, jak inteligentne telewizory, kamery internetowe, termostaty i inne. Analizowano ich działanie od strony bezpieczeństwa i wykryto szereg niebezpieczeństw. Eksperci znaleźli alarmująco dużą liczbę podatności w badanych urządzeniach. Podatności te obejmowały znane zagrożenia, jak Heartbleed, ataki DDoS, słabe hasła oraz ataki typu XSS (Cross-Site Scripting). Większość urządzeń ma wbudowane funkcje komunikacji z usługami chmurowymi. Jest to kolejna płaszczyzna ataku z uwagi na to, że atakujący może wykorzystać podatności w mechanizmach transmisji danych między urządzeniem a chmurą. Niemal wszystkie mają wbudowane aplikacje, które umożliwiają zdalne kontrolowanie urządzenia – jest to następna droga ataku.

Pozostałe wnioski z badania:

70% urządzeń nie szyfruje komunikacji, niezależnie czy w sieci lokalnej czy w Internecie, a niemal wszystkie urządzenia zbierają dane o swoich użytkownikach.

60% urządzeń ma źle zabezpieczony interfejs webowy, np. podatny na ataki XSS, z kiepsko zarządzanymi sesjami użytkowników oraz ma słabe fabryczne dane uwierzytelniające.

60% urządzeń ma źle zabezpieczone oprogramowaniu lub firmware, ponieważ nie używają szyfrowania podczas pobierania aktualizacji. To umożliwia hakerom przechwytywanie pobieranych aktualizacji i ich modyfikowanie w sposób umożliwiający późniejszy atak.

80% urządzeń ma problemy z hasłami – nie wymagają od użytkowników haseł o wystarczającej złożoności i długości. Większość pozwala użytkownikom na zakładanie haseł typu: „1234” lub „qwerty”. Takie słabe hasła można z reguły zakładać w samych urządzeniach, jak również w powiązanych z nimi usługach chmurowych i aplikacjach mobilnych.

Niebezpieczny jak telewizor

Inteligentne telewizory mogą stać się celem ataków, ponieważ te urządzenia są znacznie gorzej zabezpieczone niż komputery czy smartfony. Przykładowo, żeby z nich skorzystać, nie trzeba się uwierzytelniać. A przecież pracują one pod kontrolą systemu operacyjnego (np. Android) i mają wbudowane mechanizmy komunikacji sieciowej. Ich producenci stawiają bowiem przede wszystkim na wygodę obsługi kosztem bezpieczeństwa. Trzeba dodać, że nie są to urządzenia stosowane wyłącznie przez konsumentów. Znajdują również zastosowanie w firmach jako elementy systemów do wideokonferencji. Na razie ataki na inteligentne telewizory nie są powszechne, ale eksperci uważają, że jest tylko kwestią czasu, aż hakerzy zaczną wykorzystywać ich słabości.

Badacze zwracają uwagę, że wiele modeli nie weryfikuje, czy polecenia przychodzące przez sieć są faktycznie wysyłane przez osobę, która w danej chwili fizycznie kontroluje telewizor. To oznacza, że haker może zdalnie przechwycić nie tylko ostatnią prezentację. Może on również manipulować wyświetlanymi treściami. W ten sposób może zmanipulować użytkownika do zainstalowania aplikacji zawierającej szkodliwy kod. Jest to metoda ataków używana w przypadku smartfonów, ale może sprawdzić się również w telewizorach. Kolejnym zagrożeniem dla tych urządzeń jest ransomware, czyli oprogramowanie szyfrujące zawartość nośników danych w celu wyłudzenia okupu.

Zauważono również inne problemy bezpieczeństwa, np. związane z aktualizacją oprogramowania w telewizorach Niektóre modele nie używają szyfrowania SSL/TLS (Secure Sockets Layer/Transport Layer Security) podczas pobierania aktualizacji. To z kolei powoduje, że możliwe jest podstawienie fałszywych plików (np. firmware’u) zawierających szkodliwy kod. Niektóre telewizory nie sprawdzają nawet spójności pobieranych aktualizacji.

Inteligentne telewizory nie korzystają z oprogramowania antywirusowego i pozostaje wątpliwe, czy to byłoby praktyczne rozwiązanie mogące powstrzymać cyberataki. Takie oprogramowanie mogłoby działać, ale jednocześnie powodowałoby spadek wydajności. Czy oprogramowanie zabezpieczające ma sens w telewizorze, jeśli w efekcie obraz nie byłby wyświetlany płynnie?

Wprawdzie model bezpieczeństwa systemu Android określa, co dana aplikacja może zrobić bez akceptacji użytkownika, ale z drugiej, jak wskazują eksperci, wielu osób nie czyta wyświetlanych komunikatów, odruchowo klikając potwierdzenie wykonania danej operacji, chcąc dalej oglądać telewizję.

Rok 1984

Bezpieczeństwo Internetu Rzeczy to wciąż wiele otwartych zagadnień. Ważna jest nie tylko ochrona urządzeń końcowych. Istotniejszym zagadnieniem się zabezpieczenie sieci i platformy, do której te urządzenia są podłączone. Większość działów IT będzie mieć do czynienia z inwestowaniem i wdrażaniem właśnie tych sieci i platform (np. Google Brillo, Qualcomm AllJoyn czy platformy stworzonej przez Industrial Internet Consortium).

Koncepcja platformy zakłada zbudowanie takiego rozwiązania, które umożliwia szybkie podłączanie się do sieci ogromnej liczby urządzeń. Mnogość urządzeń komunikujących się ze sobą to jeden problem, ale co się stanie w momencie włamania lub wykrycia podatności? Jak szybko nowy exploit może rozprzestrzeniać się w takiej sieci? Jakie ryzyka zagrażają sensorom? Jakie mogą być skutki przesłania błędnych danych? Jak zintegrować zabezpieczenia IoT z obecnymi produktami bezpieczeństwa i procedurami stosowanymi przez firmy?

Tak wiele niewiadomych nasuwa skojarzenie, że bezpieczeństwo IoT jest w tym samym miejscu, w którym było bezpieczeństwo Internetu w 1984 r. – brakuje zabezpieczeń, szyfrowania i uwierzytelniania. Rozwijane od lat przez duże firmy urządzenia sieciowe lub stosunkowo proste domowe routery, nie są bezpieczne. Tym bardziej, w tak młodej branży, jak urządzenia IoT, trzeba spodziewać się wielu problemów z bezpieczeństwem.