Jak prawidłowo zabezpieczyć urządzenia IoT ?
Szpiegujące liczniki mediów i kamery monitoringu, hakerzy przejmujący kontrolę nad samochodem czy skuteczne ataki na sprzęt medyczny typu pompy infuzyjne i rozruszniki serca, które prowadzą do utraty czyjegoś zdrowia lub życia. Te scenariusze, które jeszcze niedawno mogły się wydawać wytworem wyobraźni twórców science fiction, już się zrealizowały. Na szczęście wiemy, jak im zapobiegać.
Z TEGO ARTYKUŁU DOWIESZ SIĘ:
|
Otaczające nas przedmioty życia codziennego, takie jak lodówki, zegarki czy telewizory, odkąd zostały usieciowione i określone jako „connected” lub „smart”, stały się jednym z ulubionych celów cyberprzestępców. Przechwycone urządzenia są już łączone w botnety i wykorzystane do przeprowadzania ataków DDoS (np. Mirai), podszywania się (DNS spoofing) czy wytwarzania kryptowalut (cryptojacking).
Powyższe przykłady nie wyczerpują jednak listy zagrożeń. Dane telemetryczne pozyskiwane z elementów Internet of Things (IoT) mogą zostać wykorzystane także do klasycznych przestępstw typu oszustwa i rozboje. Włamywacz znający zwyczaje domowników, np. kiedy wychodzą do pracy i z niej wracają, jest w stanie skuteczniej zaplanować i przeprowadzić włamanie. A taką wiedzę, niejako przy okazji, mogą mieć urządzenia typu smart – licznik energii, wody, ciepła, gazu, klimatyzator czy kamera CCTV. Tak samo dla porywacza bezcenna będzie możliwość ustalenia lokalizacji ofiary używającej opaskę czy zegarek smart. Współcześni złodzieje samochodów już zamienili wytrychy na zaawansowaną elektronikę wykorzystującą technologie radiowe.
Jeszcze poważniejsze w skutkach mogą być ataki na podłączane do sieci urządzenia automatyki przemysłowej (tzw. IIoT – Industrial Internet of Things), gdzie całe procesy produkcyjne mogą zostać zakłócone wskutek ataku, doprowadzając tym samym do ogromnych strat. Ekstremalne konsekwencje mogą spowodować ataki na IIoT będących elementami infrastruktury krytycznej, np. odpowiedzialnej za zaopatrywanie ludności w wodę czy energię. Czy jesteśmy w stanie wyobrazić sobie, jak wyglądałoby życie w wielkim mieście pozbawionym przez dłuższy okres czasu wody lub prądu?
Co jest źródłem słabości bezpieczeństwa technologii IoT?
Rozwiązania te są zwykle projektowane w taki sposób, aby dostarczały wyniki natychmiast, np. w reżimie real-time, pochłaniały jak najmniej energii oraz by były stosunkowo tanie w produkcji, bo każdy dodatkowy układ scalony w urządzeniu, które jest produkowane na masową skalę, podnosi koszt całego przedsięwzięcia. Stąd częsta u producentów niechęć do stosowania nawet standardowych środków ochrony, takich jak szyfrowanie czy właściwe uwierzytelnienie.
W związku z rosnącą popularnością technologii Internet of Things producenci zaczęli się ściągać między sobą, by wprowadzać nowe urządzenia IoT na rynek przed konkurencją, co powoduje, że trafiają tam produkty niedojrzałe, mające wiele mankamentów.
W urządzeniach tych często odkrywane są również nieautoryzowane kanały dostępu, tzw. back doory, które mogą być nie tylko efektem potknięć deweloperów, ale wręcz celowym zabiegiem służb specjalnych różnych państw, by użyć ich do działalności wywiadowczej czy dywersyjnej.
Błędy popełniają także firmy decydujące się na wdrażanie IoT. Korzystając z tego, że rozwiązania te dość łatwo integrują się w sieci, przy wdrożeniach chętnie idą na skróty, zapominając o bezpieczeństwie. Często można spotkać urządzenia pracujące na tzw. ustawieniach domyślnych, czyli zwykle z wyłączonymi mechanizmami bezpieczeństwa, które zostały podłączone do niezaufanych sieci (np. sieci publicznych).
Jak zatem zabezpieczyć urządzenia IoT?
Gdy mamy do czynienia z istniejącym już rozwiązaniem, rozsądnym działaniem będzie spojrzenie na istniejący ekosystem IoT całościowo, tj. nie tylko na urządzenia, ale także na otaczające je i komunikujące się z nimi komponenty, często zlokalizowane w tzw. chmurach. Następnie należy zidentyfikować słabe punkty w tym systemie – tu pomocne mogą być ćwiczenia typu Pentesting czy Red Teaming. Ostatecznie należy usunąć podatności bądź też zastosować komplementarne środki ochrony, jeśli ich usunięcie okaże się problematyczne (np. NG Firewall).
Gdy natomiast mamy do czynienia z nowym lub dopiero planowanym rozwiązaniem, warto już na wstępnym etapie projektu zaangażować doświadczonego konsultanta / architekta ds. cyberbezpieczeństwa specjalizującego się w technologiach Internet of Things, co pozwoli zminimalizować ryzyko popełnienia błędów na wczesnym etapie projektu. To ważne, bo późniejsze usunięcie błędów wiązałoby się z dużymi kosztami. Konsultant / architekt zaproponuje środki ochrony stosowne do modelu zagrożeń oraz uwzględniające specyfikę biznesową i ograniczenia klienta.
T-Mobile ze względu na swoją unikalną pozycję operatora telekomunikacyjnego oraz dostęp do wysoko zaawansowanych technologii niedostępnych dla mniejszych podmiotów jako jedyny na rynku krajowym i jeden z nielicznych w Europie dostarcza pełen zakres (tzw. full-stack) usług cyberbezpieczeństwa dla technologii IoT. Obejmują one takie obszary, jak bezpieczeństwo aplikacji web i mobilnych (Application), radia i sieci (Radio & Network) oraz sprzętu i infrastruktury (Hardware & Infrastructure). Takie podejście gwarantuje, że żaden komponent bezpieczeństwa IoT, który mógłby stanowić najsłabsze ogniwo w łańcuchu całego ekosystemu, nie zostanie pominięty.
T-Mobile w swoich szeregach ma doświadczonych konsultantów, architektów oraz pentesterów, zorientowanych w technologiach IoT, którzy gotowi są sprostać Twoim wyzwaniom cyberbezpieczeństwa w tym obszarze.
Marcin Kopeć – konsultant ds. cyberbezpieczeństwa i pentester w T-Mobile
Data publikacji: 31.10.2018