21/06/2013

Chroniąc Internet Rzeczy

Porady

Pod koniec 2011 roku wyszło na jaw, że chińscy hakerzy całkowicie złamali zabezpieczenia amerykańskiej Izby Handlowej, wpuszczając do jej sieci destrukcyjny łańcuch szkodliwych programów. Pracownicy tej grupy lobbingowej przyznali, że hakerzy uzyskali nieograniczony dostęp do ich systemów, kradnąc wszystko, od wiadomości e-mail po dokumenty z zakresu polityki handlu międzynarodowego oraz notatki z posiedzeń. W rzeczywistości Izba Handlowa padła ofiarą całkowicie konwencjonalnego ataku w stylu APT (czyli długotrwałego, zaawansowanego zagrożenia). Jedynym powodem, dla którego pamiętamy o tym incydencie – który był zaledwie jednym w niekończącej się fali podobnych – jest fakt, że podczas procesu „sprzątania” po ataku w budynku na Capitol Hill znaleziono termostat komunikujący się z adresem IP zlokalizowanym gdzieś w Chinach.

33_internet_of_things

Jeżeli czytasz ten tekst, jest wielce prawdopodobne, że posiadasz jakąś rzecz podłączoną do internetu, która zaledwie pięć lat temu nie była wyposażona w taką możliwość. To właśnie jest esencja „internetu rzeczy”. Kiedyś internet był podstawowym węzłem łączącym komputery i serwery. Dzisiaj internet rzeczy rozrósł się tak gwałtownie, że wielu z nas nie wie czasem, co jest komputerem a co nie. Niemal wszystko posiada adres IP i połączenie z internetem: samochody, urządzenia gospodarstwa domowego, sprzęt medyczny, telefony, konsole gier wideo, opracowane przez Google okulary. Pojawiły się nawet pogłoski o tweetującym kranie do nalewania piwa.

Pomyśl o bezpieczeństwie sieciowym jak o labiryncie: im więcej wyjść i wejść posiada labirynt, tym łatwiej z niego uciec. Podobnie, im więcej urządzeń podłączonych do sieci, tym więcej okazji dla hakera, aby włamać się do sieci. Mówiąc prosto: każde urządzenie stanowi potencjalną ścieżkę wniknięcia do sieci, a tym samym, do jej maszyn.

Jest to koszmar, z jakim muszą borykać się administratorzy systemów oraz informatycy, ponieważ coraz więcej firm jest zmuszonych do przyjęcia polityki zezwalającej na przynoszenie własnych urządzeń (tzw. BYOD – Bring Your Own Device). Perspektywa zezwolenia całym rzeszom pracowników – reprezentującym różny poziom wiedzy na temat współczesnej technologii – na podłączenie różnych urządzeń do sieci korporacyjnej, budzi grozę.

Jednak w internecie rzeczy istnieją znacznie bardziej namacalne zagrożenia. Ludzie, którzy projektują systemy operacyjne i oprogramowanie w takich firmach jak Apple, Google, Microsoft i innych, myślą o bezpieczeństwie. To prawda, dostaje im się po łapach za wszystkie te luki w zabezpieczeniach i exploity, które pojawiają się, ale przynajmniej mają na względzie bezpieczeństwo.

Weźmy na przykład osobę, która zaprojektowała przemysłową skrzynkę sterowniczą regulującą substancje chemiczne w okolicznym basenie. Wcale nie jestem pewny, czy miała na względzie bezpieczeństwo, zapewniając możliwość połączenia tego urządzenia z internetem, dzięki czemu operator basenu mógł zdalnie regulować substancje chemiczne. Tę samą zasadę można zastosować do coraz szerszej listy maszyn podatnych na ataki hakerskie: publikowane są koncepcje exploitów demonstrujące ataki bezprzewodowe na tak małe przedmioty jak wbudowane urządzenia medyczne, np. rozruszniki serca i pompy insulinowe, czy tak duże jak samoloty komercyjnych linii lotniczych. Cały sprzęt, od telewizorów po inteligentne urządzenia pomiarowe, jest potencjalnie podatny na zagrożenia i nikt nie tworzy dla niego produktów bezpieczeństwa. Mocny produkt bezpieczeństwa internetowego to często jedyna rzecz stojąca pomiędzy moim komputerem a destrukcyjną infekcją szkodliwym oprogramowaniem. Niestety, dla wielu takich nowych gadżetów z dostępem do internetu nie istnieje taka bariera. Jeżeli uważacie, że siejemy tu nieuzasadnioną panikę, przeczytajcie o botnecie Carna, znanym również jako Internet Census of 2012. Niezidentyfikowany badacz zdołał wprowadzić niezłośliwy kod do około 420 000 urządzeń dostępnych online przy użyciu domyślnych danych uwierzytelniających. Bez trudu mógłby zainstalować w nich również szkodliwy kod.

Problem z całym tym wachlarzem przedmiotów połączonych z internetem polega na tym, że istnieje zbyt wielu graczy projektujących zbyt wiele niekompatybilnych systemów i wypuszczających na rynek urządzenia, które wprawdzie działają, ale niekoniecznie są bezpieczne. W wielu przypadkach (i krajach), jedynym sposobem na wymuszenie na producentach należytego zabezpieczania swoich produktów jest wprowadzenie krajowego prawa regulującego tę kwestię. Niestety, jak pewnie się domyślacie, nie jest to prosta sprawa.

Póki co musimy zatem po prostu żyć z brakiem bezpieczeństwa. Najlepsze, co można zrobić, to być świadomym i zachować ostrożność.