Przejdź do głównej zawartości

Internet Rzeczy: kłopotów ciąg dalszy


Czy przemysł IoT wciąż popełnia te same błędy? Pół roku temu pisaliśmy o obawach związanych z bezpieczeństwem Internetu Rzeczy. Co się od tego czasu wydarzyło? Opisywane przez nas przypadki miały miejsce w ostatnich 6 miesiącach. Niestety, mieliśmy rację. Co więcej, było nawet gorzej niż przypuszczaliśmy. To nie jest dobra wiadomość dla użytkowników. 



Przemysł samochodowy 
Włamania hakerów do samochodów stały się jednym ulubionych tematów w najbardziej popularnych mediach internetowych. Fiat Chrysler miał kłopot z 1,4 mln swoich samochodów sprzedanych na rynku amerykańskim. Koncern wezwał do serwisu użytkowników, po tym jak eksperyment przeprowadzony na jednym z pojazdów pokazał, że może zostać zhakowany. Ale to nie jedyna tego typu historia. Głośno było również o przypadkach Jeepa (http://goo.gl/KBg8mq), a nawet Corvetty (http://goo.gl/nicJTU). W obu autach hakerzy mogli zdalnie kontrolować pracę hamulców. Powyższe sytuacje potwierdzają istnienie problemu, o którym pisaliśmy na naszym blogu (kłopoty BMW).

Branża fitness
Z Internetem Rzeczy bardzo blisko są powiązane gadżety, takie jak inteligentne opaski, mierniki kroków oraz mobilne urządzenia i ich dane, które są przechowywane w chmurze lub w pamięci smartfonów. Bardzo ciekawe dane na temat bezpieczeństwa elektronicznych urządzeń fitness przynoszą wyniki AV-Test (https://goo.gl/mRoiJZ), powszechnie znanej na świecie organizacji, zajmującej się badaniem produktów bezpieczeństwa. Autorzy testu próbowali zbadać w jaki sposób prywatne dane użytkowników są transferowane z urządzeń do smartfonów lub chmury oraz na ile są bezpieczne. 

Szczególnie dużym popytem wśród fanów aktywnego wypoczynku cieszą się inteligentne opaski, które stałym się powszechnie obowiązującym trendem. Wszystkie czynności są analizowane i zapisywane w aplikacjach na smartfonach użytkowników. Ale pojawia się pytanie - czy dane przekazywane z opasek do smartfonów są w pełni bezpieczne? Czy istnieje możliwość, że ktoś przechwyci, skopiuje lub zmanipuluje dane. Czy aplikacja może być przekształcona przez hakera? Aby odpowiedzieć na powyższe pytania AV-TEST sprawdził pracę 9 inteligentnych opasek  fitness oraz mierników, pracujących pod kontrolą systemu Android. Jak spisywały się mierniki pod względem bezpieczeństwa? Czy pojawiło się niebezpieczeństwo podsłuchiwania rozmów? 

Testy niemożliwe
Inteligentne opaski fitness odegrają istotną rolę w branży ubezpieczeń zdrowotnych. Informacje o sprawności fizycznej klientów są bardzo łakomym kąskiem dla ubezpieczycieli. Dlatego osoby korzystające z gadżetów fitness powinny jak najszybciej zatroszczyć się o swoje dane, zanim będzie za późno i trafią do towarzystw ubezpieczeniowych. To sytuacja doskonale znana Amerykanom oraz kilku innym nacjom korzystającym z ubezpieczeń zdrowotnych. Niestety, istnieje też duże pole do popisu dla poważnych nadużyć. Niewykluczone, że skradzione dane będą sprzedawane firmom ubezpieczeniowym. Z innej strony informacje o czynnościach wykonywanych przez użytkownika mogą posłużyć złodziejom, którzy poznają zwyczaje potencjalnej ofiary i włamią się do jej mieszkania podczas nieobecności. 

Badania akcesoriów fitness zapoczątkowują nowy rodzaj testów. Ich autorzy skupili się na trzech zasadniczych kwestiach: danych, szyfrowaniu oraz uwierzytelnianiu. Ale nie powinniśmy ograniczać się wyłącznie do wymienionych zagadnień. Szyfrowanie to tylko jeden z aspektów bezpieczeństwa. Proces obejmuje jedynie integralność oraz poufność danych. Natomiast bezpieczeństwo zawiera znacznie więcej obszarów, które powinny być uwzględnione w przyszłych badaniach. Jak zaprojektować testy sprawdzające elektronikę samochodową pod względem bezpieczeństwa sieciowego?

W ostatnim czasie zauważyłem, że część etycznych hakerów stara się pomóc firmom branży samochodowej, udostępniając testy penetracyjne. Ale to rozwiąże tylko część problemów związanych z zapewnieniem bezpieczeństwa. Internet Rzeczy staje się coraz bardziej powszechnym zjawiskiem i wymaga zastosowania zaawansowanych metod. Najlepszym sposobem jest stworzenie specjalnej organizacji, która opracuje wytyczne dla różnych segmentów przemysłu Internetu Rzeczy, a także zajmie się kontrolą oraz badaniem poszczególnych rozwiązań pod kątem ich bezpieczeństwa. 

Online Trust Alliance
Jedną z inicjatyw, mających za zadanie ochronę zasobów, jest platforma Internet of Trust Framework (https://goo.gl/f9hzmg) powołana przez Online Trust Alliance (https://goo.gl/N0D7Fn). Założenia tego projektu zmierzają do wypracowania wytycznych dla producentów oraz developerów, które pomogą zredukować ilość ataków hakerskich oraz luki w systemach, a także adoptować odpowiedzialne praktyki w zakresie ochrony danych. Internet of Trust Framework zawiera też zbiór rozwiązań umożliwiających wdrażanie pomysłów przez różne firmy. 

Kilka przemyśleń
Powyższa inicjatywa zmierza w prawidłowym kierunku, choć potrzebne są też dodatkowe działania. Jestem przekonany, że Internet Rzeczy jest bardzo szerokim obszarem, gdzie trudno znaleźć równowagę pomiędzy bezpieczeństwem a prywatnością, dotyczy to każdego zakątka naszego globu i wszystkich produktów. 

Mam szczególnie dużo wątpliwości w jaki sposób osoby badające bezpieczeństwo pomogą firmom IoT, kiedy rynek rośnie w tempie wykładniczym. Tym bardziej, że już dziś mają ręce pełne pracy, rozwiązując kwestie bezpieczeństwa Internetu, systemów operacyjnych i urządzeń pracujących na całym świecie. Dlatego najlepszą metodą na ograniczenie zagrożeń związanych z Internetem Rzeczy jest bardziej holistyczne, systemowe podejście. 

Prawdziwe zagrożenie i kilka rozwiązań: nie powtarzajmy błędów z przeszłości.
Prognozy dotyczące Internetu Reczy są oszałamiające. Do 2020 roku Internet Rzeczy obejmować będzie 212 mld urządzeń oraz ponad 3 mln petabajtów danych (http://goo.gl/W8csgE). To oznacza, że ryzyko ataku na urządzenia Internetu Rzeczy jest nieporównywalnie wyższe niż w przypadku komputerów. Co się stanie, jeśli samochód zostanie porwany w czasie jazdy? Co się wydarzy, jeśli pompa insulinowa będzie zdalnie kontrolowana przez cyberprzestępców? Również ryzyko, że ktoś zostanie skrzywdzony fizycznie staje się coraz bardziej realne. 

Znaczna część problemów związanych z bezpieczeństwem może być rozwiązania podczas projektowania urządzeń. Stosowanie od początku odpowiednich zabezpieczeń to odpowiedni kierunek. Jest to szczególnie ważne w budowie oprogramowania do urządzeń Internetu Rzeczy.  Warto zwrócić uwagę, iż potrzeba łatwej aktualizacji urządzeń, z jednej strony będzie ich atutem, ale może stać się koszmarem, jeśli cyberprzestępcy zaczną ingerować w ten proces.

Cyberprzestępcy zawsze chętnie sięgają po niżej zawieszone owoce, dlatego aplikacje powiązane z Internetem Rzeczy są poważnie zagrożone. Można je znaleźć w urządzeniach mobilnych, desktopach, firmwarze oraz platformach np. Tizen Watches. Wszystkie z wymienionych aplikacji potrzebują zabezpieczenia, chroniącego przed kradzieżą poufnych danych bądź dostępem do kanałów płatniczych. Oczywiście już spotkaliśmy się z malwarem (e.g. Vicepass Trojan), który poszukuje haseł dostępu do urządzeń połączonych w sieci. Nie są to jak na razie zaawansowane działania. G DATA zaoferuje kilka nowych rozwiązań wychodzących na przeciw nowym potrzebom zmieniającego się świata. Obecnie rozwijamy produkty dla systemów Android. Windows, Linux i Mac OS, aby w przyszłości nie były furtką dla hakerów do przeprowadzania zdalnych ataków na inteligentne urządzenia.

Internet Rzeczy powiązany z takimi branżami jak inteligentny dom, inteligentne miasta i samochody, automatyka przemysłowa (określana jako industry 4.0), oraz inteligenta opieka zdrowotna, rozwija się dynamicznie. Nie powinniśmy popełniać błędu sprzed lat, kiedy nikt nie traktował bezpieczeństwa jako jednego z kluczowych problemów. Potrzebujemy bezpiecznych wdrożeń oraz wysokich standardów ochrony danych. Nie zapominajmy o tym. Zawsze możemy wypełnić luki bezpieczeństwa. Muszą być na tyle małe, żeby nie udało się przez nie prześlizgnąć przestępcom.

Autor: Eddy Willems

Komentarze

Popularne posty z tego bloga

PUP – „programy usilnie przeszkadzające”

Internet pełny jest narzekań oraz pytań na temat potencjalnie niechcianego oprogramowania, w skrócie PUP (potenially unwanted programs). Użytkownicy skarżą się na wirusy, które zainfekowały ich przeglądarkę lub paski narzędzi, które włamały się do ich komputera.  Aplikacje z tej grupy nie są jednak przypisane do kategorii złośliwego oprogramowania w szczególności, że większości „infekcji” tego rodzaju jest dość łatwa do uniknięcia.  Ogólnie rzecz biorąc temat PUP jest wieloaspektowym problemem dla użytkowników i branży antywirusowej jednocześnie będąc dochodowym biznesem dla ich dystrybutorów.
PUP to nie malware Określenie złośliwe oprogramowanie odnosi do software’u, którego głównym celem jest wyrządzenie szkód na zainfekowanym urządzeniu lub kradzież informacji z zamiarem ich wykorzystania do działań przestępczych (kradzież tożsamości, nadużycia finansowe czy sprzedaż wykradzionych danych). Nie zawsze jednak możemy tak łatwo rozróżnić typowe złośliwe pliki od potencjalnie niechciane…

Ekspert ds. bezpieczeństwa na wakacjach: Czy hotelowe sejfy są bezpieczne?

Okres letni w mediach często nazywany ogórkowym ma swoje prawa. Jednym z nich są tematy, które normalnie nie przebiłyby się na pierwsze strony gazet czy nagłówki stron internetowych. Podobnie jest z historią, którą dziś będziemy chcieli wam przybliżyć. W normalny dzień roboczy nie jest to główne zadanie pracowników naszego SecurityLabu, jednak w okresie letnich wyjazdów postanowiliśmy sprawdzić jeden z hotelowych sejfów. I co? Z bezpieczeństwem nie ma on za dużo wspólnego.
Ekspert ds. bezpieczeństwa na wakacjach Wciąż jesteśmy na początku okresu wakacyjnego i wielu z nas długo wyczekiwany urlop ma wciąż w planach. Co powinniśmy wiedzieć wybierając się na wyjazd z wartościowymi rzeczami, na które tak ciężko pracowaliśmy przez cały rok poprzedzający nasz urlop? Jeżeli będziecie wypoczywać w hotelu możecie natknąć się w swoim pokoju na tzw. sejf hotelowy. Nasz ekspert wybrał się na zasłużoną przerwę od wyszukiwania i analizowania kolejnych wirusów i trojanów. W hotelu natknął się na popu…

Nic nie zamawiałeś? I tak możesz otrzymać maila o odbiorze paczki.

InPost i jego klienci na celowniku hakerów.
W naszych archiwalnych wpisach często mogliście natknąć się na opisy ataków lub kampanii phishingowych ukierunkowanych na użytkowników serwisu aukcyjnego Allegro. Ostatnio głośno było o nawiązaniu współpracy pomiędzy serwisem, a jednym z największych operatorów pocztowych w kraju firmą InPost. Może właśnie ta współpraca zwróciła uwagę cyberprzestępców, gdyż aktualnie jesteśmy świadkami zmasowanej kampanii phishingowej podszywającej się pod InPost.


Pracownicy G DATA SecurityLabs przechwycili i przeanalizowali fałszywe wiadomości mailowe docierające do użytkowników w całej Polsce. Za akcją prawdopodobnie stoją te same osoby, które kilka tygodni temu rozsyłały fałszywe „Powiadomienia o wciągnięciu na listę dlużników KRD”. Świadczą o tym dane dotyczące autora złośliwego pliku załączanego do wiadomości oraz wykorzystywana do uwiarygodnienia treści personalizacja samego maila, ale o tym za chwilę.


PORÓWNANIE
Adres nadawcy wiadomości o tytule „P…