haker kod
7

Internet Niezabezpieczonych Rzeczy to koszmar z perspektywy zwykłego konsumenta

Najlepszym sposobem na robienie czegokolwiek jest robienie tego kiepsko, po to żeby powstawało dużo problemów, co z kolei stanie się impulsem do działania w postaci… zastanowienia się nad tym co zostało zrobione najgorzej? Później wypada już tylko udzielić komentarza, mniej więcej w takim stylu: Policzyliśmy straty i zaobserwowaliśmy co w największym stopniu się do nich przyczyniło! Teraz możemy się powoli zabierać za robienie tego dobrze.

Brak aktualizacji i brak zabezpieczeń w Internecie Rzeczy

Być może coś przekręciłem, ale mniej więcej w taki sposób należy działać z każdą nową rzeczą. Hmm, to może jakiś przykład? OK, niech będzie IoT. Internet Niezabezpieczonych Rzeczy to znacznie lepsze określenie od „Internet Rzeczy”, ponieważ lepiej oddaje prawdziwą istotę tego zjawiska, którego celem jest wypuszczanie na rynek urządzeń podłączonych do internetu, po to aby mogły być natychmiast hakowane, w związku z brakiem zabezpieczeń i aktualizacji. Pisał o tym ostatnio Kamil Świtalski:

Nie stać mnie na nową lodówkę co pół roku, dlatego nie interesuje mnie internet rzeczy.

Gorzej, kiedy zawiesiłaby się pralka. Albo lodówka. Powódź w łazience? Lodówka która w środku upałów przestaje działać, a my jesteśmy przez najbliższych kilka dni na wakacjach? I nawet jeżeli nie zawiesi się ot tak, sama z siebie, to przecież zawsze dochodzi jeszcze ryzyko związane z atakiem hakerów. A już teraz wszyscy powinni mieć na uwadze sprawę sprzed kilkunastu miesięcy, kiedy to jeden z modeli lodówki z wyższej półki nie otrzymał aktualizacji aplikacji, przez co wbudowany weń kalendarz Google stał się bezużyteczny. Głupie? Tak. Niebezpieczne? Jak najbardziej.

internet rzeczy na wyciągnięcie ręki

Od lat nic się nie zmieniło?

Jak się okazuje, podstawowym problemem Internetu Niezabezpieczonych Rzeczy jest właśnie brak odpowiednich zabezpieczeń i aktualizacji. Potwierdza to na przykład firma Veracode, która w 2015 roku zleciła swoim ekspertom przetestowanie szeregu urządzeń typu IoT, po czym podzieliła się swoimi wnioskami o niepokojących brakach – więcej na ten temat.

Niezłe starocie, prawda? Jakiś raport z 2015 roku… lepiej przytoczyć jakieś aktualne informacje ze świata i zobaczyć co się zmieniło, np. przetłumaczony cytat z tegorocznego artykułu pod tytułem: „IoT: Lack of standards becoming a threat”.

Podczas kiedy standardy bezpieczeństwa stanowią priorytet w świecie korporacji, po to żeby chronić wrażliwe dane i procesy produkcyjne, wielu konsumentów decydujących się na zakup smartfonów, ruterów, czy nawet lodówek połączonych z internetem, nie zdaje sobie sprawy z tego jak bardzo niezabezpieczone są te urządzenia. Źródło.

W polskim artykule, gdzie jest również wypowiedź Piotra Kupczyka, dyrektora biura komunikacji z mediami, Kaspersky Lab Polska, który przestrzega przed ryzykiem związanym z Internetem Niezabezpieczonych Rzeczy, można wyczytać m.in. coś takiego:

Zagrożenie jest istotne ze względu na jego ogromy zasięg. Według ekspertów z branży już teraz istnieje ponad 6 miliardów inteligentnych urządzeń na całym świecie. Większość z nich nie posiada żadnego rozwiązania bezpieczeństwa, a ich producenci zwykle nie udostępniają aktualizacji bezpieczeństwa ani nowych wersji oprogramowania. To oznacza, że istnieją miliony podatnych na potencjalne ataki urządzeń — a być może nawet urządzeń, które zostały już zainfekowane. Źródło.

Jest tam również ciekawostka na temat badania przeprowadzonego przez ekspertów z Kaspersky Lab. Przygotowali oni sztuczne sieci mające symulować urządzenia Internetu Rzeczy. Następnie zabrali się za obserwowanie tego, kiedy dojdzie do jakichś ataków za pomocą szkodliwego oprogramowania. Efekty były następujące:

Nie musieli długo czekać: ataki z wykorzystaniem znanych i nieznanych wcześniej próbek szkodliwego oprogramowania rozpoczęły się niemal natychmiast po uruchomieniu pułapek.

Internet Niezabezpieczonych Rzeczy

IoT to zarówno rozwiązania dla biznesu jak i dla zwykłych konsumentów. Jeżeli ci z pierwszej grupy potrafią zadbać o swoje bezpieczeństwo, to naprawdę świetnie. Co natomiast ze zwykłymi ludźmi, którzy po prostu chcą mieć pralki, lodówki, piekarniki, lampy, ekspresy do kawy i całą masę innych rzeczy podłączonych do sieci, które się ze sobą komunikują oraz wymieniają danymi? Hmm, chyba lepiej się wstrzymać… no chyba, że komuś nie przeszkadza postępowanie według modelu: „Najlepszym sposobem na robienie czegokolwiek jest robienie tego kiepsko, po to żeby…”. Podobno w 2020 roku na świecie ma być kilkadziesiąt miliardów urządzeń typu IoT! Może ktoś by już zadbał o to, żeby nie służyły do szpiegowania ich użytkowników, wykradania danych oraz do ataków DDoS?

Źródło 1, 2, 3, 4

  • zakius

    najważniejszą zasadą, która dotyczy tak IoT jak i wszystkich stacji roboczych jest, żeby nawet jeśli urządzenie potrzebuje dostępu do sieci to sieć nie musi mieć dostępu do niego

  • Ymnytor

    Jeżeli korporacje będą się decydowały na wprowadzanie Internetu Rzeczy, to będą chciały jak najlepiej to zabezpieczyć i jak najbardziej zmniejszyć udział największej wady każdego takiego systemu-człowieka.
    Coś podejrzewam, że te ataki na domowe elementy podłączane do Internetu Rzeczy będą tak samo częste jak ataki na Androida.
    Inna sprawa to to, że cały czas nie wiem co miałby zaoferować mi inteligentny czajnik, czy też lodówka. Zdalne sterowanie ogrzewaniem, wietrzeniem i oświetleniem jestem w stanie zrozumieć. Inteligentnych pralek nie.

    • Driggooziz

      Dokładnie to samo mówię o inteligentnym ekspresie do kawy, który można obsługiwać za pomocą smartfona. Problem pojawia się już jednak w momencie, kiedy i tak musimy przynieść kubek do kawy – skoro już stoję koło ekspresu to mnie to rybka, że kliknę guzik „kawa”. Co do lodówki – automatyczne zakupy potrzebnych rzeczy, które się skończyły mogą być ciekawym bajerem. Niestety, żeby to funkcjonowało poprawnie lodówka musiałby być sprzężona z jakimś wrzutowym systemem dostaw. W przeciwnym wypadku lodówka sobie coś zamówi, a ja dostanę telefon z informacją, że skoro jest Pan teraz w pracy to odbierze sobie Pan na poczcie/w punkcie kurierskim.

    • Ymnytor

      Tylko zauważ też to, że aby lodówka miała systemy dostaw, to musiałaby współpracować z jakimś systemem, do którego zapisane byłyby też sklepy, a to jest koszt szczególnie dla mniejszych sklepów, więc nie wszędzie taka lodówka będzie miała sens, bo po prostu ceny będą zbyt drogie.
      Inna sprawa to to, że ludzie zwykle nie kupują tych samych rzeczy. Ludzie gdy mają ochotę na makaron z sosem, to kupują sobie rzeczy potrzebne na sos i makaron, a gdy chcą coś innego to kupują coś innego. Raczej mało ludzi je określone rzeczy w określonych częstotliwościach. Prawie nikt nie ma tak, że zawsze w parzyste poniedziałki je np. kotlet z ziemniakami, a w inne rybę z frytkami. Jak już sam napisałeś raczej mała różnica, czy wprowadzę potrzebne rzeczy do lodówki, a ona to zamówi, czy zamówię coś wprowadzając to bezpośrednio do systemu (czy po prostu pojadę i kupię).

  • Szczepan

    Widzę, że musiała się pojawić nowa twarz wśród autorów, by ktoś opisał niewygodną prawdę na temat IoS (Internet of Shit). Nasz standardowy blogaskowy dream team lukruje IoT, że aż się niedobrze robi.

    • Blazi

      Portale to część branży IT która z upowszechnienia się takich rozwiązań miałaby dużo, dużo chleba (hardware, firmware, software dla klienta no i możliwość bezpiecznego pisania o AGD na blogach technologicznych :) ) – nic dziwnego, że im to na rękę.

  • Blazi

    „Co natomiast ze zwykłymi ludźmi, którzy po prostu chcą mieć pralki, lodówki, piekarniki, lampy, ekspresy do kawy i całą masę innych rzeczy podłączonych do sieci, które się ze sobą komunikują oraz wymieniają danymi?”

    Nie, użytkownicy tego nie chcą. To firmy próbują wykreować potrzebę żeby w katalogach i na ulotkach dopisać „smart” i zwabić szarego klienta na „inteligentny” sprzęt. Na szczęście idzie im to opornie :)

    Przy okazji – wartościowy artykuł.