Internet rzeczy: IoT na celowniku hakerów

Każda technologia, szczególnie na etapie, gdy jest nowa i nieznana, budzi z jednej strony nadzieje, a z drugiej strony obawy. Przede wszystkim o to, czy nie wiążą się z tym mniej lub bardziej widoczne zagrożenia.

Internet rzeczy (z angielskiego Internet of Things, w skrócie IoT) nie jest nowym pojęciem. Technologia trafia pod przysłowiowe strzechy, staje się coraz popularniejsza, choć niekoniecznie widoczna gołym okiem dla każdego z nas. Tak jak przy każdej – mimo wszystko – do pewnego stopnia jeszcze nowince, pojawiają się pytania, jakie niesie ze sobą szanse i zagrożenia, jakie ma zalety i wady. Wiele było bowiem technologii, które miały zrewolucjonizować nasze życie, tymczasem coś poszło nie tak i znikły równie szybko, jak się pojawiły. Z IoT ma być inaczej, ale przy okazji pojawiło się standardowe w tej i wielu sytuacjach pytanie – czy to w ogóle jest bezpieczne? I to wcale nie jest pytanie bezpodstawne, bo IoT, jak każda technologia, ma swoje ciemne strony.

Czas na rewolucję

Gartner opublikował raport, z którego wynika, że do 2020 roku na świecie będzie ponad 20 mld urządzeń z kategorii Internetu rzeczy. Zdaniem autorów opracowania z punktu widzenia firm w nadchodzących latach najistotniejszą dziedziną związaną z IoT będzie jego bezpieczeństwo. Równocześnie producenci prześcigają się w implementowaniu modułów Wi-Fi nawet w drobnym AGD, co zwiększa ryzyko uzyskania dostępu do naszych sieci przez osoby niepożądane już nie za pomocą komputera, a przykładowo tostera czy ekspresu do kawy. Według analityków Gartnera rewolucja IoT rozpoczęła się na dobre, a najwięcej urządzeń pojawia się w dziedzinie sportu i zdrowego trybu życia, transportu oraz wyposażenia domu.

W przypadku rozwijania się tzw. inteligentnych miast najistotniejsze sektory to zarządzanie ruchem drogowym i komunikacją miejską, oszczędzanie energii (np. automatyzacja oświetlenia) czy bezpieczeństwo publiczne (inteligentny monitoring). Dla wielu zwolenników nowych technologii popularyzacja IoT to dobra wiadomość, ale z punktu widzenia bezpieczeństwa taka informacja powinna wzmagać dodatkową czujność – czytamy w raporcie.

 

 

Nie widać, a słychać i czuć

Jacek Fischbach, Business Unit Leader z firmy Cybercom Group, jest przekonany, że Internet rzeczy to nie melodia przyszłości, a technologia, która już w tej chwili jest obecna na co dzień. Tylko nie każdy ją widzi i jej obecności doświadcza, bo w zasadzie nie musi. Przede wszystkim jest to widziane na poziomie rozwiązań dla przedsiębiorstw.

IoT to nie technologia zawieszona w próżni, to nie jest czysta teoria. Jej rozwój polega na tym, że klient ma klasyczny produkt albo rozwiązanie i z takim zgłasza się do firmy, np. Cybercomu, która dopasowuje konkretne rozwiązania, pomysły, zmiany – mówi Jacek Fischbach. Wszystko opiera się o pomysł nazywany Industry 4.0, a którego głównym celem jest maksymalizacja efektów produkcji i optymalizacja kosztów. Ma to na celu wzrost konkurencyjności.

– 10–20 lat temu kraje rozwinięte przenosiły produkcję do tych z Trzeciego Świata, bo tam była tańsza siła robocza. Okazało się, że przetransferowano do nich miliony USD, ale w ostatecznym rozrachunku nie przyniosło to oczekiwanych korzyści. Dlatego rozpoczęto poszukiwania innej drogi we własnych krajach, gdzie koszty pracy są może droższe, ale dostęp do nowych technologii znacznie łatwiejszy – dodaje Rafał Rudnicki z Cybercom Group. Tak oto niemalże bez rozgłosu Internet rzeczy trafił do fabryk i pod strzechy.

Nic bez naszej wiedzy

Jak w kilku zdaniach w praktyce działa IoT? Wyrwany na ulicy przechodzień, który ma choćby mgliste pojęcie o temacie, powie o lodówkach z Internetem albo zarządzaniu domem z poziomu smartfonu. Ewentualnie o SIP-ie (Systemie Informacji Pasażerskiej), dzięki któremu pasażerowie oczekujący na przystanku na autobus albo tramwaj mogą zobaczyć, kiedy nadjedzie oczekiwany przez nich środek transportu. Na pewno nie pomyli się, ale Internet rzeczy może wyglądać zgoła inaczej. Obaj rozmówcy jako pierwszy podają przykład własnego klienta – firmy HIAB. To producent dźwigów, które są umieszczane na ciężarówkach. W efekcie współpracy z Cybercomem wszystkie dźwigi są podłączone do Internetu, a mnóstwo sensorów pozwala na zbieranie informacji, kiedy maszyny pracują, do czego są wykorzystywane i kiedy mają przestoje. A to z kolei umożliwia firmie kierowanie sprzętu w odpowiednie miejsca w odpowiednim czasie, tak aby dźwigi były wykorzystywane optymalnie.

Inny przykład to stworzony przez Cybercom i Intel system o nazwie Cybercom Smart Parking (Inteligentny parking). Codziennie do tzw. zagłębi biurowych, szczególnie w stolicy, przyjeżdżają tysiące pracowników, często własnymi samochodami. Znaleźć miejsce parkingowe czasem graniczy z cudem, coraz więcej firm wykupuje je swoim pracownikom. Jest jednak stosowna aplikacja, która na bieżąco monitoruje liczbę wolnych miejsc parkingowych. Jeśli kierowca nie ma przypisanego miejsca na parkingu, to aplikacja automatycznie się włącza i sugeruje, gdzie szukać wolnego miejsca. A jeśli go nie ma, po prostu radzi zostawić auto na ulicy. Aplikacja nie działa w tle, nie zużywa baterii i transmisji danych, po prostu wzbudza się dopiero wtedy, gdy użytkownik dojeżdża do celu. Do tego dochodzi oszczędność czasu i paliwa.

I wszystko fajnie, tylko w tym momencie znika pojęcie jakiejkolwiek prywatności. Można powiedzieć, że pojawia się wykrzyczana przez Jerzego Stuhra w Seksmisji „permanentna inwigilacja”. – Rzeczywiście tak jest, ale to pewien rodzaj niepisanej umowy między użytkownikami a firmami albo dostawcami technologii. Odbiorcy świadomie rezygnują z części swej prywatności, ale w zamian zyskują oszczędności. Czasu i pieniędzy – tłumaczy Jacek Fischbach.

Najsłabsze ogniwo

Zarówno Jacek Fischbach, jak i Rafał Rudnicki przyznają, że choć kwestia dochowania bezpieczeństwa w IoT bywa często przemilczana, nie znaczy to, że problem nie istnieje. Wręcz przeciwnie, przywiązuje się do niej sporo uwagi. – Od samego początku i na każdym poziomie trzeba do tego przykładać należytą uwagę. Stąd są przeprowadzane audyty bezpieczeństwa, testy podatności na ataki. Zabezpieczenia przed atakami z zewnątrz to proces ciągłego udoskonalania technologii, a ciągłe monitorowanie nam to ułatwia – tłumaczy Rafał Rudnicki. – Owszem, może się zdarzyć, że grupa hakerów włamie się do systemu informatycznego jakiegoś hotelu i „pobawi się” windami albo systemem ogrzewania. Ale umówmy się, to nie jest tak często spotykana sytuacja – tonuje Jacek Fischbach. Od razu jednak zastrzega, że nie jest to sytuacja niemożliwa. Co więcej – w przypadku, gdy wagony metra przestaną być sterowane przez maszynistę, a samochody będą sterowane automatycznie, zagrożenie wynikające ze słabych zabezpieczeń radykalnie wzrasta. – Nigdy nie ma pewności, że jesteśmy w 100% bezpieczni. Nie jesteśmy w stanie przewidzieć, z której strony w danej konkretnej sytuacji przyjdzie atak – przez Wi-Fi, przez data center czy chmurę. Ale bądźmy szczerzy. Gdyby wskazać najsłabsze ogniwo w systemie bezpieczeństwa, to jest to błąd człowieka. Drugim jest grzech zaniechania, czyli podejście na zasadzie „jakoś to będzie”. Niestety, wraz z rozwojem technologii już to bardzo złe podejście – uważa Jacek Fischbach.

Globalna wioska

Internet rzeczy ma jeszcze jedno oblicze – to wspomniane na początku inteligentne miasto, a wiąże się to m.in. z coraz większą migracją ludności do miast z terenów mniej zurbanizowanych. Siłą rzeczy trzeba będzie zapewnić mieszkańcom bezpieczeństwo i wyższy komfort życia, jak choćby poprzez SIP, ale również priorytet dla pojazdów uprzywilejowanych (i nie chodzi tu o pojazdy rządowe). Do tego dochodzą inne, wymienione na początku, rozwiązania.

Gartner przewiduje, że koszty ochrony przed atakami z użyciem urządzeń IoT będą stanowiły aż 20% rocznego budżetu przeznaczanego na środki bezpieczeństwa w porównaniu do 1% przeznaczanego w 2015 roku. Równocześnie na rynku pracy ciągle brakuje specjalistów do spraw cyberbezpieczeństwa, aby firmy mogły lepiej zadbać o diagnozę swoich produktów i usług. – Ciągle poszukujemy nowych podatności, aby chronić użytkowników. W tego typu badania angażują się ogromne firmy, m.in. Microsoft czy Facebook – w ubiegłym roku dziesięciolatek otrzymał równowartość 10 000 dolarów za znalezienie luki w Instagramie, która pozwalała na usuwanie treści dowolnego użytkownika. F-Secure przewiduje nagrody w wysokości od 100 do 15 000 euro w zależności od stopnia zagrożenia znalezionej luki – mówi Michał Iwan, dyrektor zarządzający F-Secure w Polsce. Czyli wniosek z tego taki, że zagrożenia wynikające z IoT to nie jest wymysł kilku wariatów, a realne niebezpieczeństwo.

Marcin Kwaśniak

Ataki przez kamerki internetowe

Urządzenia IoT były w 2016 roku często wykorzystywane przez hakerów do przeprowadzania ataków DDoS – polegających na wysłaniu masowych zapytań do serwera, co prowadzi do jego przeciążenia. Największy z nich, który sparaliżował działanie takich serwisów, jak: Twitter, Spotify, Netflix czy PayPal, odbył się przy użyciu tysięcy kamerek internetowych oraz telewizorów Smart TV, przejętych dzięki złośliwemu oprogramowaniu Mirai. Ten sam rodzaj malware’u został wykorzystany do zaatakowania 900 tys. ruterów Deutsche Telekom (DT). Znane są również przypadki ataków w Polsce – we wrześniu ubiegłego roku firma hostingowa OVH została zaatakowana przez botnet składający się ze 150 tys. kamerek internetowych.

Dodaj komentarz

avatar
  Subscribe  
Powiadom o

Powiązane