Többek közt ezeket a problémákat taglalták az IDC (International Data Corporation) IoT Fórum 2016 konferenciáján a Cisco és a T-Systems biztonsági szakemberei. Nemcsak az elmúlt időszak nagy támadásait és trendjeit vették végig, de válaszokkal is készültek az IoT biztonságával kapcsolatos nehéz kérdésekre.
Kinek a dolga megelőzni azt, hogy a kínai hadsereg ne bújjon bele a termosztátunkba? A felhasználóé, a gyártóké vagy a kormányé?
Az emberi sebezhetőségre nincsen patch – ütötte fel gondolatával prezentációját Csordás Szilárd, a Cisco Systems Magyarország biztonsági tanácsadója, aki szerint jó dolog a dolgok internete,
de néhány dolognak ott semmi keresnivalója sincs.
Például a wifire csatlakozó, kanadai medencekomplexum vezérlőjének esetében nem igazán indokolt az, hogy újabb sebezhető kapcsolattal gyarapodjon a háló. Ész nélkül dugunk rá mindent az internetre, ami aztán ellenünk fordítható.
Az emberek kiszabadultak a netre, de sokszor maguk ellen vívják ki a sorsot. Az előadásban egy lány tweetjét hozta fel példaként, aki bankkártyája fotóját osztotta meg a neten, sőt, azt a kérdést is feltette követőinek, hogy miért érdekel mindenkit a hátul lévő három szám. Egy guglizás, és utána én is megtaláltam a neten ezt a bejegyzést: igen, tényleg létezik ilyen szintű felhasználói felelőtlenség.
Az IoT-biztonság összekapcsolódik napjaink másik nagy problémájával is, a zsarolóvírusokkal. Nem csak a közintézményeket, kórházakat, személyi számítógépeket bombázzák a támadók ransomware-rel, de az okosotthoni eszközöket is, amikből nem csak zombihálózatokat toboroznak. Zsarolók bevetésével az eszközöket addig nem tudja rendeltetésszerűen használni tulajdonosa, amíg nem fizet.
A felhasználó számára ez lehet a látványosabb következménye annak, hogy sebezhető a készüléke.
Sokszor nem is bitcoinban, hanem más digitális javakban kérik a támadók a váltságdíjat: júliusban egy Androidot futtató Samsung okostévé tulajdonosától például Apple iTunes ajándékkártyákat próbáltak így szerezni. Addig nem működött rendesen a tévéje, amíg ennek nem tett eleget.
Ez azért hatékony, mert a felhasználót kiborítja az, ha egy hétköznapi tárgy önálló életet kezd élni, és használhatatlanná válik. Jön az üzenet, hogy addig rosszul fogja szabályozni magát a termosztát vagy kávéfőző,
amíg nem tesszük meg azt, amit kér.
Főleg az idei, masszív túlterheléses támadások mutatják azt, hogy tényleg nagy baj van. Az olyan, kínai gyártók által készített, sokszor alapjelszóval (vagy megváltoztathatatlan jelszóval) érkező okoseszközök, mint például az olcsó kamerák, könnyen zombihálózatok szorgos tagjaivá toborozhatók.
Miután a Mirai vírus kódja felkerült a netre, a korábbiaknál jóval súlyosabb DDoS-támadásokat láthattunk 2016-ban. Biztonsági kamerákból, videofelvevőkből és társaikból épülnek az új gigabotnetek. Elég a fél internetet leállító, az amerikai Dyn DNS-szolgáltatót vagy Brian Krebs biztonsági blogját ért támadásokra gondolni.
Keleti Arthur (T-Systems Magyarország, IT-biztonsági stratéga) szerint a felhasználó ma már olyan, mint egy reneszánsz herceg: mindent csettintésre, gyorsan akarunk – és kapunk is. Nem kell összehívni a muzsikusokat, hogy zenét hallgassunk, az okosotthoni eszközökkel pedig a legalapvetőbb igényeink kielégítését is még kényelmesebb szintre emeljük. Ez a reneszánsz idején akkor kevesek kiváltsága volt, a herceg körül ráadásul mindig volt 3-4 ember, aki segítséget nyújtott abban, mi hogy működik.
A mai kényelmes felhasználó mindent akar az okosított otthonba,
de neki senki nem magyarázza el, hogy mire kell figyelni.
Sokszor maguk a gyártók sem érzik szükségét, hogy adjanak a biztonságra. Az ugyanis a fejlesztési folyamatot lassítja, drágítja, és egy cég sem engedheti meg magának a mai versenyben, hogy egy percre is leálljon.
Az ember alapvető jelleme is nehezít ezen Keleti szerint: a kiberteret nem látjuk magunk körül, el sem tudjuk képzelni. Így nem emelkedik meg az adrenalinunk úgy, mint fizikai fenyegetettség esetén,
nincsen kibervédelmi reflexünk.
Fizikailag képtelenek vagyunk azon izgulni, hogy belebújt-e a kínai hadsereg a termosztátunkba, vagy hogy éppen nem egy zombieszközzé alakult-e át.
Csordás és Keleti szerint a gyártók részéről gond, hogy a költséghatékonyságba nem fér bele az, hogy biztonságot építsenek eszközeikbe, főleg nem tömeggyártás esetén. A kis IoT-eszközöket gyártó cégek
olyan szűk margóval dolgoznak, amibe ez egyszerűen nem fér bele.
Másrészt a biztonság végül drágább terméket is eredményez, és a végfelhasználónak nem éri meg 20 ezer forinttal többet fizetni azért, mert az eszköz biztonságos. Ha alapvetően mindenre megfelel neki az eszköz, nem ad ki több pénzt a védelemért.
Az más tészta, hogy a mindset és a biztonságról való gondolkodás sem megfelelő, és ez az olyan alapvető dolgokban érhető tetten, mint a gyári jelszavak. Sokan még mindig az olyan általános passokat állítják be, mint a „root”, vagy az „admin”, amiket egy jól irányzott szoftver könnyen feltör.
Ezekre a fenyegetésekre még csak most keressük a választ. Novemberben az amerikai energetikai és kereskedelmi bizottság vitatta meg az IoT biztonságának problémáját, ezen Bruce Schneier kriptográfus is részt vett.
Szerinte bármikor bekövetkezhet egy nagyobb volumenű támadás, a hackerek képesek megbénítani és eltulajdonítani komplett rendszereket, kórházakat, más szerveket, ezért a mindenkori kormánynak is sürgetnie kell a változásokat. Ha a gyártók nem tudják ezt megelőzni, a kormányzatnak kell közbelépnie:
köteleznie kell a gyártókat a biztonság beépítésére.
Májusban az unióban tartottak biztonsági találkozót, ahol többek közt olyan problémákkal foglalkoztak, hogy mi fog történni akkor, ha egy kibertámadás során mondjuk minden autó leáll. Ha tűz üt ki, hívjuk a tűzoltókat, ha valaki megsérül, hívjuk a mentőket. De kit hívunk, ha kibertámadás ér valakit, hol van az a telefonszám?
Ott arra jutottak, hogy a jelenlegi rendőrség és titkosszolgálatok ezt a kérdést nem fogják tudni megoldani. A szolgáltatók megoldhatják ezt, de a kormányzat nem.
Keleti válaszokkal is készült a problémákra, sorjában vette, hogy szerinte miként tudnák kivenni szerepüket a közös munkából az egyes szervek.
A kormányzattól ugyan mindenki azt várja, hogy törvényekkel megy a problémák elébe,
de egy kínai hacker sem olvassa el a törvényeket, mielőtt feltör valamit.
Ráadásul a jogszabályi környezet évekkel le van maradva, kullog a technológia valódi történései mögött. Egy hackercsoport két perc alatt lelopja az adatokat egy választórendszerből, addig két évbe telik, mire megszületik válaszként egy jogszabály.
A kormányzat fő feladata így az informálás, a felhasználók tudatosságának fejlesztése lehet.
A gyártóknak be kellene tartaniuk a szigorú guideline-okat, irányvonalakat, amiket a nagy cégek is alkalmaznak egy eszköz legyártásakor. A szolgáltatóknak jobb hálózatvédelmet kell biztosítaniuk.
A biztosítóknak el kell kezdeniük foglalkozni kiberbiztosítással: biztosítaniuk kell minden esetben, hogy az önjáró autó nem megy a falnak, és a rosszul működő okostermosztát miatt nem fázik meg a gyerek.
Keleti a robotokat tartja az egyetlen olyan hatékony eszköznek, amik tényleg segíthetnek felvenni a harcot a kiberbűnözők ellen. Ezek az eszközök
automatikusan, nagyon gyorsan reagálhatnak és írhatnának át dolgokat
egy támadás esetén.
Várja azt is, hogy egy kifejezetten IoT-védelemre készült eszközt legyárthat egyszer valaki, ahogy például a drónok leszedálására is készült már egy célirányos eszköz.
A cégeknek pedig el kell kezdeniük összedolgozni, és információkat megosztani. Hogy ha például a T-Systemst, majd a Ciscót is kibertámadás éri, a harmadik cég már előre tudhasson arról, hogy veszélyben lehet – magyarázza Keleti.
A felhasználók fegyvere az önvédelem, bár ez kérdéses, miként valósulhat meg a gyakorlatban. Az előadások utáni panelbeszélgetésen Keleti elmondta, hogy szerinte részben teljesen felesleges a tájékoztatás.
A felhasználónak vagy van, vagy nincs fogékonysága a biztonságra.
Egy teljesen hétköznapi példával szemléltette ezt: vannak, akik mindig gondosan a visszapillantó tükörbe néznek, mert körültekintőek, míg mások gondolkodásából alapból hiányzik ez. Ha a felhasználókat nem védi meg mondjuk egy szoftver, maguktól nem lesznek elővigyázatosak, így vagyunk összerakva.