Умишлено ли е безхаберието със сигурността на IoT

70 процента от IoT устройствата имат необезпечен софтуер и некриптирани комуникации
(снимка: CC0 Public Domain)

Интернет на нещата (IoT) обещава да свърже милиони компютърни устройства през мрежата, така че директно да получават и прехвърлят данни без човешка намеса. Тази нова глобална мрежа ще обхване автомобили, кухненски уреди, термостати, брави, гласови асистенти и дори болнични уреди. А всичко това означава за злонамерените организации изобилие от възможности за проникване в дигиталните системи и създаване на хаос или щети с цел извличане на облаги.

С надежда да станат част от IoT реалността, частните компании-производители се конкурират яростно, за да пуснат продуктите си на пазара евтино и бързо. В тази луда надпревара софтуерните инженери обичайно не успяват да включат сигурността в своя дизайн. Пускането на нови продукти има предимство пред прилагането на функции за сигурност.

Надпревара към дъното

И тъй като сигурността на устройствата на конкурентите е също толкова слаба, изглежда никой няма притеснение. Вграждането на ценните функции за сигурност в устройствата би довело до забавяне с месеци, така че никой не вижда причина да жертва графика си.

Резултатът е своеобразна надпревара към дъното: според някои оценки, 70 процента от всички IoT устройства имат необезпечен софтуер и некриптирани комуникационни системи. Компаниите обикновено не носят юридическа отговорност за случаите на хакване, при което е пробита слабата или дори нищожна защита на потребителските устройства.

Нещо повече, самите компании имат известен интерес да запазят положението такова, каквото е, тъй като лесният достъп до устройствата предоставя богата информация за поведението на потребителите. За тези, които искат да ни продават техника, наличието на информация за поведението на милионите потребители по света си е доходоносно!

Безпомощните потребители

Потребителите, от своя страна, нямат почти никакъв контрол върху това каква информация се събира за тях чрез IoT устройствата, защото не притежават софтуера, който ги управлява, или най-малкото нямат контрол върху този софтуер. Според професора по право Джошуа Феърфийлд, в момента започва „фундаментална промяна в сферата на правата на собственост и ние навлизаме в ера на цифрово крепостничество”, един вид – дигитален феодализъм.

Да, ние може да притежаваме хардуера на нашите „умни” устройства, но компаниите, които го произвеждат, притежават софтуера – и информацията за нас! При някои смарт-продукти дори хардуерът не е притежание на потребителя, а се използва под наем, казва Феърфийлд, цитиран от Engadget.

Инцидентите не закъсняха

Хакването на IoT устройствата не е илюзия или далечно бъдеще. През август 2017 г. стотици „умни” и свързани с интернет брави станаха неработоспособни, поради дефектен ъпдейт на софтуера от LockState. Това остави стотици собственици в положение да не могат да заключат или да отключат домовете си – в продължение на една седмица. От 2015 г. насам сме свидетели на хаквания на автомобили, на електроцентрали, на умни крушки и дори на машини за гласуване.

Сравнително евтините инструменти за хакване на IoT устройства са масово достъпни. Защо му е на злодея да монтира експлозивно устройство под кола, ако може да проникне в навигационната система на превозното средство и да го накара да се засили към някоя стена или да кривне от пътя, докато минава по мост? Да убиеш известна личност е по-лесно от всякога, ако личността е с инсулинова помпа – просто я хакваш и настройваш фатална доза инсулин…

По-уязвими от лаптоп и телефон

Според американския криптограф и експерт по компютърна сигурност Брус Шнайер, IoT устройствата са по-уязвими от лаптоп или телефон по редица причини. Първата е, че огромни корпорации като Apple, Samsung и Microsoft могат да си позволят да наемат големи екипи инженери, посветени на сигурността, докато по-малките компании, които правят „смарт” брави и термостати, например, не могат.

Второ, докато хората са склонни да заменят своите смартфони и лаптопи на всеки няколко години, не така стои въпросът с умните хладилници, пейсмейкъри или автомобили. Това са машини, които ще съхраняват в продължение на доста повее години. Злонамерените играчи имат много време да откриват нови и нови уязвимости. А софтуерът рядко се актуализира. Това е удобна възможност за хакерите.

И ако тази картина не е достатъчно лоша, ето я и черешката на тортата: уязвимостта на едно IoT устройство може да се използва като „порта” за атаки към редица други свързани устройства на същия притежател. Един малък пробив и ето – цялото дигитално оборудване на един дом може да бъде хакнато или дигитално „отвлечено”.

Нов свят на кибератаки

За всички престъпници във виртуалния свят сега въпросът е кои пътища за атака са най-лесно достъпни. Огромните масиви от данни са примамлива мишена. Мащабите са колосани. Държавите и частните организации са фокусирани върху потенциалните плодове от работата с „големите данни”, а не върху мераците на престъпниците и терористите.

Свързвайки всичко – от системи за домашна защита до медицински устройства и комунални системи и електроцентрали, изглежда сме на път да създадем нов свят на кибератаки. При липса на по-добри мерки за сигурност, добре установените процеси на „смъртоносното овластяване” няма да закъснеят.

В средата на ХХ век отвличанията на самолети в посока Куба еволюираха в посока сваляне на самолети със стотици невинни хора на борда. Сега използването на интернет на нещата за залавяне на заложници ще е по-лесно и ще породи нови и още по-жестоки ситуации. Налагането на сигурността като приоритет е задължително – и спешно!

Коментари по темата: „Умишлено ли е безхаберието със сигурността на IoT”

добавете коментар...

  1. Димитър Иванов

    На теб не може, но определено много хора успяват да ги омаят колко е удобно и лесно, как имат контрол. И разбира се, във видеото, в професионално подготвената презентация много лесно и приятно изглежда всичко. И човек си казва, ами супер, всичко управлявам и следя от смарт телефона си. Но, реално НИКОЙ не си прави реална сметка – спестените усилия и удобства от екстрите спрямо разходи и загубени усилия в разучаване, следене, инсталиране, блокиране, проблеми със сигурността, подмяна, грешна работа, спиране на работа и т.н. Реално човек почва да губи повече време да са занимава и да следи котлона от колкото да му се пести време.

    Също така силен ефект има модата и това да се похвалиш какво си купил и колко си готин. Това даже е много по-силно и отново няма нищо общо с ползите.

    Послено искам да кажа, че тези устройства имат голям смисъл в определени бизнеси, производства и т.н. Пестят много разходи, дават много удобство и усилията да ги следиш, да ги защитиш, да ги подмениш, когато остареят и т.н. си струват.

  2. :o)

    Хората нямат реална нужда от малоумието Internet of Things 🙂
    Нужда имат компании и корпорации за да ловят големи риби в мътна вода.
    Не виждам реална нужда да ми свържат печката, котлона и хладилника онлайн с мен.
    Никой не може да ми обясни ПОЛЗАТА ОТ ТОВА, колкото и напарфюмирани статийки
    да се пуснат за това малоумие…

Коментар