Чакат ни ядове в смарт-дома, захранван от смарт-грида

Обещанията за интелигентен дом (смарт-дом) и интелигентни електроразпределителни мрежи (смарт-грид) валят все повече от всички страни. Доставчици на комунални услуги, на битова електроника и на инфраструктурни ИТ се надпреварват да ни заливат с обещания за прекрасната къща, където всички досадни рутинни действия се контролират автоматично, а стопанинът може дистанционно да регулира всеки уред. Експерти обаче предупреждават, че сигурността на тези нови „смарт“ инфраструктури ще е голям проблем за всички потребители и доставчици. Ето още един повод за размисъл.

„Изследователите са установили, че могат да направят ботнет мрежа от смарт-домове чрез смарт-електромерите на тези домове. Така е, защото оторизираният достъп до устройствата е несигурен и ако можеш да компрометираш едно устройство в един дом, то е свързано с всички останали, а в края на веригата – със самата електроразпределителна компания“, разказва Джеймс “Ранди” Абрамс, директор техническо обучение в ESET и един от най-добрите специалисти по кибер-сигурност в света. Ранди бе гост на семинара “Реалността в облака”, организиран от Хай Компютърс и нейните партньори ESET, Cyberoam, Qualys, Sonicwall в курортния комплекс „Катарино“.

Много вероятно ще се появят правителствени стандарти, които да наложат много по-високи изисквания за сигурността. Но не ми е известно досега някое правителство да е създало стандарт, който да наложи правилното ниво на сигурността“, каза Ранди.

Според световния специалист по кибер-сигурност, неизбежно ще са налице някои фундаментални проблеми със сигурността на смарт-домовете. Така е, защото в индустрията е налице дълбоко неразбиране за сигурността, софтуера и неговото място в производството на устройства – на пръв поглед изцяло само хардуерни.

Преди седмица бях на конференция на IBM на тема сигурност. IBM раздаваха USB-памети с маркетингови материали. И на тях имаше вирус! Това стана на конференция за сигурност. Маркетинг хората изобщо не са помислили, че трябва да се погрижат за сигурността на тези USB устройства. И понеже има само два начина да пуснеш един вирус – или да го правиш нарочно, или просто да нямаш никаква идея какво точно се случва, то очевидно в случая е имало пропуск в процеса по качеството“.

Примерите, които показват значението на софтуерната сигурност в производството, са многобройни, става ясно от честите случаи на фабрично заразени цифрови устройства. Такива казуси има периодично и те касаят далеч не само USB памети.

Преди 1-2 години верига големи магазини в САЩ продаваха цифрови фоторамки с троянец на тях, – разказва Ранди. – Не са виновни самите магазини. Изглежда производственият процес е имал пробив, иначе няма как тези фоторамки да имат вирус. Ето това е пример за неразбирането за софтуерния компонент при производството на хардуер!

Seagate имаше случай, когато продаваше дискове в Тайван, инфектирани още при доставката. Друг път McDonalds в Токио организираха промоция и като част от нея раздаваха MP3 плеъри на клиентите. Плейърите бяха заразени, така дойдоха от фабриката. TomTom, известният производител на GPS системи… Е, вие бихте ли се сетили за GPS устройство с вирус? Да, тези устройства имаха USB интерфейс и малък носител за данни. И на него имаше троянец“.

Ранди разказа и за случай, в който Apple iPad устройства са били продавани, носейки компютърен вирус в себе си – но не всички, а отделни, произволни бройки. Оказало се, че не всички доставени iPad са имали вирус, а само тези, които са минали тест за качество. „Проблемът е, че машината, с която са ги тествали, е била свързана към интернет и е била инфектирана. А не е трябвало изобщо да е свързана с интернет“, казва Ранди. „Това нямаше да се случи, ако бяха следвали правилен производствен процес, когато става дума за повтаряемост. Когато взимаш един произведен образец от дадено устройство и го закачваш на компютъра, ти вече нарушаваш производствения процес. Би трябвало след това да го върнеш обратно – в самото начало на производствения процес“.

Всички тези случаи разкриват отново и отново липсата на разбиране за софтуерната сигурност и влиянието й върху нещата, които се произвеждат. Още по-тъжно е, че въпреки наличието на подобни примери, проблемът се появява отново и отново, периодично.

Същото неразбиране, пренесено в контекста на смарт-домовете и смарт-гридовете, може да се окаже много сериозен проблем за много хора. При това и мащабът на щетите от всяко малко невнимание би бил доста съществен. „Ще бъде интересно да видим какво ще се случи“, каза Ранди.

Коментар