hirdetés
hirdetés

Internet of Things

Javítócsomagokkal a tárgyak védelmében

Noha az interneten kommunikáló autók, kazánok, hűtőszekrények vagy bébiőrök működésében nem jelentkeznek gyakran külső támadásoknak tulajdonítható zavarok, az eszközök könnyen a bűnözők áldozataivá válhatnak.

hirdetés

A támadók észrevétlenül megszerezhetnek érzékeny adatokat, vagy káros tevékenységekre kényszeríthetik az illető eszközt. A védekezés alapvető módja a javítócsomagok rendszeres telepítése, azok célba juttatásához azonban még nincs jól bejáratott módszer. Napjainkban az internetet már nem csupán a számítógépekről, laptopokról vagy okostelefonokról lehet elérni, hanem egyre több ipari berendezés, valamint hétköznapi eszköz csatlakozik a világhálóhoz. Teher- és személygépkocsik, tömegközlekedési eszközök, fűtőrendszerek, liftek, televíziók, hűtőszekrények, orvosi műszerek stb. is részei az internetnek, hogy azon keresztül továbbítsanak és fogadjanak különféle adatokat, vezérlőjeleket.

Az IoT biztonságát leginkább az veszélyezteti, ha hiányzik vagy nem kellőképpen hatékony a biztonsági frissítések telepítési terve
Az IoT biztonságát leginkább az veszélyezteti, ha hiányzik vagy nem kellőképpen hatékony a biztonsági frissítések telepítési terve

Az úgynevezett Internet of Things (IoT), azaz a tárgyak internete világméretekben hódít, terjedése folyamatos. Becslések szerint 2020-ra 50 milliárd készülék kapcsolódik majd az internethez, de vannak, akik szerint ez az érték igencsak alulbecsült. Az IoT terjedésének sajnálatos, ugyanakkor természetes velejárója a biztonsági kockázatok növekedése. Minél több eszközhöz lehet az interneten keresztül hozzáférni, annál több válik sérülékennyé, azaz van kitéve a külső, rosszindulatú támadásoknak. Nincs más választás, komolyan számba kell venni az IoT biztonsági kihívásait, és minél hamarabb, minél jobb válaszokat kell rájuk találni.

Segítséget nyújthat ebben a világméretű nonprofit szervezet, az Open Web Application Seurity Project (OWASP) Top 10 listája, amely számba veszi az IoT 2014-es fő biztonsági kockázatait, valamint azokat a tennivalókat, amelyekkel a kockázatok csökkenthetők. Mindezek mellett érdemes kicsit részletesebben foglalkozni az internethez kapcsolódó tárgyak egyik legfőbb fenyegetettségével, az idő előrehaladtával egyre több biztonsági rést tartalmazó, tehát frissítésre szoruló szoftverekkel.

Óriási veszély a frissítések késlekedése

Az IoT biztonságát leginkább az veszélyezteti, ha hiányzik vagy nem kellőképpen hatékony a biztonsági frissítések telepítési terve. A valós helyzet ugyanis az, hogy minden kódban időről időre újabb sérülékenységek kerülnek napvilágra. A rendszer tervezésekor és fejlesztésekor figyelembe vett biztonsági megfontolások tehát az idő előrehaladtával egyre hiányosabbak. Éppen ezért minden szoftvergyártónak fel kell készülnie rá, hogy gyors válaszokat adjon az újonnan felismert sérülékenységekre, és a lehető leghamarabb kiadja, azaz ügyfelei számára elérhetővé tegye a szükséges javítócsomagokat.

Az OWASP Internet of Things Top 10 – 2014 listája: fő biztonsági kockázatok
• Nem kellően biztonságos webfelület • Elégtelen hitelesítés/jóváhagyás • Nem kellően biztonságos hálózati szolgáltatások • Az adattovábbítási titkosítás hiánya • Adatvédelmi aggályok • Nem kellően biztonságos felhőinterfész • Nem kellően biztonságos mobilinterfész • Elégtelen biztonsági konfigurálhatóság • Nem kellően biztonságos szoftver/firmware • Gyenge fizikai biztonság

Nézzünk két példát a biztonsági frissítések jó és rossz gyakorlatára. Az nem kérdés, hogy mind az iOS, mind az Android operációs rendszert hozzáértő csapatok fejlesztik. Az is egyértelmű, hogy mindkét fejlesztőcsapatban bőven van erőforrás a biztonsági problémák kezelésére, illetve a szükséges javítócsomagok gyors és professzionális megírására. Egy sérülékenység felfedezését követően minden bizonnyal gyorsan el is készül a patch, ám annak kiadása eltérően történik a két szervezetnél. Az Apple, az iOS frissítésén keresztül, közvetlenül vezérli a javítócsomagok szétosztását ügyfelei körében. Az Android-alapú eszközökre készített patchek viszont több lépésben is késlekedést szenvednek, amíg a végfelhasználókhoz jutnak, hiszen át kell verekedniük magukat az eszközgyártókon és a hálózatüzemeltetőkön is.

Mindennek a következménye nem túl rózsás az Android-felhasználókra nézve: előfordulhat, hogy hónapokig, sőt évekig nem jutnak hozzá a kritikus szoftverfrissítésekhez. Mivel jelenleg az Android-alapú eszközöknek csupán mintegy 20 százalékán fut a legújabb operációs rendszer, a fennmaradó 80 százalék akár hosszabb ideig is az alapvető biztonsági frissítések nélkül kénytelen működni, azaz komoly veszélynek van kitéve.

Rejtve maradó biztonsági rések

Általánosságban, az internetre kapcsolt különféle berendezések – fűtőrendszerek, hűtőszekrények, élettani funkciókat figyelő eszközök stb. – esetében elmondható, hogy a biztonsági rések sokszor (sokáig) a gyártók előtt is rejtve maradnak, így a javítócsomagok megírása és kiadása is elmarad (késik). Mindez természetesen nem jelenti azt, hogy e sérülékenységekről a rosszindulatú támadók sem szereznek tudomást, sőt. Mindaddig a háttérben tevékenyked(het)nek, amíg a gyártó is észreveszi és befoltozza a biztonsági rést. De hogy történhet ez meg?

A biztonsági rések sokszor (sokáig) a gyártók előtt is rejtve maradnak
A biztonsági rések sokszor (sokáig) a gyártók előtt is rejtve maradnak

Induljunk ki abból, hogy a gyártó elsődleges célja, hogy termékéből minél többet értékesítsen. Ennek érdekében fejlesztéseinél a termék alapvető tulajdonságaira, fő funkcióira összpontosít. Az internethez való kapcsolódás plusz lehetőség, egyfajta – manapság egyre inkább elvárt – hozzáadott érték. Ez olyan speciális tudást igényel, ami jellemzően nem tartozik a gyártó szakterületei közé. Hogy néz ki a helyzet a felhasználó szemszögéből? A vásárló az eszközt alapvetően elsődleges céljára akarja használni. A fűtőrendszertől azt várja el, hogy működjön és mindig megfelelő hőmérsékletet biztosítson, a bébimonitortól, hogy jelezzen, ha sír a gyermek.

Az internet-csatlakozást hasznos, ám csupán kiegészítő tulajdonságnak tekinti. Emellett a legtöbb felhasználónak egyenesen terhes, ha másodlagos problémákkal kell bajlódnia. Sajnos vannak azonban támadók, akik megnehezítik a gyártó és a felhasználó „békés” életét. Sokszor egész bűnszervezetekről van szó, amelyek megpróbálják irányításuk alá vonni az internethez kapcsolódó eszközöket, hogy így botneteket (zombigéphálózatokat) hozhassanak létre, és elosztott támadásokat indíthassanak. Mivel ezek a támadók többnyire rejtve akarnak maradni, kártékony működésükkel lehetőleg nem befolyásolják a megtámadott eszköz teljesítményét, következésképpen nem áll szándékukban megbénítani az eszközt, és közzétenni rosszindulatú szoftverüket (malware).

Végiggondolva a fenti tényezőket belátható, hogy az internethez csatlakoztatott eszközök sérülékenységeinek kijavítása a gyártók számára nagyon alacsony prioritású. A bűnszervezetek rengeteg elavult eszköz sérülékenységeit fedezik fel. Ha a támadók elég okosak – és az esetek nagy részében azok –, káros tevékenységüket a háttérben végzik, anélkül, hogy befolyásolnák a megtámadott eszköz összteljesítményét. Ez azt jelenti, hogy a felhasználó nem észleli a rosszindulatú szoftvert, és a biztonsági sérülékenység nem befolyásolja majd a vásároló eszközről alkotott véleményét. Ha tehát a biztonsági sérülékenységek nincsenek negatív hatással az eszköz megítélésére, értékelésére, akkor a gyártót alig-alig ösztönzi valami a rések befoltozására.

Veszélyes támadások a háttérben

Ha a támadások nem is okoznak látványos károkat, a háttérben kifejtett tevékenységük nem hagyható figyelmen kívül. Az internethez csatlakozó eszközök tulajdonosai például nem érezhetik biztonságban személyes adataikat, azokat illetéktelenek a tudtuk nélkül megfigyelhetik. Mivel az IoT terjedésével ezek az adatok egyre személyesebbekké, bizalmasabbakká válnak – egészségügyi információkat vagy az illető családjára, otthonára vonatkozó adatokat, videókat tartalmazhatnak – növekvő kockázatot jelent, ha azok illetéktelenek kezébe kerülnek.

Az interneten hozzáférhető webes alkalmazások szintén komoly kockázatokat rejtenek magukban. Veszélybe sodorhatják a sérülékeny internetképes eszközöket, és akár rosszindulatú botnetek részeivé is tehetik azokat. A megtámadott eszközök aztán spameket küldhetnek, részt vehetnek terheléses támadásokban (DoS), sőt az interneten keresztül akár megszerezhetnek és tesztelhetnek ellopott személyi okmányokat is. A megtámadott, áldozattá vált weboldalak nem hozhatók kapcsolatba a támadással és a webes alkalmazásokkal, amelyek most már nem vehetik fel a harcot sem a rosszindulatú támadókkal, sem pedig az IoT veszélyeztetett eszközeiből kialakított, egyre bővülő botnetekkel sem.

Nagy kihívás: a javítócsomagok célba juttatása

Elmondható tehát, hogy az internethez kapcsolódó eszközök ellen elkövetett támadások túlnyomó többsége észrevétlen marad, és nem gyakorol közvetlen hatást az eszköz tulajdonosára. Mindazonáltal bizonyos sérülékenységekre időnként fény derül, és ha azok kellően súlyosaknak minősülnek, akkor a közönség – teljesen jogosan – kiköveteli a javítócsomagot. Érdekes kérdés, hogy ilyenkor hogyan játszódik le a teljes folyamat, hogyan jut el a patch az érintett eszközökhöz. Komoly sérülékenység esetén a gyártónak jól felfogott érdeke, hogy minél gyorsabban elkészítse a javítást. Megvan tehát a patch. De aztán hogyan tovább?

Nagyon fontos, hogy az internethez csatlakozó eszközök gyártói felkészüljenek a termékeiben elkerülhetetlenül megjelenő biztonsági sérülékenységekre
Nagyon fontos, hogy az internethez csatlakozó eszközök gyártói felkészüljenek a termékeiben elkerülhetetlenül megjelenő biztonsági sérülékenységekre

Minden gépjármű, pacemaker vagy hűtőszekrény tulajdonosát megkérnek arra, hogy indítsa újra berendezését, és haladjon végig a frissítési folyamaton? Vagy a frissített szoftver csak a fizikai termék következő kiadásában áll rendelkezésre? Ez utóbbi azt jelentené, hogy az emberek egyre sérülékenyebb eszközöket használnának mindaddig, amíg új autót, bébiőrt vagy hűtőszekrényt nem vásárolnak. Szakértői vélemények szerint a tárgyak internetének egyik legnagyobb kihívása napjainkban, hogy nincs hatékony csatorna az eszközök nagy tömegének egyidejű eléréséhez, még akkor sem, ha a javítócsomagot a gyártó kiadja.

Beépített hibajavítási modell

A jelenlegi, némi aggodalomra okot adó helyzet megváltoztatása érdekében először is a fogyasztóknak tudatos fogyasztókként kell viselkedniük: olyan újfajta ösztönzési modellt kell kialakítaniuk, amely a biztonsági rések gyors befoltozására készteti a gyártókat. Ennek egyik módja lehet, ha az IoT hiányosságait széles körben, megbízható csatornákon keresztül nyilvánosságra hozzák. Egy másik lehetőség, ha olyan klíringintézetek járnak el az ügyben, amelyek az IoT biztonsági hiányosságainak adataival foglalkoznak. A visszaesőket felelősségre kell vonni, és a fogyasztóknak a pénztárcájukkal kell szavazni.

Jó irányba befolyásolná a folyamatokat a már működő, pozitív biztonsági megközelítések népszerűsítése; ezek hozzásegíthetnek robusztus és biztonságos internetképes eszközök kialakításához. Nagyon fontos, hogy az internethez csatlakozó eszközök gyártói felkészüljenek a termékeiben elkerülhetetlenül megjelenő biztonsági sérülékenységekre.

Már a tervezéskor és gyártáskor tekintetbe kell venniük a biztonsági megfontolásokat, hogy ezáltal el tudják kerülni a nyilvánvaló hiányosságokat. De ezen felül be kell építeniük egy használható hibajavítási modellt is, amivel az eszközöket frissíteni lehet, ha kritikus biztonsági javítások szükségesek. Mindez azonban csak úgy működhet jól, ha szinte észrevétlenül érik el a fogyasztókat, illetve az internetre kapcsolt tárgyak nagyon nagy százalékához tudják eljuttatni a patcheket.

Természetesen minden előrelátás dacára képtelenség az internethez csatlakozó tárgyakat fenyegető összes veszélyre vagy biztonsági résre előre felkészülni. Amit azonban meg lehet és meg is kell tenni: olyan internetképes eszközöket tervezni, amelyekre gyorsan lehet az új kódokat telepíteni, megvédve ezáltal a felhasználókat, az adatokat, illetve tágabb értelemben az egész webet. Ellenkező esetben akár az is megtörténhet, hogy a dolgok internete fokozatosan a botnetek internetévé válik.

Mallász Judit
a szerző cikkei

hirdetés
Ha hozzá kíván szólni, jelentkezzen be!
 
Cikk[161960] galéria
hirdetés
hirdetés
hirdetés

Kiadónk társoldalai

hirdetés