Korábban sokat kételkedtek abban, ami mára valósággá vált: bármilyen netre kapcsolt eszközből lehet építeni botnetet.
Hirdetés
 

Amióta valósággá vált a tárgyak internete (Internet of Things – IoT), beszélnek arról biztonsági kutatók, hogy ez egy új, globális biztonsági kihívást jelent a biztonságra. Amikor az F-Secure biztonsági kutatója, Mikko Hypponen néhány éve elkezdett arról beszélni, hogy az IoT eszközök milyen átfogó biztonsági problémát okozhatnak, sokan kételkedve fogadták megállapításait. Elsősorban arra alapozták a kritikákat, hogy az IoT esetében túl sok és kicsi erőforrással rendelkező eszközt kell megfertőzni a sikerhez. Pedig Hypponen csupán azt a logikát követte, ami a kiberbűnözést mindig is vezérelte: ha pénzt lehet csinálni valamiből, akkor arra a kiberbűnözők megtalálják a módját, hogy felhasználják céljaikhoz.

Az idő Hypponent igazolta. Ma már senki sem kételkedik abban, hogy az IoT eszközök alkalmasak arra, hogy átfogó botnet hálózatokat hozzanak létre segítségükkel. Mivel hiányzott valamiféle átfogó biztonsági szabvány, meglehetősen esetleges volt, hogy melyik gyártó hogyan oldja meg eszközei biztonságát, foglalkozik-e egyáltalán ezzel a kérdéssel. Míg egy a lakásokat védő okosotthon eszköz (pl. okoszár) esetében körültekintőbben jártak el, egy IoT kenyérpirítót (egy időben ez volt Hypponen kedvenc példája) kinek jutna eszébe védeni? Pedig bármyel eszköz bekapcsolható például egy globális és nagy hibatűrésű elosztott rendszerbe.

A biztonság azonban minden IoT eszköz esetében fontos, ha a fenyegetettségek egy konzumer vagy egy ipari eszköz esetében eltérőek lehetnek, jócskán van átfedés is a területek között.

Valamit kell kezdeni a felhasználók lustaságával

Régóta alapprobléma – hívja fel a figyelmet a Biztonságportál –, hogy nagyon sok hálózatba kapcsolt eszközhöz, amely valóban szinte minden háztartásban megtalálható (routerek, kamerák, okoseszközök, például tévék vagy telefonok stb.), hozzá lehet férni a beépített, gyári jelszóval. Erre jön az, hogy maguk a gyártók sem fordítanak kellő figyelmet a biztonságra, pedig annak a fejlesztés egész folyamatában már a tervezéstől kiemelt szempontnak kellene lennie. A frissítésekkel, hibajavításokkal pedig – mivel itt jellemzően rövid a termék életciklusa – végképp kevesen foglalkoznak.

Az IETF (Internet Engineering Task Force) modtanra jutott el addig, hogy elkészítse azt a szabványtervezetet, amely többek között az IoT eszközök frissítését is szabályozná. A szabvány véglegesítéséig még hosszú az út – az iparág szereplőinek is alaposan meg kell vitatniuk –, de az irányok a tervezetből is láthatók.

Tervezett szabályok a frissítésekre

Az alábbiakban összeszedtük a legfontosabb pontokat, melyekhez már érkeztek is kritikák például a titkosítási előírások lazaságára vagy az ellenőrzési és compliance feltételeket hiánya, kidolgozatlanságára.

A tervezet néhány fontosabb pontja:

– Egységesíteni kell a frissítési mechanizmusokat a Bluetooth-, Wi-Fi-, UART-, USB-alapú stb. verzióváltásoknál.

– Végponttól végpontig terjedő titkosítást kell alkalmazni, de a frissítések, kódok titkosítását egyelőre opcionálissá tenné a szabvány.

– A firmware-frissítéseket mindig kell validálni integritásvizsgálattal.

– Meg kell akadályozni a jogosulatlan rollback/downgrade eljárásokat.

– Több kockázati szintet alakítana ki a szabvány (kritikus infrastruktúráknál használt eszközök esetében például mind a firmware, mind  az eszköz gyártójának alá kellene írnia digitálisan az új verziókat).

A témáról részletesebben a Biztonságportálon olvashatnak.

Biztonság

Nyakunkon az összehajtható Samsung okostelefon?

Egy véletlennek köszönhetően hullott le a lepel egy kísérleti készülékről.
 
A magánszektorban az egyetlen út a sikeres üzletmenethez az ügyfélen keresztül vezet. Ha értjük, mit akar, igényeit hatékonyan és gyorsan ki tudjuk elégíteni, akkor nincs menekvés a növekvő bevétel elől.

a melléklet támogatója a TOPdesk

Hirdetés

Agilis módszerek a szolgáltatás-menedzsmentben

Számos szervezet hozott olyan stratégiai döntést, hogy mindent agilis módszerek alapján kell csinálni. Az a felismerés indokolta ezt, hogy az elégedett ügyfelek és egy működő végtermék fontosabbak, mint a folyamatok vagy szerződések. A szolgáltatásmenedzsment területén ez különösen lényeges.

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2017 Bitport.hu Média Kft. Minden jog fenntartva.