A washingtoni Critical Infrastructure Technology kutatói állami szintű beavatkozást sürgetnek az IoT eszközök fejlesztését illetően. James Scott és Drew Spaniel arra mutatott rá Rise of the Machines: The Dyn Attack Was Just a Practice Run nevű jelentésükben, hogy a dolgok internete jelentette fenyegetést még csak nem is látjuk át igazán.
A páros szerint a szabályozás megnehezítheti az IoT innováció kiteljesedését, de az ebből származó kockázatot sokszorosan felülmúlják a reguláció pozitív, biztonságot fokozó hatásai. A kutatók tisztában vannak azzal, hogy az IoT eszközök amerikai szabályozása hatással lesz a terület globális trendjeire és gazdaságára, mivel a dolgok internetében érdekelt felek jelentős része vagy az Egyesült Államokban tevékenykedik, vagy közvetlenül amerikai gyártókkal áll kapcsolatban, vagy az amerikai gazdasági döntésektől függ.
Mindezek ellenére egy esetleges IoT szabályozás csupán korlátozott hatással járna a dolgok internetéből származó DDoS támadások csökkentésére, mivel az amerikai kormányzat csak limitált befolyással bír az IoT gyártókat illetően. Talán kevésbé ismert tény, hogy az Egyesült Államok még az első tíz országban sincsen benne az ártó szándékú forgalmat generáló IoT eszközöknek helyt adó nemzetek listáján.
Ébresztő!
Bevallottan figyelemkeltő célból írták tanulmányukat a kutatók, rámutatva, hogy a szolgáltatásmegtagadásra irányuló támadások egyre nagyobb arányban érkeznek a dolgok internete felől. A helytelenül, gondatlanul megtervezett készülékeket botnetbe késztető támadók ezzel a támadási potenciállal aztán az internet kritikus fontosságú infrastruktúrája ellen is támadást intézhetnek, távközlési cégek és eszközök ellen indítva kezelhetetlenül nagy forgalmat.
A jelentés készítői azt is hangsúlyozták, hogy az amerikai infrastruktúrára Kína jelenti az egyik legnagyobb veszélyt a külföldi fejlesztésű IoT eszközök mögött álló országok közül. Hosszú távon például a Mirai nevű malware akár pekingi hátterű támogatásban részesülő hackerek kezére is kerülhet.
"Az állami szintű tevékenység hosszú távon azért jelent komoly fenyegetést, mert a 2020-ra jövendölt 50 milliárd IoT eszköz közel mindegyike ellenséges országokban kerül fejlesztésre és/vagy gyártásra" – kongatták meg a vészharangot a kutatók. Scott és Spaniel véleménye szerint ugyanakkor az állami szerveket kiszolgáló szoftveres hátsó kapuk (backdoor) létrehozása rossz ötlet. Semmi sem garantálja ugyanis, hogy a lehetőséget nem csak a hatóságok fogják (ki)használni; az előbb-utóbb a bűnözők számára is megnyílhat, még nagyobb kockázatnak téve ki a fogyasztókat.
Baljós jövő
Nem számíthatunk a dolgok internetével kapcsolatos sérülékenységek közeljövőben való eltűnésére. Még az anyagilag jelentős háttérrel is rendelkező fejlesztők, gyártók sem mutatnak komoly érdeklődést a biztonság magasabb szintre emelésével szemben. A kisebb, költségérzékeny fejlesztőcsapatok büdzséje pedig egyszerűen túl alacsony a szigorú biztonsági tesztelésekhez.
A jövő tehát egyáltalán nem bíztató ezen a téren, állítja Critical Infrastructure Technology.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak