Egyre több fenyegetés éri az IoT eszközöket, és ezek a veszélyek az idei év során már szintet lépni látszanak. Mi a megoldás, egyáltalán, van-e esély megmenteni a technológiát, vagy önmaga szabályozatlansága alatt összeomlik?
Hirdetés
 

Cikksorozatunk első részében azt vettük végig, hogyan értünk el addig a pontig, amíg a blokklánc és a dolgok internete eljutott mostani, gyakran összeérő fejlődési fázisába; az előző alkalommal pedig a két technológia közös jövőjét vizsgáltuk. Ennek lehetőségei közel sem elméletiek: a legnagyobb cégek – köztük az Oracle – jelentős erőforrásokat fordítanak a lehetőségek minél szélesebb körű kiaknázásába.

Eddig azonban csupán érintőleg említettük a biztonság témakörét. Ezúttal tehát arra keressük a választ, hogy milyen biztonsági kihívások érik a két technológiát, és, hogy miként oldhatja meg összeházasításuk a fennálló problémákat.

Kriptovalutát bányászó IP-kamerák

Amint azt Martha Bennett, a Forrester elemzője említette, az egyik legnagyobb kihívás az IoT terület számára a biztonság kérdése. A gyakran csak pár dolláros eszközöknél nem hogy tesztelésre nincs erőforrás a készülékárak minimálisra szorításának jegyében, de már a tervezés sem a hálózati védelem igényeinek figyelembe vételével zajlik. Ennek eredményeként gyakran alapállapotukban is sérülékenyek vagy könnyen sebezhetővé válhatnak ezek a rendszerek.

Nem meglepő tehát, hogy alig két év alatt negyvenszeresére nőtt az IoT malware-ek száma. Míg 2016-ban mindössze 3200 kártékony IoT kódot azonosított a Kaspersky Lab ezekben az eszközökben, addig tavaly már 32 ezernél is többet. Idén pedig alig kilenc hónap alatt közel négyszeresére nőtt a károkozók száma: hozzávetőleg 122 ezer mintát detektáltak a biztonsági cég védelmi eszközei.

Mint a vállalat tanulmánya írja, az IoT eszközök terjedésével a kiberbűnözők érdeklődése is megnőtt, mivel egyre nagyobb üzletet látnak a területben. A fertőzött IoT eszközöket többek között kriptovaluta bányászására, DDoS-támadásokra vagy botnetek építésére is használhatják.

Az egyik legnagyobb problémát az jelenti, hogy az érintetteknek fogalma sincsen arról: megtámadták őket. A korlátozott tudású készülékek megfertőződésének észlelése már csak azért is nehézkes, mert az IoT eszközöket használók többsége nincsen tudatában annak, hogy a „nagy” rendszerekhez hasonlóan a játékokba rejtett kamerák, az otthoni okoshőmérők vagy az „intelligenssé” tett világítási megoldások ugyanúgy sebezhetőek.

Fenyegetés a legváltozatosabb helyekről

A legfőbb újdonság, hogy az IoT világában egyre kevesebb olyan elektronikai eszköz van, amely nem jelent veszélyt az informatikai biztonságra. Idén már DVR-eszközökről vagy nyomtatókról indított támadások is történtek, sőt a Kaspersky honeypotjai regisztráltak 33 olyan támadást, amit intelligens Miele mosógépekről indítottak.

Egy látszólag teljesen ártalmatlan dekoráció is szerepet kapott az utóbbi idők egyik legviccesebb, de mégis nagyon súlyos veszélyekre figyelmeztető támadásában. Kiberbűnözők egy kaszinó épületének lobbijában található akvárium okoshőmérőjén keresztül törtek be a játékterem rendszerébe. Az akvárium interneten keresztül távvezérelhető érzékelőinek sérülékenységét kiaknázva bejutottak a kaszinó központi szerverébe.

Az akvárium hőmérsékletét, a víz tisztaságát és a haleledel adagolását ellenőrző és szabályzó rendszert ugyanis egy olyan PC vezérelte, amely rákapcsolódott a játékterem központi rendszerére. A hackerek így be tudtak jutni a központi szerverre, és onnan ellopták azt az adatbázist, ami a kaszinó nagy tétekben játszó VIP-ügyfeleinek listáját tartalmazta.

Amit a támadók a közelebbről meg nem nevezett észak-amerikai kaszinóban véghez vittek egy akvárium okostermosztátján keresztül, azt bármikor megcsinálják bármilyen más okosotthon-eszközön is. Számukra mindegy, hogy IoT-s légkondícionáló, fűtő- vagy szellőzőrendszer, hűtőszekrény vagy éppen egy olyan fejlett eszköz áll a rendelkezésre, mint az Alexa, amely elkezdte irodai térhódítását. A lényeg, hogy kaput nyitnak azokba a rendszerekbe, melyek már valódi értéket tárolnak.

Továbbra sem táltosodott meg a jogalkotás

A The Wall Street Journal londoni, idén áprilisban tartott CEO Council konferenciáján a brit hírszerzés digitális részlegének, a GCHQ-nak (Government Communications Headquarters) a korábbi irányítója, Robert Hanningan az IoT-biztonságnak szentelte előadását. Ő a biztonsági rendszer CCTV kameráival példálózott. Szintén név nélkül említett egy bankot, amelynek rendszerébe a netre kapcsolt kamerákon keresztül jutottak be az támadók. Hanningan szerint nem szabad arra várni, hogy majd a piac maga kikényszeríti a megoldást. Törvényekre van szükség, amelyek pontosan meghatározzák az IoT-eszközök minimális biztonsági követelményeit, sürgetett a szakértő.

Felismerve a probléma egyre növekvő jelentőségét és fokozandó a felhasználói tudatosságot, a múlt hónapban az Európai Unió, pontosabban annak Europol bűnüldöző szerve és ENISA nevű információbiztonsági szervezete IoT konferenciát tartott Hágában. A hollandiai rendezvényen nem csak az iparág biztonsági problémákat vesézték ki, de deklarált cél volt, hogy még azelőtt megoldást találjanak rájuk, mielőtt túl késő lenne.

Wil van Gemert, az Europol műveleti igazgatóhelyettes szerint számos lehetőséget nyújt az európai polgároknak, a digitális társadalomnak és a vállalatoknak a dolgok internete, és úgy általában, hatalmas gazdasági lehetőséget kínál magának a kontinensnek is. De már láthatók azok a jelek, amik azt mutatják, hogy a dolgok rosszra fordulhatnak, állította Gemert.

A hiperkonnektivitás egyben hiperfenyegetést is jelent, jelentette ki Miguel Gonzales-Sancho, az Európai Bizottság infokommunikációval foglalkozó részlegének vezetője. Hangsúlyozta, hogy mint minden fejlesztés, új technológia esetében, úgy az IoT területe is rendelkezik egy sötét oldallal. Ennek kezelése komoly kihívást jelent, a megoldáshoz az EB szerint pedig csak a tagállamok együttműködésén keresztül vezet az út – tagállami szinten megoldhatatlan a dolgok internetének biztonságossá tétele.

Másképp vélekedik erről az USA leggazdagabb állama. Szeptember 28-án ugyanis Kalifornia lett az első az Egyesült Államokban, ahol hivatalos szabályozást (California Senate Bill 327, chapter 886 és  Assembly Bill No. 1906, “Security of Connected Devices”) fogadtak el a csatlakozott eszközök biztonságára vonatkozóan. A jogi keretek részletesen meghatározzák az érintett készülékek körét, és azt is deklarálják, milyen mértékben tehetők felelőssé azok gyártói és fejlesztői. Röviden: nagyon. Ugyanakkor külső féltől származó szoftver vagy szolgáltatás használata esetén megszűnik a termék előállítóinak felelőssége, vagyis továbbra is hangsúlyos szerepet kell, hogy betöltsön a felhasználói tudatosság.

A dolog egyetlen szépséghibája, hogy a szabályozás még nem lépett életbe. Erre az évtized végéig kell várni: 2020. január 1-ét jelölték meg a törvényhozók az IoT biztonsági előírás betartásának első napjaként. De az Egyesült Államokban legalább határozott irányvonal és már előírt határidők vannak, miközben Magyarországon ennél jóval hátrébb tartunk a fejlődésben. Pedig lehetnénk éllovasok, hiszen az IVSZ már 2015-ben előállt egy tanulmánnyal a „Az Internet of Things koordinált fejlesztése ésalkalmazásának elterjesztése Magyarországon” tárgykörben. Ráadásul sokat is nyerhetne vele hazánk: 2025-re akár 9 milliárd euróval növekedhetne a magyar GDP a digitális megoldásoknak köszönhetően, számolt be a Portfolio a lehetőségekről.

Van megoldás(?)

Láthattuk tehát, hogy egyre nő az IoT-ra leselkedő veszélyek mennyisége és minősége, azonban a törvényhozás még akkor is csak kullog a "digitális vadnyugaton", ha már felismerte a probléma jelentőségét. De mi a helyzet, ha műszaki szempontból közelítjük meg a kérdést?

A dolgok internetével érkező veszélyes jelenségek visszaszorításában jelentős szerepet vállalhat a blokklánc alkalmazása. A blockchainalapú megközelítés ugyanis decentralizált biztonsági és magánszféra-védelmet kínál. Kriptográfián alapuló, az adatokat észrevétlenül megváltoztatni nem képes elosztott főkönyvi technológiával fokozhatja az IoT keretrendszerek biztonságát.

Ehhez szükség van az adatok elosztott rendszerére, amivel megosztható az információ a kulcsszereplők hálózatán keresztül. Közösen elfogadott és beágyazott üzleti folyamatokra, amik automatizálják az egyes csomópontok közötti együttműködést a rendszerben. Végül elengedhetetlen a hash-alapú biztonsági megoldások alkalmazása, és pár megállapodás a rosszfiúk beazonosítására és a fenyegetések hatásának csökkentésére.

A fentiekkel a blokklánc-alapú IoT megoldások kiépítése a teljes rendszert egészségesebbé teszi és növeli integritását. Az üzleti folyamatok okos szerződéseken keresztül automatikusan végbe mehetnek, és, mivel nincsen megtámadható központi rendszer, a szolgáltatásmegtagadásra alapuló támadásokhoz hasonló kísérletek kibontakozása az architekturális felépítés természetéből adódóan megakadályozható.

A blockchain modell dolgok internetét alkotó rendszerekben történő alkalmazásával számos valódi, a digitális üzletet érintő probléma megcímezhető. Például megváltoztathatatlan naplóállományok állíthatók elő, amivel automatikusan és hitelt érdemlően igazolni lehet a rendszer adott szempontok szerinti megfelelőségét. De a szoftverfrissítések biztonságos terjesztése, a fizetések és mikrofizetések megkönnyítése és védetté tétele szintén megoldható a kriptovaluták révén ismertté vált technológia bevetésével.

Válásról már szó sem lehet

A teljes képhez azért hozzá tartozik, hogy a két technológia ötvözése nem minden problémára megoldást kínáló csodaszer. Közel sem mindegy például, hogy milyen módszert használnak a feladat megoldására, ugyanis számos blokklánc az IoT számára túlságosan nagy fogyasztást, kommunikációs késleltetést és túlzott számítási igényt jelent. Ugyanakkor akad már példa arra is, hogyan lehet egy "pehelysúlyú" rendszert kiépíteni az okosotthonok biztonságos üzemeltetése érdekében.

A fejlődés tehát egyáltalán nem állt meg, sőt, tulajdonképpen még csak most jön a java. Olyan hibrid architektúrák megjelenése várható a közeljövőben, amik különböző keretrendszerekkel testre szabhatók. A blokkláncban rejlő lehetőségek így másképp használhatók ki az IoT peremhálózati, platform és nagyvállalati rétegeiben. És noha a blockchain nem jelent az IoT minden bajára megoldást, kiebrudalhatatlanul részévé válik a dolgok internetének.

Biztonság

25 évre ítélték Sam Bankman-Friedet. Változott valami?

Csütörtökön megszületett az ítélet az FTX volt vezérigazgatójának ügyében: 57 éves korában szabadulhat.
 
Hirdetés

A NIS2-megfelelőség néhány technológiai aspektusa

A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.

Az uniós direktíva felpezsdíti a magyar kiberbiztonsági piacot, az auditokból átfogóbb képet kapunk a gazdaság és az ország kiberképességeiről is. Interjú dr. Bencsik Balázzsal, az SZTFH kibervédelmi igazgatójával.

a melléklet támogatója a RelNet Technológia Kft.

CIO KUTATÁS

TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?

Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »

Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!

LÁSSUNK NEKI!

Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.