Amióta valósággá vált a tárgyak internete (Internet of Things – IoT), beszélnek arról biztonsági kutatók, hogy ez egy új, globális biztonsági kihívást jelent a biztonságra. Amikor az F-Secure biztonsági kutatója, Mikko Hypponen néhány éve elkezdett arról beszélni, hogy az IoT eszközök milyen átfogó biztonsági problémát okozhatnak, sokan kételkedve fogadták megállapításait. Elsősorban arra alapozták a kritikákat, hogy az IoT esetében túl sok és kicsi erőforrással rendelkező eszközt kell megfertőzni a sikerhez. Pedig Hypponen csupán azt a logikát követte, ami a kiberbűnözést mindig is vezérelte: ha pénzt lehet csinálni valamiből, akkor arra a kiberbűnözők megtalálják a módját, hogy felhasználják céljaikhoz.

Az idő Hypponent igazolta. Ma már senki sem kételkedik abban, hogy az IoT eszközök alkalmasak arra, hogy átfogó botnet hálózatokat hozzanak létre segítségükkel. Mivel hiányzott valamiféle átfogó biztonsági szabvány, meglehetősen esetleges volt, hogy melyik gyártó hogyan oldja meg eszközei biztonságát, foglalkozik-e egyáltalán ezzel a kérdéssel. Míg egy a lakásokat védő okosotthon eszköz (pl. okoszár) esetében körültekintőbben jártak el, egy IoT kenyérpirítót (egy időben ez volt Hypponen kedvenc példája) kinek jutna eszébe védeni? Pedig bármyel eszköz bekapcsolható például egy globális és nagy hibatűrésű elosztott rendszerbe.

A biztonság azonban minden IoT eszköz esetében fontos, ha a fenyegetettségek egy konzumer vagy egy ipari eszköz esetében eltérőek lehetnek, jócskán van átfedés is a területek között.

Valamit kell kezdeni a felhasználók lustaságával

Régóta alapprobléma – hívja fel a figyelmet a Biztonságportál –, hogy nagyon sok hálózatba kapcsolt eszközhöz, amely valóban szinte minden háztartásban megtalálható (routerek, kamerák, okoseszközök, például tévék vagy telefonok stb.), hozzá lehet férni a beépített, gyári jelszóval. Erre jön az, hogy maguk a gyártók sem fordítanak kellő figyelmet a biztonságra, pedig annak a fejlesztés egész folyamatában már a tervezéstől kiemelt szempontnak kellene lennie. A frissítésekkel, hibajavításokkal pedig – mivel itt jellemzően rövid a termék életciklusa – végképp kevesen foglalkoznak.

Az IETF (Internet Engineering Task Force) modtanra jutott el addig, hogy elkészítse azt a szabványtervezetet, amely többek között az IoT eszközök frissítését is szabályozná. A szabvány véglegesítéséig még hosszú az út – az iparág szereplőinek is alaposan meg kell vitatniuk –, de az irányok a tervezetből is láthatók.

Tervezett szabályok a frissítésekre

Az alábbiakban összeszedtük a legfontosabb pontokat, melyekhez már érkeztek is kritikák például a titkosítási előírások lazaságára vagy az ellenőrzési és compliance feltételeket hiánya, kidolgozatlanságára.

A tervezet néhány fontosabb pontja:

– Egységesíteni kell a frissítési mechanizmusokat a Bluetooth-, Wi-Fi-, UART-, USB-alapú stb. verzióváltásoknál.

– Végponttól végpontig terjedő titkosítást kell alkalmazni, de a frissítések, kódok titkosítását egyelőre opcionálissá tenné a szabvány.

– A firmware-frissítéseket mindig kell validálni integritásvizsgálattal.

– Meg kell akadályozni a jogosulatlan rollback/downgrade eljárásokat.

– Több kockázati szintet alakítana ki a szabvány (kritikus infrastruktúráknál használt eszközök esetében például mind a firmware, mind  az eszköz gyártójának alá kellene írnia digitálisan az új verziókat).

A témáról részletesebben a Biztonságportálon olvashatnak.