SIGURNOST INTERNET UREĐAJA

SIGURNOST INTERNET UREĐAJA

Borba za sigurnost IoT (engl. Internet of Things – IoT) uređaja je tek počela, a kupci će doći kod onih proizvođača koji nude najveći stepen funkcionalnosti i bezbednosti. Loši momci su uvek spremni da iskoriste svaki propust. Ali ne treba biti pesimističan – ni jedna tehnologija nije osmišljena da bi bile iskorišćene njene loše strane.

 

Autor: Saša Tričković

 

Svaki tekst na temu Internet uređaja (engl. Internet of Things – IoT) je veoma popularan, kako među običnim ljudima koji hoće da automatizuju svoju kuću, tako i stručnjacima iz sveta tehnologije. Fenomen poznat pod nazivom IoT nije nov koncept. Ova kovanica prvi put je upotrebljena najverovatnije 1999. godine da bi se opisala mreža na koju će biti povezane sve stvari (izvorno zamišljeno, pomoću RFID tehnologije). Dakle, primenom ovog koncepta, vaš bojler bi bio povezan na mrežu, a takođe bi bio u stanju da na osnovu rutine vašeg kretanja, zna kada ste kod kuće i kada vam je potrebno više ili manje tople vode. Isto tako biste taj bojler mogli uključiti preko Android aplikacije ukoliko rešite da se ranije vratite sa odmora. Pametno, zar ne? Genijalno!

Ali, šta ćemo sa bezbednošću takvih uređaja, aplikacija i načinom pristupa? Pa dobro, reći ćete: sve je to zaključano u stanu, račun za struju može biti malo veći, kad se vratim s odmora resetovaću šifru. A šta ukoliko ste na taj online sistem vezali etažno grejanje? Odete na more, a zlonamerni komšija (pa ne baš onaj iz kompjuterske igrice Neighbours from Hell, ali neki inteligentniji i moderniji tip) upali grejanje usred avgusta, nekontrolisano podigne temperaturu i time dovede sistem za grejanje u havariju. Ovakva situacija izaziva neuporedivo veći trošak. Nije na odmet zamisliti i situaciju u kojoj imate pametni frižider, koji bi bio u stanju da donosi zaključke šta vam je od hrane potrebno i da je poručuje umesto vas. Odete na odmor i shvatite da na kartici nemate sredstava jer je vaš frižider kupio polovnog Punta. Ovakav frižider je već moguće kupiti u Srbiji. Da ne govorimo o tome da gomila domaćinstava već ima video nadzor kome pristupa putem aplikacije na svom mobilnom telefonu. Ukoliko DVR učinite vidljivim preko portala proizvođača, da bi ste mu pristupali preko mobilnog uređaja, ne promenite podrazumevane lozinke i protokole, ostavljate mogućnost lošim momcima da znaju kada niste kod kuće.

Šema funkcionisanja daljinskog upravljanja uređajima u Vašem domu

 

Primere koje sam naveo, da bih privukao pažnju čitaoca, odnose se na upotrebu „pametnih“ uređaja u domaćinstvu. Daleko ozbiljnija sfera upotrebe IoT uređaja predstavlja njihova implementacija i primena pri automatizaciji raznih procesa u proizvodnji, poljoprivredi, upravljanju saobraćajem, itd. Bezbednost ovakvih sistema je podjednako važna, kako sa aspekta ugroženosti ljudi i procesa u ovim oblastima, tako i zbog ugroženosti podataka usled dostupnosti osetljivih sistema i servera zbog deljenja/povezanosti sa mrežom IoT uređaja.

Stručnjaci za sigurnost sve više apeluju na proizvođače uređaja da podignu nivo sigurnosti za svoje proizvode, s obzirom na činjenicu da mreža IoT uređaja sve više raste. S obzirom na rasprostranjenost ovih uređaja u korporativnim mrežama i izvan njih, važno je ne samo da budete spremni da zaštitite svoju vlastitu organizaciju, već je od ključnog značaja da shvatite koliko daleko rizik od IoT može da naraste.

Hajde da se pozabavimo istraživanjima. Prema činjenici koju organizacija AT&T IoT Cybersecurity Alliance ističe u prošlogodišnjoj „beloj knjizi“ (whitepaper), malver Mirai je bio glavni rizik za neosigurane IoT uređaje. Izlaganje ličnih podataka je glavna pretnja pri kompromitovanju uređaja. Međutim, prema izveštaju, ako se povezani uređaji u vašoj organizaciji iskoriste kao deo široko rasprostranjenog napada, Vašoj organizaciji može biti narušena reputacija. Još gora situacija bi bila da Vaša organizacija bude žrtva kompromitovanog IoT uređaja vašeg poslovnog partnera.

Kompanija Gartner, koja se bavi ozbiljnim istraživanjima iz oblasti informacionih tehnologija, predviđa da će do 2020. godine biti u upotrebi preko 20 milijardi umreženih IoT uređaja, čiji će se broj povećati sa 8,4 milijardi koliko ih je bilo u 2017. godini. Najveći procenat, oko 63%, predstavlja 5,2 milijarde uređaja potrošača (kod domaćinstava i pojedinaca), dok je ostalih 3,1 milijardi uređaja u funkciji kod biznis korisnika. U potrošačkim krugovima, IoT su najviše zastupljeni u automobilima, posle toga u pametnim televizorima i digitalnim set-top box uređajima, dok je u sferi organizacija i biznisa najveći broj IoT uređaja sa funkcijom „pametnih“ senzora i sigurnosnh kamera.

Kao i svaka vrsta cyber napada, implikacije koje povlači napad na IoT uređaje su dalekosežne. Baš zbog toga, stručnjaci za IT security moraju pristupiti problemu sigurnosti IoT uređaja baš kao i računarskoj mreži, cloud sistemima, radnim stanicama i drugim endpoint uređajima. Neophodna je sveobuhvatna strategija kao nezaobilazna procedura za obezbeđivanje Vaše organizacije i sprečavanje sajber napada.

Stepen investicije u sigurnost IoT uređaja je različit. Neke kompanije dosta novca ulažu u razvoj sigurnosnih mehanizama za svoje IoT uređaje, dok se druge fokusiraju na što veću i bržu proizvodnju, dok sigurnost dolazi kasnije sa zakrpama ili novim verzijama uređaja. Stručnjaci za IT security moraju ovo uzeti u obzir pri proceni rizika a takođe i pri implementaciji bezbednosnih procedura i mehanizama radi zaštite sistema. Postoji puno toga što možemo učiniti da bi osigurali korak napred ka bezbednosti IoT-a.

 

DOBRA PRAKSA U ČETIRI KORAKA

Pa dobro, svaki CSO bi postavio isto pitanje „Ako možete da mi date savet iz oblasti IoT sigurnosti, šta bi to bilo?“ Odgovor glasi, „Upoznajte svoj sistem!“ U početku, morate održati vidljivost, pre implementacije bilo kakve zaštite, zato što ne možete štititi ono što ne vidite. Šta bi to trebalo da znači? Svaka organizacija mora imati popisan inventar svojih aseta na mreži, uključujući i servise (ne samo uređaje). Analizu rizika i implementaciju sigurnosti vršite na osnovu odgovora na pitanje: „Ako dođe do prekida rada mojih servisa, koliko bi to koštalo moju kompaniju u novcu i kolika bi bila šteta na našem brendu?“ Sa takvom polaznom osnovom, trebalo bi da budete spremni za svaki IoT security izazov, odnosno da definisanjem rizika i preduzimanjem koraka predupredite neželjene situacije i budete spremni da se oporavite u slučaju da se napad ipak desi.

Pre svega, ključna stvar je instaliranje „zakrpama“. Primera radi, WannaCry je eksploatisao propust organizacija koje nisu instalirale sigurnosne zakrpe, u vreme kada su se iste pojavile i bile dostupne za skidanje. Organizacije koje nisu pogođene ovim napadom su imale jake sigurnosne procedure koje su, naravno, podrazumevale primenu zakrpa čim su se one pojavile. Naravno WannaCry nije ciljao IoT, ali zamislite nešto slično, umesto kriptovanja, da Vam uređaj bude iskorišćen za minning crypto valuta ili DDoS napad, a da je proizvođač mesecima unazad izbacio sve zakrpe i procedure njihovog instaliranja.

Instaliranje zakrpa je u redu, ali šta treba činiti u slučaju da proizvođač ne objavljuje sigurnosne zakrpe. Postoji milijarde uređaja koji su u funkciji, bez podrške proizvođača ili da firma koja je proizvela taj uređaj više ne postoji. U ovom slučaju, mora se primeniti IPS (Intrusion-prevention system). IPS sitem je uređaj – bezbednosni sistem koji omogućava preventivni pristup bezbednosti mreže, odnosno to je sistem koji se koristi za identifikaciju potencijalnih pretnji i koji veoma brzo odgovara na njih, odnosno sprečava upad u sistem.

Dalje, obratite pažnju na izradu Vaših rezervnih kopija. Posebno treba obratiti pažnju na skeniranje izvršenih backupa, da bi se otklonila sumnja da nisu zaraženi. Backup treba biti podeljen (segmentiran), čime ćete se zaštititi od ransom-of-service napada, čiji se porast očekuje u toku ove godine.

Treće, fokusirajte se na vidljivost podataka i delova sistema. Uspostavljanje odbrambenog perimetra (IPS, firewall, itd) nije dovoljno. Jednom kada se perimetar probije, zbog vidljivosti celog sistema, retko koja kompanija može ustanoviti šta napadač radi (na primer, cela mreža iza rutera Vam je u jednom VLAN-u). Samo pažljivim razmatranjem i proučavanjem tehnika napadača, možete razumeti njihove ciljeve i motive, pa samim tim izvršiti segmentaciju vaše mreže IoT uređaja (na primer, ne mora sva komunikacija ići preko TCP/IP protokola). Takođe, trebali bi početi skidati uređaje sa mreže (Interneta). Ako se kompleksan sistem ne može efikasno zaštititi, onda se mora izolovati od bilo kakvog spoljnog pristupa.

Povezivanje bezbednosnih sistema je nezaobilazna mera u uspostavljanju sigurnosti. Proaktivna bezbednosna rešenja moraju biti povezana, pa samim tim ona i funkcionišu zajedno. Morate pratiti internet stranice proizvođača sigurnosnih rešenja, tražeći način za integraciju uređaja različitih proizvođača. Smanjenjem kompleksnosti bezbednosnog sistema i automatizacijom interoperabilnosti između različitih bezbednosnih sistema, dobija se na efikasnosti i bržoj odbrani. Sve što je dobro – jednostavno je, zar ne? I jeste i nije, ali ne mora dodatno da se zakomplikuje nagomilavanjem firewall-ova, rutera i različitih podešavanja na njima.

 

BEZBEDNOST KORISNIČKIH/KUĆNIH UREĐAJA

Prethodno navedene preporuke – tehnike za povećanje bezbednosti mreže IoT uređaja odnose se na veće sisteme, odnosno poslovne mreže IoT uređaja. Naravno one su primenljive i na korisničke mreže IoT uređaja, ali je mala verovatnoća da ćete kupiti IPS radi zaštite mreže u stanu, jer takav sistem košta kao taj stan koji želite da obezbedite. Zato se treba pridržavati malo izmenjenih procedura i preporuka.

Proučite svoje IoT uređaje – i šta oni rade, odnosno koje su im funkcionalnosti. Onemogućite udaljeni pristup ako to nije potrebno. Instalirajte zakrpe, kad god se pojave, na svim mobilnim aparatima kojima kontrolišete vaše IoT uređaje, takođe i na samim IoT uređajima. Ako napadač može pristupiti Vašem sistemu za otvaranje vrata ili „pametnom“ termostatu putem maliciozne aplikacije ubačene na Vaš mobilni aparat, nastupiće katastrofa.

Instalirajte sigurnosni softver (antivirus) na mobilnom aparatu sa kog kontrolišete svoje IoT uređaje. Zaštitite svoju Wi-Fi mrežu koristeći naprednije protokole (WPA2) i jakim, kompleksnim lozinkama. Nemojte otvarati podrazumevane portove za spoljni pristup ruteru – ukoliko web servis proizvođača putem kog se „kačite“ na svoj IoT uređaj nudi konfigurisanje ovih opcija to je veoma dobra mogućnost.

Isključite oglašavanje SSID vaše bežične mreže. Napravite dve različite Wi-Fi mreže ako to Vaš ruter može raditi sa više SSID-ova (ako ne, nabavite jedan takav). Jednu mrežu koristite za računare, telefone i ostale web aktivnosti, a drugu za pametne uređaje. Koristite jake i dugačke lozinke. Većina korisnika ostavi podrazumevane lozinke, kako na ruterima, tako i na uređajima u mreži. Obratite pažnju i na pristupne kredencijale koje koristite za pristup portalu proizvođača preko koga pristupate svojim IoT uređajima. Najvažnije, odredite sami „vidljivost“ vaših IoT uređaja. Zar moraju komšije i prijatelji da znaju da vi nadgledate svoje kamere preko mobilnog telefona?

 

Stvari će krenuti na bolje

Kompanije koje se bave proizvodnjom sistema za zaštitu, svesne su pretnji kojima su izloženi IoT uređaji i razvijaju proizvode koji uključuju funkcionalnosti za bezbedan udaljeni pristup i autentifikaciju, kao i zaštitu od malvera i virusa. Prema istraživanju Fortinet-a, preko 61% ispitanika u SAD kažu da će napraviti neku vrstu automatizacije putem IoT uređaja u svom domu u sledećih 5 godina. Borba za sigurnost IoT uređaja je tek počela, kupci uređaja će doći kod onih proizvođača koji nude najveći stepen funkcionalnosti i bezbednosti. Loši momci su uvek spremni da iskoriste svaki propust. Ne treba biti pesimističan – niti jedna tehnologija nije osmišljena da bi bile iskorišćene njene loše strane.

Niste sigurni u sve ovo? Kupite običan frižider!

Ostavite odgovor

This site uses Akismet to reduce spam. Learn how your comment data is processed.