logo elektroda
logo elektroda
X
logo elektroda
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Wyszukiwarka Śpiących Dzieci - problem z bezpieczeństwem w Internecie Rzeczy?

ghost666 02 Lut 2016 19:46 4341 2
  • Wyszukiwarka Śpiących Dzieci - problem z bezpieczeństwem w Internecie Rzeczy?
    Shodan, wyszukiwarka dedykowana do Internetu Rzeczy (IoT) uruchomiła niedawno nową sekcję pozwalającą na wyszukiwanie niezabezpieczonych kamer internetowych, przesyłających strumień wideo do sieci. W wyszukanych strumieniach znaleźć można wszystko - plantacje marihuany, tylne wejścia do banków, dziecięce pokoje, kuchnie, salony, garaże, ogródki, stoki narciarskie, baseny, szkoły czy nawet laboratoria lub kamery sklepowe patrzące kasjerom na ręce.

    Dan Tentler, specjalista od bezpieczeństwa w sieci, komentuje to w wywiadzie: "To jest wszędzie. W strumieniach znaleźć można praktycznie dowolną rzecz". Po dokonaniu krótkich poszukiwań, autorzy artykułu na Ars Technica potwierdzają: kamery są bardzo podatne na tego rodzaju podglądanie, ponieważ bardzo często wykorzystują do przesyłania strumienia protokół Real Time Streaming Protocol (RTSP, port 554). Strumienie te nie są zabezpieczone w żaden sposób hasłem. Można je oglądać poprzez wyszukiwarkę Shodan, korzystając z darmowego konta tutaj.

    Wyszukiwarka przeszukuje sieć po IP, znajdując numery, które otwarte mają port 554. Jeśli na jakimś IP port jest otwarty, a strumień nie jest w żaden sposób zabezpieczony, to system wykonuje pojedynczy zrzut i zapisuje go na serwerze. Problem z brakiem prywatności w takiej sytuacji jest wręcz oczywisty, a wyszukiwarka taka jak Shodan tylko podkreśla, jak żałosny wręcz jest stan zabezpieczeń sieci IoT. Na tym etapie rozwoju Internetu Rzeczy trzeba zastanowić się, co zrobić, aby zmienić sytuację.

    Oczywiście zjawisko niezabezpieczonych kamerek internetowych nie jest żadnym novum. Od szeregu lat czytać można analizy, jaka ilość informacji dostępna jest w sieci. W 2013 roku Federalna Komisja Handlu (FTC) nałożyła karę na producenta kamer IP TRENDnet na "wystawianie na publiczny widok poprzez Internet prywatnych żyć setek klientów". Jak szacuje Dan Tentler aktualnie, takich niezabezpieczonych strumieni są miliony. Łatwo odkryć je z pomocą wyszukiwarki i należy pamiętać - ta liczba będzie rosła. Dlaczego?

    Przekleństwo minimalnej rentowności produktów

    Jak mówi specjalista, Dan Tentler, producenci kamer internetowych ciągle się ścigają, próbując osiągnąć jak najmniejszą cenę. Klienci nie postrzegają wartości w bezpieczeństwie czy prywatności, czego rezultat jest prosty - nie chcą za nią płacić. Dlatego też, aby zwiększać zyski producenci muszą ciąć koszty i to mocno - kamery IP da się kupić już za 15 funtów czy 20 dolarów. Tentler komentuje: "Konsumenci mówią: 'nie musimy wiedzieć nic na temat bezpieczeństwa'. Sprzedawcy z drugiej strony nie chcą ich o tym informować, bo to kosztuje".

    Jeśli klienci dokonywaliby świadomego wyboru, być może sytuacja byłaby inna. Jednakże ich wybór nie jest świadomy - większość klientów nie zdaje sobie sprawy z konsekwencji zakupu słabo zabezpieczonych urządzeń IoT, a są one ogromne. Nie chodzi tutaj już nawet o samą prywatność, ale o bezpieczeństwo sieci jako-takiej. Co jeżeli botnety będą w stanie zarażać kamery IP i wysyłać z nich ataki DDoS? Co jeżeli niezabezpieczone kamerki internetowe pozwolą infekować wirusami całą sieć domową w inteligentnym mieszkaniu? W sytuacji, gdy dosyć stare wirusy, jak Conficker.B z 2008 roku są w stanie infekować policyjne kamery w 2015 toku, taka sytuacja wydaje się realna.

    Scott Erven, specjalista od bezpieczeństwa sieciowego mówi: "Szerszy obraz jest taki, że nie chodzi tutaj tylko o prywatność, a o ogólne bezpieczeństwo sieci IoT. Wraz ze wzrostem ilości połączeń pomiędzy systemami, gdy zainfekowane zostaną systemy odpowiedzialne za bezpieczeństwo publiczne czy ludzkie zdrowie: systemy medyczne, automatyka przemysłowa, infrastruktura drogowa - konsekwencje awarii będą ogromne - o wiele większe niż wyszukiwarka Shodan zaglądająca do dziecięcej kołyski".

    Zauważenie samego problemu oczywiście nie jest takie trudne. Znalezienie rozwiązania jest o wiele trudniejsze. Specjaliści są tutaj zgodni - nie ma co liczyć na świadomość konsumentów. Niezależnie od publikowania setek materiałów, ulotek i artykułów na ten temat, jak łatwo zauważyć - tłumaczenie ludziom nic nie daje. Jak uważa Tentler, jedyne co da pozytywne rezultaty jest zmuszenie producentów do produkcji bezpieczniejszych urządzeń.

    FTC na ratunek?

    Jeśli chodzi o przymuszanie do czegokolwiek producentów sprzętu, to w USA najlepiej jest zdać się na Federalną Komisję Handlu - FTC. Maneesha Mithal, dyrektor działu prywatności FTC w wywiadzie sama wymienia kilka przykładów, gdy Komisja działała w sprawie zapewnienia większego bezpieczeństwa poprzez eliminowanie błędów producentów (czy też przymuszanie ich samych do tego). Mithal mówiła, że FTC zajęło się ponad 50 sprawami związanymi z brakiem bezpieczeństwa w urządzeniach lub serwisach sieciowych. Jak tłumaczy, FTC angażuje się przeciwko firmom, które wykorzystują nieuczciwe lub niejasne praktyki ze szkodą dla klientów. Wlicza się w to też brak odpowiednich zabezpieczeń urządzeń IoT.

    "Wiadomość, jaka idzie z FTC do producentów jest jasna: firmy nie mogą poświęcać bezpieczeństwa dla szybkości wprowadzenia nowego produktu na rynek. Jeśli produkt nie jest odpowiednio zabezpieczony - łamie prawo" - mówi Mithal.

    Oprócz sprawy przeciwko firmie TRENDnet, FTC prowadziło także postępowanie przeciwko innym producentom sprzętu IoT w styczniu zeszłego roku, podczas którego nawoływało do implementacji systemów zabezpieczeń na poziomie fazy projektu systemu, a nie na końcu, jako dodatku. Producenci powinni szkolić swoich pracowników tak, aby w pełni rozumieli oni zagadnienia związane z bezpieczeństwem. Jak stwierdza FTC - producent odpowiedzialny jest także za dbanie o bezpieczeństwo produktu przez cały cykl jego życia. Pozwoli to na zmniejszenie ryzyka związanego z bezpieczeństwem systemów IoT.

    Za tymi górnolotnymi sugestiami idą także działania. FTC wydaje oficjalne poradniki i organizuje warsztaty, które pozwalają lepiej nastawić się do zapewniania bezpieczeństwa. Jak mówi Erven, póki co, są to tylko ostrzeżenia dla producentów, nie prawne wytyczne. Za ostrzeżeniami powinny iść konkretne regulacje prawne, mówiące jakie konsekwencje spotkają firmy, które nie implementują odpowiednich zabezpieczeń w swoich urządzeniach.

    Być może jest już za późno, aby uniknąć konieczności stworzenia rozwiązań prawnych. FTC wystąpiło już do Kongresu o ustanowienie odpowiednich aktów prawnych, umożliwiających im nakładanie kar na firmy, które nie spełniają wymogów bezpieczeństwa swoich urządzeń. Zapisy prawne miałyby koncentrować się nie na samej technologii - ustawy mówiące "musisz implementować firewall i taki a taki rodzaj szyfrowania" są bez sensu. FTC chce formułować akty raczej w kontekście poziomu bezpieczeństwa tak, żeby były one aktualne wraz z postępem technologii.

    A może podejście konsumenckie?

    Wiele osób uważa, że rygorystyczne wymogi prawne zahamują rozwój sektora IoT i zmniejszą jego innowacyjność. Czy alternatywy, takie jak konsumenckie systemy oceny (Which? w UK czy Consumer Reports w USA) są w stanie rozwiązać problem z bezpieczeństwem w sieciach IoT?

    Rozwiązaniem tego rodzaju byłoby powierzenie państwowej instytucji oceny poziomu bezpieczeństwa urządzeń. Dzięki temu nabywcy byliby poinformowani o jakości nabywanego urządzenia i jego bezpieczeństwie. Tak robi się z samochodami, gdzie działają organizacje takie jak NCAP w Europie i NHTSA w Stanach, nadające gwiazdki za bezpieczeństwo. Nie trzeba być specjalistą, aby na ich podstawie zrozumieć, jakie auto jest lepsze.

    Jak zauważa Erven - problemem jest tutaj świadomość klientów. Aby podejmowali oni decyzję na podstawie poziomu zabezpieczenia systemów, muszą oni mieć elementarne zrozumienie zabezpieczeń układów jako-takich. Być może niedługo uda się sprawdzić, jak jest w rzeczywistości. Organizacja "I Am The Cavalry" pracuje już nad stworzeniem pięciogwiazdkowej skali bezpieczeństwa systemów IoT. Pozwoli to na szybką ocenę, jakie urządzenie jest bezpieczniejsze i nie będzie wymagało znania detali technicznych sieci. IATC opracowała pewne wstępne kryteria, oto one:

    Bezpieczeństwo

    Domyślnie bezpieczne
    * Żadne domyślne czy słabe hasła nie powinny być współdzielone pomiędzy urządzeniami.
    * Wszystkie domyślne hasła powinny być generowane z wykorzystaniem wysokiej jakości generatorów losowych.
    * Zaawansowane funkcje, wykorzystywane przez niewielki odsetek użytkowników (takie jak VPN czy zdalny dostęp do konfiguracji) powinny być wyłączone.

    Bezpieczny projekt
    * Firmware powinno być zabezpieczone przed dostępem.
    * Firmware i hardware sprzętu powinien być zabezpieczony przed dostępem.
    * Wszystkie interfejsy GPIO, UART, JTAG i inne powinny być wyłączone w wersjach produkcyjnych.
    * Pamięci NAND powinny być zabezpieczone przed możliwością wylutowania i odczytania w zewnętrznym układzie.

    Bezpieczne samodzielnie
    * Urządzenia nie mogą polegać na bezpieczeństwie infrastruktury sieciowej, wręcz odwrotnie - powinno zakładać się, że nie jest ona wcale zabezpieczona.
    * Komunikacja pomiędzy urządzeniami powinna być szyfrowana.

    Prywatność

    * Prywatne informacje klienta nie mogą być przesyłane do producenta.
    * Dane dotyczące wykorzystania urządzeń przez poszczególnych klientów nie powinny być udostępniane firmom trzecim.
    * Dane powinny być anonimizowane tak, aby uniemożliwić wyśledzenia na podstawie statystyk używania urządzeń poszczególnych użytkowników.
    * Polityka zbierania danych przez producenta powinna być jawna.

    Firmy zachęcane będą do wysyłania do IATC prototypów swoich urządzeń wraz ze wskazaniem, do jakiej gwiazdki aspirują. Urządzenia będą badane tak, aby sprawdzić, czy istotnie zapewniają one założony poziom bezpieczeństwa.

    Warto dodać, że nad analogicznym projektem pracują Siły Zbrojne USA. Projekt prowadzony przez Peitera “Mudge” Zatko realizowany jest dzięki finansowaniu z DARPA wynoszącemu prawie pół miliona dolarów. Zatko jest byłym hakerem, członkiem grupy L0pht. Aktualnie pracuje on nad Niezależnym Laboratorium Cybertestowania - CITL. Ma ono tworzyć, podobnie jak IAMTC, konsumenckie "recenzje" produktów, pod kątem ich bezpieczeństwa w sieci.

    Czy tyle wystarczy, aby ustrzec się ataków?

    Z pewnością kombinacja uregulowań prawnych oraz system konsumenckiej oceny systemów IoT pozwoli na zwiększenie bezpieczeństwa sieci. Jednakże Internet jest jak pole minowe - oczywiście wykrywacz min, w postaci uregulowań prawnych czy testów urządzeń jest warty zachodu, ale pamiętać trzeba, że odpowiednio zdeterminowany haker jest w stanie przebić się przez dowolne zabezpieczenia.

    Niektórzy specjaliści jak Robert Graham, sceptycznie odnoszą się do pomysłów oceniania urządzeń sieciowych. Graham mówi wręcz, że to pomysł głupi. Ocena klasycznych urządzeń ma nas ustrzec przed przypadkowymi awariami, a w systemach sieciowych awarie - ataki - nie są przypadkowe, tylko dokładnie zaplanowane. To nie jest nawet kwestia jakości produktów, model poprawy bezpieczeństwa Internetu musi być zupełnie inny niż ma to miejsce, np. z samochodami, w które nikt intencjonalnie nie wjeżdża swoim pojazdem. Opisane powyżej inicjatywy, według Grahama, zrobią niewiele dobrego, kosztem dodania ogromnej biurokracji.

    Najlepiej jednak podsumował to cytowany już wcześniej Erven: "Nasza zależność od nowoczesnej technologii rośnie szybciej niż nasze zdolności zapewnienia bezpieczeństwa". Tak więc musimy być przygotowani na wiele przykrych wpadek w sektorze IoT związanych z brakiem bezpieczeństwa. A póki co - zabezpieczcie mocnymi hasłami Wasze kamery w sypialniach i pokojach dziecięcych.

    Źródło: http://arstechnica.com/security/2016/01/how-to-search-the-internet-of-things-for-photos-of-sleeping-babies/
    O autorze
    ghost666
    Tłumacz Redaktor
    Offline 
    Fizyk z wykształcenia. Po zrobieniu doktoratu i dwóch latach pracy na uczelni, przeszedł do sektora prywatnego, gdzie zajmuje się projektowaniem urządzeń elektronicznych i programowaniem. Od 2003 roku na forum Elektroda.pl, od 2008 roku członek zespołu redakcyjnego.
    https://twitter.com/Moonstreet_Labs
    ghost666 napisał 11960 postów o ocenie 10197, pomógł 157 razy. Mieszka w mieście Warszawa. Jest z nami od 2003 roku.
  • #3 15401325
    Konto nie istnieje
    Poziom 1  
REKLAMA