Torek, 21. 11. 2017, 15.03
4 leta, 11 mesecev
Ali se internet stvari lahko prelevi v internet računalniških groženj?
Kruta resnica: proizvajalcem zabavne elektronike za računalniško varnost preprosto ni mar
Skrbi za računalniško varnost ne moremo preložiti na druge, enako kot ne more gradbinec skrbeti za naš stanovanjski prostor, ko se vanj vselimo, opozarja švedski strokovnjak računalniške varnosti David Jacoby.
Internet stvari je danes ena od najbolj vročih tem informacijske tehnologije. Najpreprosteje povedano gre za trend, da se najrazličnejše naprave, tudi takšne, ki jih še pred kratkim nismo povezovali z računalništvom in telekomunikacijami, povezujejo z internetom, ta povezanost pa omogoča številne nove funkcionalnosti, ki si prizadevajo olajšati naš vsakdan.
Ogromno novih povezanih raznovrstnih naprav pa je žal tudi priložnost za računalniške nepridiprave, ki tako dobijo nove možnosti za svoje vdore. Kako lahko zagotovimo, da internet stvari ne postane internet groženj in napadov?
Med svojimi zadolžitvami v domačem Stockholmu ima tudi vlogo tehničnega predavatelja in evangelista, sicer pa so njegova strast računalniške grožnje in ranljivosti tudi s socioloških in psiholoških vidikov. Nazadnje smo ga srečali v irski prestolnici na konferenci o izzivih računalniške varnosti Cyber Security Weekend: Kaspersky Next, kjer smo po njegovem predavanju našli čas za ta pogovor.
David Jacoby je starejši varnostni raziskovalec v oddelku za svetovne raziskave in analize pri podjetju za računalniško varnost Kaspersky Lab. Pridružil se jim je pred sedmimi leti po dolgih letih dela v drugih podjetjih za računalniško varnost, kjer se je med drugim usmerjal tudi na uporabniško izkušnjo. Doma je iz Stockholma, a svoje delo, ki obsega tudi tehnična predavanja, opravlja praktično po vsej Evropi, predvsem v Skandinaviji in državah Beneluksa. Zakaj je pomembno ščititi naprave, povezane z internetom, tudi takrat, ko ima uporabnik vse svoje pomembne podatke na osebnem računalniku ali pametnem telefonu, kjer je ustrezno poskrbel za računalniško zaščito?
Ne smemo razmišljati samo o tradicionalni zaščiti datotek. Kaj pa omrežni promet? Vse naprave, povezane v internet stvari, so pravzaprav majhni strežniki. Imajo operacijski sistem, shrambo, diskovni prostor, omrežne kartice, zato so v napačnih rokah zmožni izvajati nadaljnje napade.
Koliko je za to odgovoren lastnik oziroma uporabnik naprave, povezane v internet stvari?
Predstavljajte si samo en preprost in nazoren primer. Nekdo vam na takšno napravo naloži otroško pornografijo. Še več, potem objavi, da je ta na voljo na tem strežniku. Za to razpečevanje boste lahko odgovarjali, ker je vaša naprava, vaša IP-številka. Tega si res ne želite.
Pomislite tudi na botnete, ki bi lahko na primer ugasnili elektriko ali računalnike v polovici Evrope. Morda ti ne prizadenejo neposredno vas kot lastnika naprave, a ste vendarle del neke večje zgodbe. Ti botneti sicer imajo dostope do več sto tisoč kompromitiranih naprav, in če je samo ena od teh vaša, ste še vedno del te težave. Vaša naprava je ranljiva in nezaščitena, a ne gre samo za vas kot posameznika ter vaše slike in podatke. Nepridipravi uporabljajo vaše naprave kot posredni strežnik za napade in druga nedovoljena dejanja. Ali si res želite biti del te težave?
Kako torej pri sebi doma zaščititi naprave v internetu stvari?
Priporočam ločevanje omrežja za internet stvari od omrežja za redno računalniško uporabo. Oprema, ki to omogoča, stane le nekaj deset evrov. Naj bo v omrežju interneta stvari prepovedano vse, kar ni izrecno dovoljeno - tisto, kar je res nujno potrebno. Poskrbite za ustrezno kriptiranje podatkov z ustreznimi ključi.
"Proizvajalci različnih naprav zabavne elektronike preprosto niso strokovnjaki računalniške varnosti in računalniška varnost ni njihova skrb. Oni delajo naprave."
Kaj narediti, če hekerji vendarle prevzamejo nadzor nad neko domačo napravo? V nasprotju z računalniki za številne naprave nimamo ustreznih orodij za čiščenje …
Predpostavimo, da so prevzeli nadzor nad vašim televizorjem. Vse, kar kot potrošnik lahko naredite, je, da blokirate omrežni promet. Posledic napada ne znate ali ne more odstraniti, ker najbrž niti ne veste, kako se je napad zgodil in kako je uspel. Menim, da je še tako majhen korak boljši kot nič.
Zakaj proizvajalci povezanih naprav ne poskrbijo bolje za ustrezno računalniško in omrežno varnost?
Zelo dobro vprašanje, na katerega žal nimam dobrega odgovora. Ko v svojih raziskavah odkrijem kakšno ranljivost ali pomanjkljivost na povezanih napravah, vedno obvestim proizvajalce, ti pa mi največkrat odgovorijo, da s tem ni nič narobe. Kot pravijo, gre za zastarelo napravo, njihova nova naprava, ki jo je nasledila, pa morda nima več te ranljivosti.
"Ne smemo razmišljati samo o tradicionalni zaščiti datotek. Kaj pa omrežni promet?" opozarja Jacoby.
Morda?
Da, morda! Eden od teh proizvajalcev mi je celo poslal novo napravo, ko sem jo preizkusil, pa sem ugotovil, da prijavljene ranljivosti sicer res ni več, a je imela nova naprava kup drugih ranljivosti. Težava je, da proizvajalci različnih naprav zabavne elektronike, Sony, LG, Panasonic in mnogi drugi, preprosto niso strokovnjaki računalniške varnosti in računalniška varnost ni njihova skrb. Oni delajo naprave.
Pa bi najbrž morala biti?
Zavedajo se težave, ampak jim ni mar. Zakaj bi jim bilo?
"Velika težava je, da na trgu obstaja ogromno različic in podrazličic ene in iste naprave. Če od istega proizvajalca kupite isti model pametnega televizorja v Sloveniji in na Švedskem, se lahko zgodi, da sta različna."
Morda zato, ker uporabniki niso zadovoljni!
Kaj pa lahko naredijo? Nič! Namestijo novo programsko opremo (firmware)? Je ni!
Proizvajalci naprav bi jo lahko razvili!
Lahko bi jo, pa je ne. Koliko star je pametni televizor, ki ga imate doma? Pet let? Posodobitve so prenehali razvijati nekje od šest do 12 mesecev po tem, ko so ga začeli proizvajati, ne pa po tem, ko ste ga vi kupili! Morda ste ga kupili šele takrat, ko je bilo podpore konec, in vaš popolnoma nov televizor takrat pravzaprav sploh ni bil več nov!
Torej lahko sklepamo, da nismo na tekočem niti, če smo namestili najnovejše dostopne popravke in nadgradnje?
Tudi če ste ga posodobili na najnovejšo različico, ne veste, koliko je ta zares stara in ali je v njem sploh varnostni popravek ali zgolj varovanja nekih pravic, ki vam preprečujejo gledanje filmov, ki ste jih prenesli z interneta. O, to znajo dobro zaščititi, o računalniški varnosti pa vedo bolj malo.
"Tudi če ste svoj pametni televizor posodobili na najnovejšo različico, ne veste, koliko je ta zares stara in ali je v njem sploh varnostni popravek ali zgolj varovanja nekih pravic, ki vam preprečujejo gledanje filmov, ki ste jih prenesli z interneta. O, to znajo dobro zaščititi, računalniški varnosti pa vedo bolj malo."
Če prodajajo neki izdelek po vsem svetu, bi pa res lahko poskrbeli, da je ta odporen proti napadom računalniških kriminalcev …
Ni tako preprosto. Velika težava je, da na trgu obstaja ogromno različic in podrazličic ene in iste naprave. Če od istega proizvajalca kupite isti model pametnega televizorja v Sloveniji in na Švedskem, se lahko zgodi, da sta različna. Morda so pri nekih napravah izvedbene razlike v vsaki državi, zato bi morali za razvoj ustrezne računalniške zaščite tega modela narediti preizkuse v vseh državah, na vseh različicah. Tega ni in ne bo. Stroškov, ki bi ob tem nastali, proizvajalci preprosto niso pripravljeni kriti.
Koliko časa bi morali proizvajalci zagotavljati ustrezno podporo z nadgradnjami in posodobitvami za svoje izdelke zabavne elektronike?
Najdlje, kot si lahko privoščijo. Koliko pa naj? Prav televizorji so dober primer za prikaz razmer, kajti kako pogosto doma menjavate svoj televizor? Na pet let, sedem let? Obdobje je dolgo, proizvajalci, ki pri televizorjih že zdaj izgubljajo denar, pa nimajo nobene motivacije, da bi to obdobje podaljšali. To bi jim podražilo izdelek, česar nočejo. Koliko stanejo najcenejše elektronske varuške? 50 evrov? Ali mislite, da boste za ta denar lahko dobili tudi dve leti nadgradenj in popravkov?
"Vem, da na ravni Evropske unije obstaja pobuda, da bi se za naprave v internetu stvari naredilo nekaj podobnega glede standardov in zahtev, kot že imamo v avtomobilski industriji, a nekdo to mora narediti, ustvariti, vpeljati, kar bo trajalo še dolgo časa. A že obstoj takšne pobude je nekaj izjemno pomembnega in velikega za končne uporabnike."
Kaj lahko potem sploh naredimo mi kot potrošniki, kaj lahko naredijo proizvajalci?
Sanjski scenarij bi bil, da zakonodaja postavi določene zahteve, kot jih je, na primer, postavila pri avtomobilski industriji. Za današnje avtomobile obstajajo strogi predpisi glede zahtevane varnosti, zahtevani so mnogi certifikati, vse mora biti vrhunsko. Podobno bi moralo biti za naprave interneta stvari. Morali bi predpisati, da se gesla ne posredujejo nekriptirano, opredeliti najmanjše obdobje podpore z nadgradnjami in posodobitvami, zahtevati takojšnjo menjavo uporabniškega gesla … Sami ste si krivi, če ohranite kombinacijo admin/admin in vam nekdo udre v napravo.
Kdo bi moral postaviti te standarde?
Vlade. Isti ljudje, ki postavljajo standarde v avtomobilski industriji. Vem, da na ravni Evropske unije obstaja pobuda, da bi se za naprave v internetu stvari naredilo kaj takega, a nekdo to mora narediti, ustvariti, vpeljati, kar bo trajalo še dolgo časa. A že obstoj takšne pobude je nekaj izjemno pomembnega in velikega. Ko bo potrošnik na spletni kameri, na primer, zagledal oznake nekega certificiranja, bo lahko vedel, da je na tej napravi vsaj neka zagotovljena raven računalniške varnosti.
"Priporočam ločevanje omrežja za internet stvari od omrežja za redno računalniško uporabo. Oprema, ki to omogoča, stane le nekaj deset evrov."
Torej smo pri skrbi za računalniško varnost prepuščeni izključno sami sebi?
Seveda! Mi kupujemo izdelek, mi ga uporabljamo. Pri vsem je enako. Menda ne pričakujete od gradbinca, da bo skrbel za vaše stanovanje oziroma hišo, ko se enkrat vselite vanjo? Enako je z elektroniko. Ko enkrat kupimo izdelek, moramo zanj ter njegovo varno in smotrno uporabo poskrbeti sami!
Ali se boste z varnostjo v internetu stvari v bližnji prihodnosti ukvarjali še več?
Ugotavljam, da je tako, a bi obenem rad poudaril, da se nočem zaplezati zgolj v raziskave okrog interneta stvari, ker so na področju računalniške varnosti še številne druge zanimive in pomembne teme.