You are here
Home > Novosti > Sigurnost Interneta stvari (IoT)

Sigurnost Interneta stvari (IoT)

Svjedoci smo socijalnih interakcija i društvenog razvoja koji u posljednje vrijeme najviše ovise o internetu koji nam omogućava komunikaciju, interakciju, rad i učenje. Razvoj komunikacijske tehnologije i tehnologije poluvodiča, a time i  mikrokontrolera usporedno s razvojem interneta omogućio je povezivanje svih fizičkih uređaja u koje su ugrađeni razni senzori i aktuatori na internet što predstavlja Internet stvari ili IoT (eng. Internet of Things).

 

Ovo povezivanje uređaja u Internet stvari, iako predstavlja učinkovitije i brže korištenje raznih sustava, zahtijeva i naše podatke (datume rođenja, adrese i druge podatke) bez kojih putem internetske veze ne bi bila moguća razmjena informacija s drugim uređajima ili nekom udaljenom bazom podataka. Zato nam je važna sigurnost sustava Interneta stvari, ali i osobnih podataka koje u njemu razmjenjujemo i ostavljamo.

 

 

Što je Internet stvari?

Ne postoji jedinstvena definicija što je to Internet stvari i one se razlikuju ovisno o perspektivi iz koje se promatraju i širini pogleda na procese koji se događaju, ali većina se odnosi na spajanje uređaja koje koristimo svakodnevno na internetu u svrhu mjerenja, prikupljanja, pohrane i razmjene podataka s ostalim ‘stvarima’ i ljudima. Internet stvari daje mogućnost automatiziranja velike većine poslova i svakodnevnih aktivnosti, a “stvar” u Internetu stvari može biti doslovno svaki uređaj u stvarnom životu, od osobnog računala, pametnih telefona, automobila, strojeva, kućanskih aparata pa do vrata, prozora, namještaja i svega ostaloga što čovjek može zamisliti.

 

 

Izazovi za Internet stvari

Predviđa se da će još u ovoj, 2020. godini, biti 20 do 50 milijardi internetom povezanih “stvari”. To svakako predstavlja izazove tehničke prirode, poput sigurnosti, pouzdanosti, kompleksne integracije i operabilnosti te standardizacije svih sustava, ali postoji i psihološki problem kao što je pitanje korisničkog prihvaćanja Interneta stvari.

 

Izazov predstavljaju i prijetnje Internetu stvari. OWASP projekt (eng. Open Web Application Security Project) koji je nastao kao rezultat rada sigurnosnih stručnjaka s ciljem otkrivanja postojećih ranjivosti i pružanja smjernica u osiguravanju web aplikacija započeo je 2014. godine s istraživanjem sigurnosti Interneta stvari. Rezultati istraživanja trebali bi utjecati na stvaratelje i korisnike Interneta stvari i potaknuti ih na donošenje boljih odluka pri razvijanju Interneta stvari, ali i pri njihovom korištenju. OWASP je 2018. godine izdao dokument „OWASP IoT Top 10“ u kojem navode deset stvari koje treba izbjegavati prilikom izgradnje, implementacije, korištenja i održavanja IoT sustava:

 

1. Slabe ili predefinirane lozinke

Korištenje slabih lozinki ili predefiniranih lozinki koje napadači mogu pronaći na internetskim stranicama samog proizvoda ili doći do njih nekom od hakerskih metoda kao što je Bruteforce metoda (pogađanje lozinki).

Prema britanskoj sigurnosnoj kompaniji Sophos 10 najkorištenijih lozinki u IoT sustavima su 123456, admin, 1234, password, 12345, ubnt, root, 123, [blank] raspberry.

 

2. Nesigurne mrežne usluge

Veliku prijetnju predstavljaju nepotrebne ili nesigurne mrežne usluge koje se pokreću na samim uređajima, a napadači ih jednostavno mogu otkriti i iskoristiti za udaljeni pristup ili izvršavanje drugih zlonamjernih radnji. Posebno su ranjive one usluge direktno spojene na Internet koje ugrožavaju povjerljivost, integritet ili dostupnost informacija ili dopuštaju neovlašteno daljinsko upravljanje.

 

3. Nesigurno sučelje ekosustava

Nezaštićene web stranice, sučelja API-ja (eng. Application Programming Interface – aplikacijsko programsko sučelje), oblak ili mobilna sučelja u ekosustavu izvan uređaja koji dopuštaju kompromitiranje uređaja ili njegovih povezanih komponenti predstavljaju značajnu prijetnju. Uobičajeni problemi uključuju nedostatak autentifikacije / autorizacije, nedostatak ili slabe lozinke te nedostatak filtriranja ulaznih i izlaznih podataka.

 

4. Nedostatak mehanizma ažuriranja

Nedostatak mogućnosti sigurnog ažuriranja uređaja uključuje nedostatak provjere valjanosti firmware-a na uređaju, nedostatak mehanizama za vraćanje u početni položaj i nedostatak obavijesti o sigurnosnim promjenama zbog ažuriranja.

 

5. Korištenje nesigurnih ili zastarjelih komponenti

Korištenje zastarjelih ili nesigurnih softverskih komponenti / biblioteka koje omogućuju kompromitiranje uređaja. To uključuje nesigurno konfiguriranje operacijskog sustava te korištenje softverskih ili hardverskih komponenti trećih strana iz nepouzdanih izvora.

 

6. Nedovoljna zaštita privatnosti

Osobni podaci korisnika pohranjeni na uređaju ili u ekosustavu koji se koriste nesigurno, nepropisno ili bez dopuštenja.

 

7. Nesiguran prijenos i pohrana podataka

Nedostatak enkripcije ili kontrole pristupa osjetljivim podacima bilo gdje unutar ekosustava, uključujući u mirovanju, u prijenosu ili tijekom obrade.

 

8. Nedostatak upravljanja uređajem

Nedostatak sigurnosne podrške na uređajima koji se koriste u IoT sustavima od proizvodnje do nadzora sustava.

 

9. Nesigurne zadane postavke

Uređaji ili sustavi isporučuju se s nesigurnim zadanim postavkama ili ne dopuštaju da korisnik sam postavlja sigurnosna ograničenja ili mijenja konfiguracijske postavke.

 

10. Nesigurnost fizičkog pristupa

Nedostatak kontrole fizičkog pristupa pojedinim dijelovima sustava omogućuju napadačima da dođu do osjetljivih podataka ili preuzmu kontrolu nad sustavom.

 

 

Neki primjeri napada i njihove posljedice 

DDOS (eng. Distributed Denial of Service) je vrsta napada koja koristi veliki broj zaraženih računala (eng. botnet) pomoću kojih se uskraćuje pristup nekom Internet servisu učestalim ponavljanjem zahtjeva za neki od resursa koji servis nudi. Ovakva vrsta napada u prošlost je najčešće bila ostvarena pomoću računala, a zadnjih par godina napadi su se počeli izvršavati pomoću ostalih uređaja povezanih na internet. Osim napada na web stranice, DDOS napadi mogu imati izrazito negativan utjecaj u slučaju napada na dio mrežne infrastrukture koji je zadužen za neki proizvod, npr. usluge u oblaku koje služe za pohranu podataka. Uređaji koji koriste takve usluge postaju neupotrebljivi jednom kada je neka od usluga u oblaku napadnuta.

Mirai je jedan od primjera koji je koristio IP kamere i usmjernike (eng. router) kako bi onemogućio pristup stranici novinara Briana Krebsa koji se bavi računalnom sigurnošću. Zlonamjerni kod je skeniranjem interneta pronalazio uređaje koji su ranjivi tj. uređaje koji su koristili predefinirana korisnička imena i lozinke za udaljeni pristup. Mrežni resursi zaraženih uređaja bili su korišteni čime je bilo generirano 1 Tbit/s prometa prema francuskom pružatelju usluge udomljavanja internetskog sadržaja u drugom napadu.

 

Stuxnet je zlonamjerni program koji je napadao Siemens PLC uređaje. Tražio bi PLC uređaje nakon što bi se smjestio na računala s Windows operacijskim sustavom. Računalna mreža preko kojih su računala i PLC uređaji komunicirali bila je fizički odvojena od ostatka interneta i drugih računalnih mreža kako bi bila zaštićena. Usprkos tome napad je proveden pomoću USB uređaja za pohranu podataka koji je sadržavao zlonamjerni kod. Zlonamjerni program napadao je PLC uređaje kako bi pomoću njih povećao broj okretaja uređaja za centrifugiranje što je dovelo do raspada konstrukcije koja se nalazila oko uređaja zbog jakih vibracija.

 

Srčani elektrostimulatori se smatraju nesigurnima jer uređaji koji služe njihovom podešavanju (programeri srčanih elektrostimulatora) ne koriste lozinke kako bi se zaštitili od neovlaštene uporabe niti koriste ikakvu formu autentifikacije za pristup samome srčanom elektrostimulatoru, a većina programera će raditi s ostalim uređajima ako je i jedan i drugi uređaj proizveo isti proizvođač. Ovo je problem jer programeri srčanih elektrostimulatora više ne zahtijevaju malu udaljenost od srčanog elektrostimulatora kako bi komunicirali, a napadači mogu čitati podatke koje on sadržava ili ga reprogramirati.

 

U posljednjih nekoliko godina istražuje se sigurnost novih automobila. U tim istraživanjima otkrivene su razne ranjivosti koje su napadačima omogućile udaljeno upravljanje automobilima kao što je aktiviranje kočnica, upravljanje volanom i preuzimanje ostalih kontrola koje omogućavaju upravljanje automobilom. Prilikom sigurnosnih testiranja nekih od tipova električnih vozila istraživači iz područja sigurnosti uspjeli su preuzeti glavne upravljačke funkcije nad automobilom poput zaključavanja i otključavanja vrata te pokretanja i zaustavljanja automobila.

 

Preporuke za dizajn sigurnog okruženja Internet stvari

Samom dizajnu treba pristupiti minimalistički tj. treba osigurati korištenje isključivo nužnih  komponenti i protokola za obavljanje primarne funkcije. Prilikom odabira komponenti treba paziti od koga ih kupujemo. Preporuka je da su to poznati proizvođači s dobrim recenzijama. Fizički pristup napadaču ne bi trebao omogućiti otkrivanje informacija pomoću dostupnih sučelja.

 

Dobar mehanizam automatskog preuzimanja ažuriranja jedna je od preporuka koja bi se trebala provesti iz više razloga. Sve ranjivosti koje budu otkrivene na ovaj način mogu biti uklonjene bez potrebe da korisnik sam vrši ažuriranja jer obično korisnik nije svjestan da je ranjivost prisutna, a samim time je ažuriranje obavljeno čim su sigurnosne zakrpe izdane te implementirane. Prilikom ažuriranja je bitno koristiti kriptografiju u svrhu osiguravanja mrežne veze i digitalnog potpisivanja samog ažuriranja jer su se u prošlosti pojavili napadi koji su iskorištavali mehanizam ažuriranja kako bi napadač dostavio lažne nadogradnje koje su mu kasnije ostvarile neautorizirani pristup (backdoor).

 

S razine mrežne infrastrukture unutar koje se uređaj nalazi moguće je odraditi većinu sigurnosnih kontrola koje povećavaju sigurnost koje ne ovise o samom proizvođaču uređaja. Korištenje sigurnosnih ekstenzija za postojeće protokole koje garantiraju povjerljivost, integritet i autentičnost podataka. Nadzor uređaja s razine mrežne infrastrukture može ukazati izvršava li se napad s tog uređaja, koristi li vrstu prometa koju takav uređaj uobičajeno ne koristi i slično.

 

 

Zaključno

Iako je internet stvari još uvijek relativno nov pojam velike tvrtke ga već duže vremena koriste u svojem poslovanju pošto si mogu priuštiti takve relativno skupe, ali isplative sustave. Takva situacija će se ubrzo promijeniti te jer će potražnja za internet stvarima običnih ljudi porasti, a time će se i cijena takvih uređaja sniziti i postati dostupnija na tržištu.

 

Potrebno je podizati svijest korisnika da korištenje takvih sustava olakšava život pojedinca, ali uz cijenu oduzimanja dijela privatnosti. Ljudima nije problem pružiti neke osobne informacije u svrhu poboljšanja života, no žele biti sigurni da se te informacije neće koristiti ni u kakve druge svrhe.

 

Sigurnost Interneta stvari većinom je odgovornost samih proizvođača koji trebaju razmišljati o mogućim posljedicama uzrokovanih kompromitacijom sustava koji imaju dodir s ljudima i stvarima koje nas okružuju. No ne smije se zanemariti ni ljudska pogreška samog korisnika prilikom korištenja takvih sustava.

Reference:

IERC-European Research Cluster on the Internet of Things

Worldwide and Regional Internet of Things (IoT) 2014–2020: Forecast: A Virtuous Circle of Proven Value and Demand

Internet of Everything: The IoT Market Is Projected to Expand 12x from 2017–2023

OWASP Internet of Things

Mirai (malware)

Stuxnet

Understanding Pacemaker Systems Cybersecurity

Top
More in Novosti
Koliko smo duboko zagazili u kibernetički prostor? To nam pokazuje naš digitalni trag.

Svaki put kada pristupamo internetu, služimo se društvenim mrežama, plaćamo online, čitamo novosti na portalima, objavljujemo slike ili sudjelujemo u...

Close