Pe cât de faină e ideea de a avea milioane (miliarde) de device-uri interconectate pe atât de periculoasă se pare că va fi situația în care acest lucru se va și întâmpla: aparatele din Internet of Things au probleme mari de securitate, ne spune HP. Un studiu Fortify ce a avut în vedere 10 dintre cele mai populare aparate catalogate ca făcând parte din Internet of Things (nu știm cu exactitate care) arată că în ele există cam 250 de probleme de securitate, cam 25 pentru fiecare în parte. Multe dintre ele putând facilita hackerilor accesul la informații personale.
De la periuțe de dinți, la termostate, smart TV, webcam, sisteme de automatizare a caselor, alarme, uși de garaj etc., toate sunt dispozitive inteligente, conectate la internet și care au probleme. Majoritatea apar din cauza faptului că pentru ele sunt folosite versiuni de Linux cu o structură minimală. Asta nu ar trebui să însemne automat (așa cum ne sugerează studiul Fortify) că trebuie să aibă și probleme de securitate.
Cu toate astea se întâmplă: Mike Armistead, VP and general manager of HP’s Fortify, motivează existența problemelor de securitate ca urmare a grabei cu care aceste produse sunt aduse pe piață în detrimentul unor teste serioase de securitate și a implementării unor opțiuni avansate de protecție.
De la un aparat compromis se poate ajunge ușor la altul și pe rând până la dispozitivul central în jurul căruia gravitează modul nostru de viață – că e telefon, laptop sau PC. Extrapolând puțin, dacă ne gândim că atacul asupra retail-erului Target a pornit de la exploatarea sistemului de ventilație, putem să ajungem rapid la scenarii apocaliptice legate de Internet of Things.
Cred că în momentul de față e mai mult fum decât foc. Cu toate astea, problemele există și de câte ori a fost cazul le-am semnalat și eu: găuri de securitate în router, în smart TV, în console sau sisteme de automatizare casnică. E un pericol real pe care trebuie să îl conștientizăm și să facem totul ca sa îl diminuăm.
Cum facem asta? Înțelegând riscurile la care ne expunem când folosim astfel de aparate și aplicând un set minimal de reguli de protecție.
Studiul Fortify zice așa:
– că 8 din 10 aparate nu necesitau folosirea unor parole mai puternice decât ”1234”
– 7 din aparate nu foloseau comunicarea criptată, treabă ce poate expune datele
– 6 din 10 aparate aveau intefețe susceptibile de a cădea victime unor atacuri de tip cross-site scripting și puteau expune parolele de login
– 6 din 10 nu criptau/semnau update-urile treabă ce ar permite unui atacator să creeze pachete speciale pe care să le deghizeze ca update și să poată fi aplicate împreună cu cod periculos
– în plus, 9 din 10 aparate colectau sau stocau date personale
Gândiți-vă acum că lucrurile de mai sus sunt reale, poate nu în proporția covârșitoare pe care ne-o dă studiul Fortify. Dar dacă aplicăm asta la cele peste 26 de miliarde de aparate din Internet of Things al anului 2020, vă dați seama ce loc de joacă pentru hackeri o să fie?
Asta îmi aduce aminte (din nou) de ce spunea Eugene Kaspersky prin 2003, la conferința Kaspersky de la CeBIT: ”după PC-uri urmează alte aparate inteligente. Industria malware nu va dispărea, sistemele de protecție vor trebui gândite și pentru alte tipuri de dispozitive care rulează software”.
Mare dreptate avea. Deja știu că fac frecvent update la consolă, baby phone, webcam, televizor, router și telefoane/tabletă. În curând o să facem și la termostat, radio/combina audio, sistemul de iluminat, mașina de spălat și aragaz/centrală. Și mai punem firewall pe fiecare dintre ele …
