Tuesday, September 26, 2017
Editie Speciala – Internet of Things

pierluigi

Pierluigi Paganini

Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information Security) Threat Land- scape Stakeholder Group, el este de asemenea Security Evangelist, Security Analyst și Freelance Writer.
Editor-in-Chief la „Cyber Defense Magazine”, Pierluigi este un expert în securitate cibernetică cu peste 20 de ani de experiență în domeniu, este Certified Ethi-
cal Hacker la EC Council în Londra. Pasiunea pentru scris și credința fermă că securitatea se bazează pe împărtășirea de cunoștințe și pe conștientizare l-au de- terminat pe Pierluigi să înființeze blog-ul de securitate „Security Affairs” nominalizat recent ca Top National Security Resource pentru SUA. Pierluigi este membru al echipei „The Hacker News” și scrie pentru mai multe publicații importante din do- meniu, cum ar fi Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine și pentru multe alte reviste de securitate. Autor al cărților „The Deep Dark Web” și „Digital Virtual Currency and Bitcoin”.

autor: Pierluigi Paganini

Introducere
Termenul „Internet of Things” este folosit pentru a desemna orice obiect care poate fi interconectat și identificat în mod unic prin utilizarea unor tehnologii diferite, cum ar fi: NFC, digital watermarking (filigran digital) și cod QR.

Nu este greu să ne imaginăm faptul că în viitorul apropiat fiecare individ va fi echipat cu o serie de dispozitive inteligente care vor schimba informaţii între ele și care vor colecta informaţii din mediul înconjurător. Oamenii ar putea fi conceptual asimilaţi unor clustere de date care trebuie protejate împotriva atacurilor cibernetice și împotriva incidentelor accidentale. În 2020 numărul de dispozitive IoT va fi de peste două ori mai mare decât numărul total de smartphone-uri, PC-uri, tablete, mașini interconectate și purtabile (wearable), așa cum se poate vedea și din imaginea alăturată.

Untitled
Figura 1 – Proliferarea Internet ofThings

Numărul de dispozitive interconectate crește rapid, experţii IT estimează că în 2020 vor exista aproape 50 de miliarde de obiecte inteligente online și că fiecare individ va utiliza în medie mai mult de 6 dispozitive. Paradigma Internet of Things va genera în 2019 o valoare adăugată economiei mondiale de $1,7 trillioane.
Tehnologiile și serviciile care ţin de Internet of Things au generat venituri globale de $4,8 trillioane în 2012 și vor ajunge la $8,9 trillioane în 2020, crescând cu o rată anuală (CAGR) de 7,9%.

Internet of Things este o paradigmă care schimbă abordarea tehnologiei, extinzând suprafaţa de atac. Dispozitivele IoT sunt deja peste tot și din acest motiv industria IT trebuie să ţină cont de problemele de securitate și confidenţialitate. Un studiu recent efectuat de către firma de securitate Veracode a scos în evidenţă faptul că dispozitivele IoT casnice expun utilizatorii la o gamă variată de ameninţări, incluzând furtul de date și sabotaje, iar proliferarea dispozitivelor IoT va avea o influenţă majoră asupra comportamentului uman.

Dispozitivele IoT vor influenţa deplasările indivizilor în zonele urbane pe baza parametrilor atmosferici sau pe baza gradului de congestie de trafic din anumite zone specifice.

Din păcate, în majoritatea cazurilor dispozitivelor IoT au o protecţie de securitate deficitară încă din faza de design, cea mai mare problemă fiind percepţia scăzută asupra ameninţărilor cibernetice.
Infractorii cibernetici, hackerii susţinuţi de state, hack-tiviștii și teroriștii cibernetici pot exploata defectele din arhitectura IoT și pot produce daune extinse în orice industrie. Specialiștii estimează că numărul atacurilor cibernetice împotriva obiectelor inteligente va crește rapid în anii care vor urma.

Dușmanii IoT – mijloace și motivații
Pentru a proteja dispozitivele IoT este important să identificăm principalii actori ai ameninţărilor și motivaţiile lor. Să începem cu analiza categoriilor atacurilor care ameninţă arhitecturile IoT. Din păcate există o mulţime de „băieţi răi” care ameninţă implementarea paradigmei, incluzând infractori cibernetici, entităţi guvernamentale și hackeri motivaţi politic.

Toţi acești actori sunt interesaţi în primul rând de cantităţile uriașe de date pe care le administrează dispozitivele IoT, dar nu putem subestima riscurile unor atacuri cibernetice pentru sabotaje.
Erorile de design în privinţa principiilor fundamentale a securizării IoT pot expune utilizatorii la sabotaje, atacuri ale hackerilor (de ex. atacuri man-in-the-middle (MITM), preluarea controlului asupra reţelei), furt de date și deturnarea funcţionalităţii produselor.

Infractorii cibernetici pot fi interesaţi să fure informaţii sensibile administrate de platformele IoT sau pot fi interesaţi să compromită obiectele inteligente și să le utilizeze în activităţi ilegale, cum ar fi derularea unor atacuri asupra unor terţe entităţi sau mineritul Bitcoin.

Firmele de securitate au depistat deja grupuri de infractori cibernetici care utilizează botneţi alcătuiţi din milioane de dispozitive IoT infectate care derulează atacuri cibernetice împotriva unor firme private.
În mod uzual, „băieţii răi” infectează sau compromit obiecte inteligente configurate necorespunzător, cum ar fi routere, dispozitive SOHO, SmartTV-uri și alte dispozitive IoT.

În mod similar agenţiile de Intelligence sunt interesate să exploateze dispozitivele inteligente pentru a derula campanii de spionaj la scară largă, care utilizează routere, console de jocuri și smartphone-uri pentru a spiona persoanele vizate. Teroriștii cibernetici și hack-tiviștii pot fi de asemenea interesaţi să compromită dispozitivele IoT pentru a fura informaţii sensibile sau pentru a provoca daune extinse.

Care sunt principalele ameninţări cibernetice pentru dispozitivele IoT?
Anul trecut specialiștii de la Symantec au publicat un studiu interesant despre principalele ameninţări cibernetice pentru IoT, grupându-le în următoarele categorii:

  • Denial of service – atacurile DDoS pot viza toate punctele unui scenariu de lucru determinând probleme serioase în reţeaua dispozitivelor inteligente și paralizând serviciul pe care acestea îl furnizează. Ţineţi cont că elementele aparţinând unei reţele IoT sunt ţinta atacurilor care interferează cu modul de operare și de comunicare între dispozitive.
  • Botneți și atacuri malware – Probabil că acesta este scenariul cel mai comun și mai periculos, dispozitivele IoT sunt compromise de atacatori care abuzează de resursele lor. În mod uzual atacatorii utilizează cod specializat care să compromită software-ul care rulează pe dispozitivele IoT. Codul maliţios poate fi utilizat pentru a infecta calculatoarele utilizate pentru controlul reţelei de dispozitive inteligente sau să compromită software-ul care rulează pe acestea. În cel de-al doilea scenariu atacatorii pot exploata prezenţa unor defecte în firmware-ul care rulează pe aceste dispozitive și să ruleze codul lor arbitrar care să deturneze componentele IoT spre o funcţionare neplanificată. În noiembrie 2013, experţii Symantec au descoperit un nou vierme Linux, Linux.Darlloz, proiectat în mod special să atace dispozitive IoT Intel x86 care rulează Linux. Atacatorii au compromis dispozitivele IoT pentru a construi un botnet care a fost utilizat pentru activităţi ilegale, incluzând trimiterea de Spam, generarea de mesaje SMS costisitoare sau derularea unor atacuri DDoS. O altă posibilitate pentru atacatori este exploatarea dispozitivelor configurate necorespunzător, de exemplu dacă știi setările de fabrică ale unui router este posibil să ai acces la consola sa de administrare și să modifici parametrii care îi controlează comportamentul.
  • Breșe de date – breșele de date reprezintă un alt risc serios în privinţa adoptării dispozitivelor IoT. Organizaţiile trebuie să conștientizeze potenţialul consecinţelor neplanificate ale situaţiilor de utilizare a IoT. Atacatorii pot spiona comunicaţiile dintre dispozitivele IoT și să colec teze informaţii despre serviciile pe care acestea le implementează. Datele accesate prin intermediul dispozitivelor IoT pot fi utilizate în scopuri de spionaj cibernetic sau de către o agenţie de Intelligence sau de către o companie privată în scopuri comerciale. Breșele de date reprezintă o ameninţare serioasă pentru organizaţiile sau persoanele care utilizează dispozitive inteligente.
  • Breșe accidentale – Managementul datelor într-o arhitecutură care include dispozitive IoT este un aspect critic. Informaţiile sensibile pot fi expuse nu numai într-un atac cibernetic, ci pot fi expuse sau pierdute și în mod accidental. Symantec dă ca exemplu transmiterea coordonatelor autoturismului unui CEO, dar realitatea este că din mediul de business se pot scurge informaţii mult mai sensibile.
  • Perimetre slăbite – lipsa măsurilor de siguranţă încă din faza de design poate cauza o slăbire a perimetrelor. Prin exploatarea unui defect în SmartTV-ul nostru atacatorul poate avea acces la reţeaua domestică și să dezactiveze orice sistem antifurt implementat pentru securitatea fizică.

OWASP Top 10 probleme de securitate pentru IoT
Open Web Application Security Project (OWASP) are ca scop primar diseminarea celor mai bune practici care să ducă la îmbunătăţirea securităţii software-ului. Este firesc să analizeze și cele mai importante 10 probleme de securitate pentru această paradigmă populară.
1. Interfeţe web nesigure
2. Autentificări/autorizări insuficiente
3. Servicii de reţea nesigure
4. Lipsa criptării la transportul de date
5. Probleme de confidenţialitate
6. Interfaţă cloud nesigură
7. Interfaţă mobile nesigură
8. Configurabilitate de securitate insuficientă
9. Software/firmware nesigur
10. Securitate fizică scăzută

  1. Interfață web nesigură:
    Aproape orice dispozitiv are implementat un web ser ver în scopuri de mentenanţă, dar în majoritatea cazurilor interfeţele serverului intern nu sunt securizate. Meca nismele slabe de autentificare, CSRF, XSS și injecţiile SQL sunt vulnerabilităţile cele mai comune care afectează serverele web.
  2. Autentificări/autorizări insuficiente:
    Experţii în securitate trebuie să verifice cu atenţie adoptarea unor parole puternice și să evite credenţialele codate hard. Un alt aspect îl reprezintă verificarea vulnerabilităţilor comune (de ex. sqli) pentru procesele de autentificare/ autorizare.
  3. Servicii de rețea nesigure:
    SSH, SFTP și alte servicii trebuie implementate în mod corespunzător. O eroare obișnuită în aceste situaţii o reprezintă codarea hard a credenţialelor serviciilor.
  4. Lipsa criptării la transportul de date:
    Credenţialele și datele trebuie criptate. Adoptarea PKI ar trebui să ajute administratorii să implementeze procese eficiente de securizare a informaţiei.
  5. Probleme de confidențialitate:
    Este important să fie analizate toate aspectele arhitecturii IoT care ar putea expune date sensibile necriptate.
  6. Interfață cloud nesigură:
    Dispozitivele IoT pot fi integrate cu servicii cloud pentru partajarea de date. Interfaţa cu serviciile cloud trebuie implementată în mod corespunzător și proiectată să evite prezenţa vulnerabilităţilor critice.
  7. Interfață mobile nesigură:
    Multe dispozitive inteligente furnizează o funcţionalitate „Wireless Access Point”, ca de exemplu smartTV-urile, și este necesară adoptarea unui algoritm de criptare puternic și a celor mai bune practici de securitate (de ex. dezactivarea transmisiei SSID).
  8. Configurabilitate de securitate insuficientă:
    Dispozitivele IoT trebuie să ofere posibilitatea de configurare a principalelor facilităţi de securizare cerute de conformitatea cu politicile de securitate.
  9. Software/Firmware nesigur:
    Asiguraţi-vă că firmware-ul și software-ul care rulează pe dispozitive poate fi actualizat și că upgrade-urile se efectuează prin procese securizate care evită modificarea/înlocuirea. Evitaţi software-ul/firmware-ul care are credenţiale codate hard și o bună practică este validarea software-ului prin semnarea digitală a codului sursă.
  10. Securitate fizică scăzută:
    Verificaţi securitatea fizică a dispozitivelor inteligente prin protejarea accesului la toate porturile expuse. De obicei producătorii dau acces extern în scopuri de mentenanţă. Un atacator poate exploata unul dintre aceste puncte de acces pentru a injecta cod maliţios, pentru filtrarea de date sau pentru sabotarea obiectului inteligent. Se sugerează criptarea datelor stocate în memoria dispozitivului și protejarea fizică a porturilor USB și a oricărui alt port, prin dezactivarea acceselor ne-necesare.

Scenarii de atac
Firmele de securitate au observat o escaladare a atacurilor cibernetice împotriva dispozitivelor IoT, la scară globală. Cel mai întâlnit scenariu este utilizarea de botneţi alcătuiţi din mii de dispozitive din domeniul IoT, cunoscute și sub denumirea de thingboţi, care sunt utilizaţi pentru a trimite mesaje de spam sau pentru coordonarea unor atacuri DDoS. Rezumând un thingbot poate fi utilizat pentru:

  • a trimite spam.
  • a coordona un atac împotriva unei infrastructuri critice.
  • a furniza un malware.
  • a funcţiona ca punct de intrare în reţeaua unei companii.

Principalele firme de securitate confirmă o creștere a numărului de atacuri împotriva unor obiecte inteligente, incluzând routere, SmartTV-uri, dispozitive

NAS (network-attached storage), console de jocuri și diferite tipuri de set-top box-uri.
Unul dintre primele atacuri la scară largă a fost semnalat de cercetătorii de la Symantec în noiembrie 2013, când un vierme numit Linux.Darlloz a infectat numeroase dispozitive Intel x86 care rulau Linux prin exploatarea diverselor vulnerabilităţi din PHP.

Viermele a reușit să compromită kit-uri internet pentru acasă, echipate cu cipuri x86, să le exploateze și să extindă infecţia. Codul maliţios a compromis echipamente de reţea la scară globală, după cum a fost descris de către Symantec într-un raport detaliat.

„Viermele Linux.Darlloz exploatează vulnerabilităţi PHP și se autopropagă. Viermele utilizează vulnerabilitatea cunoscută ca PHP «php-cgi» Information Disclosure Vulnerability (CVE-2012-1823), care este o vulnerabilitate veche pentru care există un patch din mai 2012. Atacatorii au creat recent un vierme bazat pe codul Proof of Concept (PoC) disponibil de la sfârșitul lui octombrie 2013”, se afirmă într-o postare de pe blogul Symantec.

Cu toate că viermele a fost conceput pentru a compromite dispozitivele Intel x86 echipate cu Linux, experţii Symantec au descoperit că există și o variantă Darlloz compilată să ruleze pe dispozitive ARM și MIPS. Darlloz a reușit să se răspândească în liniște și să șteargă parţial fișiere stocate pe dispozitivele IoT.
Tehnica de atac a fost simplă și eficientă, codul maliţios genera adrese IP aleatorii și încerca să utilizeze credenţiale utilizate în mod curent pentru a se loga la mașinile ţintă. Dacă malware-ul identifica un dispozitiv vulnerabil îl accesa și downloada viermele de pe un server. Odată infectat dispozitivul IoT, malware-ul începea să caute alte ţinte rulând un server web și PHP.

Darlloz utilizează cereri HTTP POST concepute în mod special pentru exploatarea dispozitivelor vulnerabile.

În momentul în care malware-ul identifică un dispozitiv ne-patch-uit și preia controlul, download-ează viermele de pe un server și începe să caute alte ţinte prin rularea unui server web și PHP.
Pentru a preveni recuperarea dispozitivului, viermele oprește serviciile Telnet care rulează pe componenta inteligentă, făcând astfel imposibilă o conectare de la distanţă cu acesta pentru a-l readuce într-o situaţie normală de funcţionare.

Câteva luni mai târziu, în ianuarie 2014, cercetătorii de la Proofpoint au descoperit o altă utilizare abuzivă a dispozitivelor IoT, peste 100.000 de frigidere, Smart TV-uri și alte dispozitive casnice inteligente fiind hack-uite pentru trimiterea a 750.000 de e-mail-uri de spam maliţioase.

„Atacul observat și profilat de Proofpoint s-a derulat între 23 decembrie 2013 și 6 ianuarie 2014, și a constat în trimiterea de valuri de e-mail-uri maliţioase, în serii de câte 100.000, de 3 ori pe zi, către companii și persoane fizice la nivel global. Mai mult de 25% din acest volum a fost trimis prin intermediul unor obiecte care nu erau laptop-uri convenţionale, calculatoare desktop sau dispozitive mobile; e-mail-urile fiind expediate de gadget-uri de consum cum ar fi routere pentru reţele casnice, centre multimedia conectate, televizoare și cel puţin un frigider.”

Între timp atacurile continuă, recent experţii de la Akamai Prolexic Security Engineering & Response Team (PLXsert) au semnalat un nou kit de malware denumit Spike, care este utilizat pentru lansarea de atacuri DDoS prin intermediul desktop-urilor și al dispozitivelor IoT.

Thingbot-ul Spike este capabil să lanseze diferite tipuri de atacuri DDoS, incluzând SYN, UDP, cereri Domain Name System, și flood-uri GET împotriva unor mașini Linux, Windows, sau al unor host-uri ARM cu Linux.

Thingbot-ul a fost compus din routere casnice, uscătoare inteligente, termostate inteligente și alte dispozitive
inteligente. Akamai a observat că numărul dispozitivelor care au alcătuit botnet-ul Spike s-a situat între 12.000 și 15.000, cercetătorii subliniind abilitatea atacatorilor de a customiza malware-ul și pentru arhitecturi ARM utilizate pe scară largă de dispozitivele IoT.

„Abilitatea toolkit-ului Spike de a genera atacuri și asupra arhitecturilor ARM sugerează că autorii acestor instrumente ţintesc dispozitive cum ar fi router-ele și dispozitivele IoT pentru a-și extinde botneţii pentru o eră post-PC de propagare a botneţilor” se afirmă în documentul Akamai.

Botnetul Spike a fost utilizat pentru mai multe atacuri DDoS de tipul „lovește și fugi” în care au fost implicate atât mașini Windows cât și Linux, dispozitive IoT și Raspberry Pi.

Experţii au observat ca noul aflux de malware Spike s-a bazat pe un update a limbajului de malware Spike chinezesc care ţintește dispozitive Internet-of-Things slab configurate.

Akamai a publicat un raport interesant despre botnetul Spike care include detalii despre atacurile DDoS care au avut loc. Experţii au observat că unul dintre atacuri a inclus pachete tactate la 215 gigabiţi pe secundă (Gbps) și 150 millioane de pachete pe secundă (Mpps). Documentul confirmă faptul că și dacă majoritatea atacurilor DDoS sunt lansate de pe dispozitive de putere mică, și ar putea părea nesemnificative,
dispozitivele IoT pot reprezenta o armă puternică în mâinile atacatorilor.

„Mai mulţi clienţi Akamai au fost ţinta atacurilor DDoS lansate de acest botnet. Un atac a avut vârful de 215 gigabiţi pe secundă și 150 millioane pachete pe secundă,” se afirmă în documentul companiei.
Lista atacurilor cibernetice asupra dispozitivelor IoT este foarte lungă, unul dintre cele mai puternice atacuri întâmplându-se de Crăciun, atunci când popularele platforme de jocuri Sony PSN și Xbox Live au fost blocate de un atac al unui grup de hackeri cunoscut sub numele de Lizard Squad.

Grupul a utilizat în cadrul atacului un instrument DDoS denumit Lizard Stresser, conform expertului în securitate Brian Krebs, acesta fiind alcătuit din mii de routere de internet domestice hack-uite.

Untitled
Figura 2 -Instrumentul Lizard Stesser DDoS

Lizard Squad a elaborat recent și o ofertă comercială pentru Lizard Stresser, care propune spre vânzare un model de tipul attack-as-a-service și hacking-ul dispozitivelor IoT permite infractorilor să gestioneze ușor astfel de oferte.

Instrumentul Lizard Stresser este un instrument DDoS puternic care se folosește de lăţimea de internet a routerelor domestice de Internet hack-uite global. În septembrie 2014, experţii de la Kaspersky Lab au descoperit o campanie de hacking condusă de atacatori din Brazilia care vizau routerele domestice prin intermediul unui atac web.

Atacatorii adoptă tehnici diferite, incluzând ingine rie socială și site-uri web maliţioase, pentru a schimba setările DNS ale routerelor domestice. Atacurile prin modificarea setărilor DNS permit atacatorilor să redirec teze victimele către site-uri web false pentru a fura credenţialele bancare ale clienţilor băncilor braziliene. În martie 2014, cercetătorii de la Team Cymru au publicat un raport detaliat despre un atac de tip fermă SOHO la scară largă care a afectat peste 300.000 de dispozitive la scară globală.

Din păcate grupările infracţionale privesc cu tot mai mult interes la reţelele de dispozitive IoT cu scopul de a le compromite și a lansa atacuri de tipul DDoS.

În majoritatea situaţiilor dispozitivelor IoT le lipsesc măsurile defensive iar soft-ul lor nu este actualizat la zi, circumstanţe care fac ca aceste obiecte puternice să fie expuse unor atacuri cibernetice.
În urmă cu câteva săptămâni experţii de la compania de securitate Imperva Incapsula au descoperit un botnet DDoS alcătuit din zeci de mii de routere SOHO, infectate cu malware, angajate într-un atac de tip flood la nivel de aplicaţie HTTP.

Routerele SOHO erau infectate cu o versiune de troian Linux Spike (Trojan. Linux.Spike.A) și MrBlack, care este un agent Linux semnalat pentru prima dată de cercetători de la Dr. Web în mai 2014.
Atacatorii au facilitat accesul de la distanţă asupra routerelor SOHO prin HTTP și SSH pe porturile lor implicite, pentru a le compromite. După cum se explică în raportul publicat de Incapsula, routerele SOHO erau slab configurate, atacatorii utilizând credenţiale implicite (de ex. admin/admin) pentru a le accesa și a le injecta cod maliţios. Malware-ul a reușit să se autopropage prin scanarea reţelei pentru a localiza și infecta și alte routere. Conform cercetătorilor, routerele SOHO deturnate erau dispozitive pe arhitecturi ARM de la producătorul de echipamente de reţea wireless Ubiquiti Networks.

Compania a descoperit o serie de atacuri împotriva clienţilor săi la sfârșitul lui decembrie 2014, într-o perioadă de 121 de zile în care aceștia au monitorizat arhitectura maliţioasă utilizată de infractori. Au fost identificate IP-urile a 60 de servere de comandă și control (C&C) iar traficul maliţios a fost lansat de la peste 40.000 de adrese IP aparţinând la aproape 1.600 de ISP-iști din 109 de ţări, de pe toate continentele.
Este interesant de menţionat că peste 85% dintre routerele SOHO infectate au fost localizate în Thailanda și Brazilia.
„Peste 85% dintre routerele compromise sunt localizate în Thailanda și Brazilia, în timp ce majoritatea centrelor de comandă sunt localizate în SUA (21%) și China (73%). În total am documentat atacuri din 109 de ţări din toată lumea”, se afirmă în raport.

Untitled
Figura 3 – Mrblack Thingbot – Topul țărilor atacatoare – Incapsula Report

Conform celor de la Incapsula, routerele SOHO compromise au fost exploatate de către mai multe grupări, inclusiv de către popularul grup Anonymous. Incapsula speculează că sute de mii sau chiar milioane de routere SOHO au fost compromise datorită unei configurări slabe.

Bash Bug, Heartbleed și Internet of Things
Bash Bug (CVE-2014-6271) este un defect critic care poate fi exploatat de la distanţă și care afectează mașini Linux, Unix și Apple Mac OS X. Bash Bug există de câteva decade și este legat de modul în care bash tratează variabilele de mediu formatate special, și anume de funcţiile shell exportate.

Pentru a rula un cod arbitrar pe un sistem afectat este necesară asignarea unei funcţii la o variabilă, codul ascuns în definiţia funcţiei urmând a fi executat.

Defectul Bash Bug are impact asupra a miliarde de dispozitive din lumea întreagă, care rulează pe arhitecturi Linux/Unix, inclusiv dispozitive IoT.

Companiile de securitate confirmă faptul că vulnerabilitatea Bash Bug ar putea să fie deja utilizată de către infractori pentru afectarea dispozitivelor din diferite industrii.

Principala problemă în adresarea dispozitivelor IoT este că în multe scenarii mentenanţa unor astfel de obiecte este foarte dificilă și că uneori producătorii nu furnizează update-uri de securitate pentru eliminarea problemelor, lăsându-le accesibile atacurilor cibernetice.

Untitled
Figura 4 – Atac Heartbleed asupra unei mașini client (Symantec)

O altă vulnerabilitate care ameninţă IoT este popularul Heartbleed, care poate afecta routere, PBX-uri (business phone systems) și multe alte obiecte inteligente.

Prin exploatarea defectului Heartbleed un atacator poate citi de la distanţă memoria sistemelor care rulează versiuni vulnerabile ale popularei biblioteci OpenSSL.

Un dispozitiv IoT vulnerabil conectat la un server poate fi compromis dacă este afectat de o vulnerabilitate Heartbleed prin simpla trimitere a unui mesaj maliţios Heartbeat către acesta. Dispozitivul IoT îi va răspunde trimiţând date suplimentare din memoria sa, putând expune credenţailele și alte date sensibile.

Vestea bună, după cum explică cercetătorii de la Symantec, este că deși atacurile Heartbleed asupra unui server nu sunt complicat de efectuat, o ofensivă la scară largă asupra unor clienţi este greu de rulat într-un scenariu din lumea reală. Principalii doi vectori de atac pentru exploatarea defectului Heartbleed în dispozitivele IoT sunt determinarea obiectului inteligent să viziteze un server maliţios SSL/TLS sau prin deturnarea conexiunii printr-o slăbiciune necorelată. În ambele situaţii atacurile sunt mai greu de efectuat de către infractori.

Concluzie
IoT este o paradigmă care ne va influenţa vieţile în anii care vor urma. din acest motiv este esenţial ca problemele de securitate și de confidenţialitate să fie tratate în mod corespunzător.

Experţii în securitate solicită producătorilor și vânzătorilor să ia în considerare ameninţările cibernetice și nivelul de expunere al oricărui dispozitiv IoT. IoT oferă oportunităţi de business fiecărei industrii, dar poate deveni un coșmar în cazul în care componentele de securitate sunt subestimate.

mika

Mika Lauhde

Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia Business Security and Continuity la Nokia Corporation unde a răspuns de relațiile guvernamentale în zona securității IT ca și în zonele mana- gementului de criză, complianță infracțională, prevenirea fraudelor și soluții de criptare a terminalelor.

Mika are o exepriență bogată în zona subiectelor de securi- tate și a instituțiilor guvernamentale atât în Europa cât și în SUA. În prezent este membru în ENISA (European Network and Information Security Agency) Permanent Stakeholder Group, în European Cyber Security Research Center, și în grupul de lucru în domeniul Cyber Security al Guvernului Finlandez.

  • Membru al ENISA (European Network and Information
  • Security Agency) PSG (2009 – )
  • Membru în managementul grupului de lucru al Leuven
  • University European Crypto Task Force  (2014 – )
  • Grupul de lucru Europol  (2014 – )
  • Membru în managementul European Cyber Security Research Center  (2011 – )
  • Membru în grupul de lucru Finnish Government Cyber Security  (2013 – )
  • Founding Member și Board Member TDL (Trust in Digital Life) (2010 – 2013)
  • Membru al EU government  security advisory board RISEPTIS (2007-2009)
  • Membru al Finnish government ICT security advisory board (2007 – 2010)
  • Membru al UK government critical infrastructure protection group CPNI (2005 – 2009)

autor: Mika Lauhde

VP, Government Relations and Business Development,
SSH Communications Security

O să-i dezamăgesc pe cei care așteaptă marile fenomene legate de securitatea cibernetică în domeniul IoT (Internet of Things) spunându-le că trenul a plecat deja. Problemele de securitate în domeniul IoT se află deja printre noi și ceea ce rămâne de stabilit este cine va administra securitatea acestora, și din acest punct de vedere adevăratul subiect este controlul următoarelor generații de ecosisteme de supraveghere și de business.

Tehnologiile din domeniul securităţii cibernetice, chiar dacă sunt importante, nu pot fi comparate cu informaţiile vitale: ce anume ne propunem să apărăm și ce ne este frică să pierdem? Asupra acestor aspecte va trebui să ne concentrăm în construirea capacităţilor de apărare.
Înţelegem cu toţii faptul că tehnologiile cibernetice se vor îmbunătăţi odată cu trecerea anilor și putem fi siguri că și atacurile asupra acestora se vor îmbunătăţi. Confruntarea dintre aceste două aspecte ne va ţine ocupaţi în domeniul securităţii cibernetice.
Prin urmare, cum să fim suficient de prevăzători și să nu așteptăm pasivi ivirea unor breșe de securitate?
Pentru aceasta trebuie să înţelegem ecosistemul și rolurile din cadrul acestuia!
Următoarele exemple sunt luate din industria auto și din scenariile cu automobilele care se pot conduce singure.
După cum știţi, în SUA există deja mașini care se conduc singure și au fost făcute deja teste în acest sens și în Europa. Aceste tipuri de mașini au nevoie de un volum mare de informaţii de la senzori din mediul înconjurător, dar și informaţii de la alte sisteme de back-end. Când vorbim despre sisteme de back-end nu ne referim la sistemul de divertisment, care este componenta cea mai interesantă pentru cei care stau pe scaunele din spate ale mașinii, ci la informaţii care controlează mișcarea mașinii și siguranţa acesteia.
Prin urmare devine o necesitate naturală să protejăm sistemele mașinii. Dar împotriva a ce?

Să luăm în considerare următoarele aspecte legate de acest tip de ecosistem.

  1. Avem mașini care sunt programate să se conducă singure. Deci există o companie răspunzătoare de programarea navigaţiei, a controlului, ca și a celorlalte funcţionalităţi ale mașinii. 01
  2. Există drumuri alunecoase care nu pot fi prezise nici cu cele mai inteligente soluţii software.02
  3. Există un preţ (valoare) pentru fiecare om care se află în mașină, dar preţul este diferit de la individ la individ.03
  4. Prin urmare în momentul în care ciocnirea a două mașini pe un drum alunecos devine inevitabilă, și unii pasageri trebuie sacrificaţi pentru minimizarea daunelor totale, ce factori trebuie luaţi în considerare?04

Pentru a înţelege fiecare stakeholder și scopurile acestora atunci când vine vorba despre securitatea cibernetică, trebuie să înţelegem ce anume îi motivează pe acești stakeholderi:
Șoferul și proprietarul mașinii: înafara dorinţei de a controla pe deplin sistemul de divertisment (hack-uirea sistemului DRM și a protecţiei la copiere), există o motivaţie clară de a supravieţui. Cum să interferezi cu sistemele în așa fel încât nu numai să îţi controlezi mașina atunci când este necesar, dar să și trimiţi informaţii celorlalte mașini din trafic astfel încât să eviţi o coliziune.
Compania de asigurări: Din moment ce știm că nu se acordă compensaţii egale pentru vieţile pierdute sau pentru dizabilităţi, de ce nu ar avea companiile de asigurări o motivaţie clară de a avea un impact asupra programării și a sistemului de coliziune astfel încât să cheltuie cât mai puţin în cazul unui accident? Până la urmă și ei trebuie să plătească dividende acţionarilor..
Interesul guvernului: Toate guvernele trebuie să își protejeze cetăţenii. De obicei guvernele promit cetăţenilor securitate și siguranţă, mai ales atunci când este necesară limitarea anumitor drepturi. Dacă un guvern nu realizează aceste deziderate cum ar mai putea rămâne la putere? Există motive să credem că este în interesul tuturor guvernelor să influenţeze comportamentul mașinilor.
Investigația poliției: În majoritatea ţărilor atunci când se produce un accident, urmează și o investigaţie a poliţiei. De obicei aceasta are ca scop nu doar de a găsi un vinovat dar și de a duce la îmbunătăţiri ale siguranţei care să ducă la evitarea unor accidente similare în viitor. Accesul la toate datele din sistemul mașinii dar și la cele de back-end este vital. Deci, cum să fie accesate ambele sisteme?
Hacker: În acest caz am putea găsi mai multe motivaţii de a avea un impact asupra sistemului mașinii. De la a deveni faimos și până la a face rău. Dar pentru a dobândi “15 minute de glorie”, trebuie mai întâi să pătrunzi în sistemul mașinii și să preiei controlul.
Producătorul mașinii: Producătorul s-ar putea să nu fie localizat într-o singură ţară, dar deciziile de management sunt de regulă ghidate de normele regulatorii din ţara de origine a companiei. Producătorii se confruntă cu faptul că retragerea unor modele de pe piaţă, datorită unor sisteme tot mai complicate, devine din ce în ce mai scumpă. De asemenea ameninţările externe la adresa sistemelor mașinilor sunt tot mai mari. Toate celelalte părţi se află în conflict de interese cu producătorii mașinilor.
Realitatea, din păcate, este că producătorul are cea mai strânsă legătură cu mașina ceea ce implică și cel mai mare risc privind răspunderea. Sistemul din mașină este doar un sistem client, dar serverul este localizat undeva în cloud-ul producătorului. În ce ţară și sub ce jurisdicţie se află acest cloud?

Concluzie
Aici în Europa suntem mai degrabă în siguranţă din aceste perspective. Până la urmă, am renunţat la o componentă fundamentală denumită modem, care stă la baza IoT wireless, cu câţiva ani în urmă.
În prezent Europa se concentrează pe implementarea eCall și nici măcar nu am îndrăznit să întrebăm de unde se fac update-urile de software ale modemurilor acestor mașini europene și dacă există canale paralele de comunicare. Canale paralele despre a căror existenţă s-ar putea să aflăm abia peste câţiva ani, în cazul apariţiei unui nou caz „Snowden”. Atunci când vom ajunge atât de departe încât eCall să fie funcţional, probabil că vom afla că toate celelalte probleme au fost deja rezolvate. Fără nici o implicare europeană.
Deci, vă rog să nu spuneţi că vine IoT…. toate deciziile vitale se implementează deja…

mihai

Ioan-Cosmin MIHAI
Vicepreședinte ARASEC – Asociaţia Română
pentru Asigurarea Securităţii Informaţiei

Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things (IoT). Ce reprezintă această tehnologie, cât de mult ne-ar influența viețile în următorii ani, care sunt riscurile la care ne-am expune, sunt întrebări la care voi încerca să vă răspund.

autor: Ioan-Cosmin MIHAI

Cu toţii cunoaștem Internetul așa cum este la momentul actual, un Internet al oamenilor – Internet of People (IoP), cu toate datele, imaginile, înregistrările video, jocurile, cărţile și produsele on-line, pe care le putem accesa oricând și de aproape oriunde. Internetul, una din cele mai importante tehnologii ce a reușit să ne influenţeze stilul de viaţă, a fost creat de oameni pentru oameni. Dinamica schimbărilor duce însă Internetul la un nou nivel, noul Internet nerezumându-se doar în a conecta oamenii, ci și lucrurile. Acest Internet al lucrurilor – Internet of Things (IoT) este capabil să conecteze toate dispozitivele inteligente cu scopul de a fi monitorizate și controlate de la distanţă. Vom ajunge, nu peste mult timp, să avem un Internet al tuturor lucrurilor – Internet of Everything (IoE) – care să conecteze oameni, dispozitive și locuri într-un tot unitar, pentru a ne asista viaţa de zi cu zi. Acest lucru este posibil prin implementarea de senzori și abilităţi de comunicare tuturor dispozitivelor ce ne înconjoară.

Untitled
Fig. 1: Ierarhia informaţiei în Internetul lucrurilor (IoT)

Prin senzorii implementaţi, dispozitivele vor culege date din mediul înconjurător, se vor conecta între ele, vor schimba datele obţinute, iar informaţiile astfel coroborate vor ajunge la utilizator, acesta putând lua decizii și controla activitatea dispozitivelor.

Dar să vorbim mai întâi de avantajele aduse de această tehnologie
Din punct de vedere al utilizatorului, gândiţi-vă cum ar fi ca dimineaţa, în momentul în care vă sună alarma, lumina să se aprindă automat treptat, televizorul să pornească pe canalul preferat, espresorul să vă pregătească cafeaua, toasterul să vă prăjească pâinea, mașina să fie pregătită în momentul în care doriţi să plecaţi și pe drum să vă indice calea optimă pentru a ajunge la serviciu cât mai repede și să informeze în legătură cu principalele știri din domeniul preferat. Odată ajuns în parcare, aerul condiţionat și calculatorul din birou să pornească automat. Toate aceste lucruri sunt aproape posibile, făcându-ne viaţa mai ușoară și mai interactivă.

Locuințele inteligente, dotate cu astfel de dispozitive, pot ajuta foarte mult la economisirea energiei prin reducerea consumurilor inutile, asigurând încălzirea și iluminarea optimă în funcţie de activităţile locatarilor și de condiţiile meteo-climatice. Senzorii amplasaţi aceste locuinţe pot avertiza în timp real despre diverse avarii sau incidente precum inundaţie, incendiu sau intrarea unui străin prin efracţie.

Mașinile inteligente vor fi conectate la sistemele de monitorizare al traficului și vor ști să evite ambuteiajele și să găsească cele mai apropiate locuri de parcare disponibile. În cazul apariţiei unor defecţiuni tehnice, acestea vor fi detectate de senzori și vor fi raportate în timp real proprietarului.

Orașele inteligente vor pune la dispoziţia cetăţenilor servicii ce pot contribui major la protejarea mediului înconjurător. Resursele importante (apa, gazele, energia electrică sau termică) vor putea fi monitorizate și controlate prin automatizare și vor fi distribuite mai eficient, în conformitate cu necesităţile reale, iar companiile de distribuţie pot fi alertate imediat dacă apar probleme de infrastructură.

Untitled
Fig. 2: Multitudinea de senzori dintr-un oraș inteligent

Sistemul medical va putea beneficia de asemenea de avantajele tehnologiei IoT. Monitorizarea continuă a semnelor vitale ale organismului pacienţilor poate contribui la siguranţa acestora și la informarea la timp a doctorilor atunci când apar probleme de sănătate. Senzorii pot ajuta la administrarea medicamentelor prescrise, aducând un aport enorm în spitale, cămine sau aziluri de bătrâni, acolo unde monitorizarea atentă a persoanelor îngrijite este cel puţin la fel de importantă ca și intervenţiile efectuate la timp.

Și acum, să aducem vorba și despre dezavantajele și riscurile prezente
Probleme de conectivitate. Tehnologia IoT presupune dispozitive interconectate și dependente unele de altele. În momentul în care un dispozitiv este compromis, cedează sau livrează date eronate, efectul se va propaga tuturor sistemelor care depind de el direct sau indirect. Efectul poate fi relativ minor (atunci când aplicaţia de planificare nu mai transmite ceasului o alarmă privind o întâlnire) sau major (când un senzor ce monitorizează funcţiile vitale ale unui pacient nu informează doctorul privind un incident medical).

Probleme de securitate. Dornici de a lansa cât mai repede un produs nou pe piaţă, proiectanţii echipamentelor IoT neglijează de cele mai multe ori aspectele de securitate. Din acest motiv tot mai multe dispozitive inteligente (telefoane, televizoare, camere de supraveghere sau frigidere) sunt implicate în atacuri cibernetice de amploare.

Untitled
Fig. 3: Securitatea dispozitivelor inteligente

Multe companii au analizat sistemele inteligente disponibile în acest moment pe piaţă și au ajuns la concluzia îngrijorătoare că securitatea acestora este complet nesatisfăcătoare. Mai mult, câteva dintre aceste sisteme sunt promovate drept soluţii inteligente de securitate, ceea ce face ca situaţia să fie cu atât mai ironică și mai gravă. Pe lângă vulnerabilităţile detectate, aceste dispozitive nu deţin rutine software pentru actualizare automată și folosesc canale de comunicaţie necriptate sau prost criptate.

Probleme de confidențialitate a datelor stocate. Cele mai multe dintre aceste sisteme sunt vulnerabile la atacurile informatice, neavând aplicaţii de protecţie necesare sau politici de securitate care să impună parole cu o complexitate satisfăcătoare și nu protejează cum trebuie datele stocate. Concepute prost, aceste sisteme pot permite unor eventuali intruși să arunce o privire la datele înregistrate fără ca aceștia să poată fi depistaţi.

Risipă de energie. Într-un studiu publicat de Agenţia Internaţională a Energiei se arată că cele aproximativ 14 miliarde de dispozitive conectate la Internet, existente în prezent la nivel mondial, risipesc o cantitate enormă de energie electrică din cauza unor tehnologii ineficiente, iar această problemă se va agrava până în 2020, când electricitatea risipită de aceste dispozitive va crește cu 50%. Risipa de energie se datorează faptului că dispozitivele utilizează mai multe electricitate decât ar trebui pentru a menţine conexiunea și a comunica cu reţeaua.

Concluzii
În concluzie, putem spune că orice evoluție a tehnologiei este benefică, dar trebuie să conștientizăm și riscurile aferente. Atât timp cât securitatea Internetului lucrurilor (IoT) este prezentă mai mult la nivel declarativ, riscul de compromitere al tuturor sistemelor inteligente interconectate și expunerii datelor înregistrate este destul de mare. Vor fi însă și momente în care viața noastră ar putea depinde de un dispozitiv inteligent ce ne monitorizează funcțiile vitale și poate da alarma într-un moment de criză, făcând posibilă o intervenție de urgență.

autor: Jean Christophe Schwaab

controlRecent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu fie dotat cu niciun sistem de plată fără contact de tipul „NFC” (Near Field Communication). Pe de o parte deoarece nu mă interesează o astfel de tehnologie (care poate favoriza achiziţii spontane şi necontrolate, generând astfel datorii, în special în rândul tinerilor). Dar mai ales, deoarece această tehnologie nu este sigură deloc, este ușor de piratat de la distanţă şi, în funcţie de condiţiile generale ale furnizorilor de carduri de credit, până la 120 de Franci plătiţi abuziv cu această tehnologie pot să fie ceruţi titularului cardului, chiar dacă acesta ar putea să demonstreze că a acţionat cu toate precauţiile necesare. Legalitatea unei astfel de practici este foarte îndoielnică după opinia mea, dar cine o să intenteze un proces pentru 120 de Franci?*

Așadar, titularul unui astfel de card de credit este blocat de o tehnologie care poate să permită hacking-ul datelor sale, cu consecinţe care pot să fie costisitoare pentru el.

Nimic nu ar fi mai legitim ca faptul ca titularul să poată sa renunţe să folosească această tehnologie dacă nu este interesat să o folosească. Dar problema este, din cauza emitentului cardului meu de credit (Viseca, în legătură cu Banca Cantonală din Vaud) este imposibil de a beneficia de un card care nu are această tehnică deja instalată. Emitentul de carduri a ales astfel să le echipeze cu tehnologii care deschid o breșă de securitate, dar asumarea riscurilor îi aparţine exclusiv consumatorului.

Acesta nu este însă punctul cel mai înspăimântător al poveștii: pentru a evita fraudele, Viseca mi-a recomandat să învelesc cardul mea de credit cu o folie de aluminiu, ca dovadă că societatea însăși nu prea are încredere în tehnologia pe care o impune.

Am bricolat astfel o mică husă securizată anti-hacking cu ceea ce aveam la îndemână (cf. foto). Sunt liniştit, chiar dacă bricolajul meu nu arată foarte solid şi va trebui să îl refac în mod regulat… Astfel suntem obligaţi, pentru a ne proteja de riscurile generate de o tehnologie de ultimă generaţie, să folosim un produs care se află în sertarul fiecări bucătării de multe decenii!

Această istorie de neînchipuit prezintă interes în conceptul de «Control by design» – control începând încă de la concepere (design) -, care conferă proprietarului unui obiect conectat dreptul inalienabil de a-l debranşa din orice reţea. În acest caz concret, proprietarul unui card de credit ar trebui să aibă dreptul de a-l deconecta din sistem NFC de câte ori și oricând dorește.

Dacă în schimb se dovedeşte că proprietarul consideră aceasta metodă de plată ca fiind avantajoasă şi este pregătit să-și asume riscul de hacking, este hotărârea sa şi poate să decidă liber.

Dar dacă proprietarul nu dorește să își asume niciun risc, trebuie să aibă de asemenea posibilitatea de a decide liber.

Responsabilitatea securităţii datelor ar deveni atunci de competenţa exclusivă a emitentului de carduri, care ar trebui să ofere clienţilor posibilitatea de a renunţa la tehnologia NFC.

Sper astfel că guvernul elveţian va pune rapid în aplicare moţiunea mea de «Control prin design»(1), care a fost acceptată de către Consiliul Naţional în decembrie anul trecut.

http://www.schwaab.ch/archives/2015/03/20/control-by-design-unexemple-concret-dobjet-connecte-indeconnectable/


*Nota traducătorului: în Elveţia, cheltuielile procesuale sunt foarte mari. (1)

http://www.parlament.ch/e/suche/Pages/geschaefte.aspx?gesch_id=20143739

Laurent Chrzanovski

Laurent Chrzanovski

Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către marile multinaţionale din domeniu.

De fapt, intensitatea și creșterea aproape exponenţială, începută în 2014, a atacurilor pe plan global au dus la investiţii masive, mai ales în SUA, Europa Occidentală, dar și în Ţările din Golf sau în Asia.

Tendinţele tipologice, însă, nu par să corespundă (deocamdată?) cu noutăţile prevăzute de către marile think-tank-uri pentru anul 2015.

Nici urmă de valuri de acţiuni criminale exclusiv bazate pe vulnerabilităţi IoT și, pentru binele planetei, nici de vreun atac SCADA serios și reușit. Dar desigur aceste 2 tipuri de atacuri sunt deja pregătite, primul pus în sertare de grupări criminale în așteparea dezvoltării complete a IoT pe plan mondial (de ce ar lovi acum când o lovitură peste un an poate să aibă un efect de 200 de ori mai mare?), al doilea fiind desigur în arsenalurile celor mai puternici, fie că vorbim de superputeri, fie că vorbim de cele mai avansate structuri criminale, pentru a fi folosit, ca și bombă atomică, în ultimă instanţă. Acest topic, azi realist, este și subiectul filmului mediocru al lui Michael Mann, „Hacker”, abia lansat în cinematografe.

Revenind în actualitate, în ultimele săptămâni, publicaţiile de specialitate din SUA au pus în topul atacurilor din primul semestru pe 2015 atacurile de tipul Bad Ads, DDos și Zero-Days, metode „străvechi”, și continuarea exploatării în adâncime, inclusiv găsirea de noi fisuri în browsere și în plug-in-urile aferente, în softuri de redactare, soft-uri de vizualizare video, dar și în cele mai noi sisteme de operare.

Mai mult, experţii subliniază căutarea prin orice metode a parolelor de acces ale persoanelor vulnerabile («Bad Ads» și phishing) și scandalul care a rezultat după întreruperea TV5 Monde de către hackerii de la Isis – un tablou al redacţiei TV5 cu post-it-uri pe care erau scrise toate parolele de acces ale website-ului principal dar și ale paginilor din reţelele sociale ale grupului de televiziune – nu au făcut decât să întărească constatarea că patronii și angajaţii din ţările latine, poate cu excepţia Spaniei, nu conștientizează pericolele.

Pentru acest motiv, dosarul central al acestui număr este dedicat Internet of Things, sau mai bine zis în jargonul specialiștilor, Internet of Everything, întrucât împreună cu (ab)uzul masiv al Internetului mobil și pătrunderea aplicaţiilor mobile în toate aspectele vieţii private și de business – creșterea exponenţială a numărului de dispozitive și de aplicaţii care sunt online odată cu menţinerea vulnerabilităţilor tehnologice vor duce automat la creșterea numărului de evenimente care sunt asociate unor atacuri cibernetice. În acest sens, cel mai dur avertisment în legătură cu obligaţia statelor de a formula reglementări imediate pentru aceste device-uri a fost făcută public recent de către National Security Telecommunications Advisory Committee a Președintelui SUA: „There is a small—and rapidly closing—window to ensure that IoT is adopted in a way that maximizes security and minimizes risk. If the country fails to do so, it will be coping with the consequences for generations”.

Așadar, dragi cititori, vă îndemnăm încă o dată ca protejarea datele dvs. private și profesionale să devină un reflex instinctiv, pentru că fragilitatea cetăţenilor și firmelor aduce nu numai necazuri pentru imprudenţi, dar pune în pericol întregul ecosistem IT&C al unei ţări. Contribuţia noastră este de a vă propune în continuare cele mai recente recomandări ale instituţiilor statului român, ale analiștilor din ţară, dar și de a vă aduce, număr de număr, în exclusivitate pentru România, texte ale unor personalităţi din străinătate. Avem prilejul de a găzdui în acest număr articole ale lui Vassilios Manoussos (UK), Mika Lauhde (FI), Pierluigi Paganini (IT) și Jean-Christophe Schwaab (Parlamentul Elveţian).

Vă dorim o lectură plăcută și vă așteptăm și pe website-ul nostru!

Laurent Chrzanovski

Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorala la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități principalele din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru a „Roster of Experts” din ITU, membru a think-tank „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.

Metodologie de lucru

Internet of Things (IoT) este astăzi cel mai vag definit termen folosit de către specialiști și cetăţeni. Ca și comparaţie, putem spune, de exemplu, că este mult mai vag decât Digital Identity.

De fapt, IoT a apărut ca și concept din momentul în care la Internet au început să fie conectate și altceva decât calculatoare – deși PC-urile clasice și ulterior laptop-urile puteau fi considerate de asemenea „things”. Astfel, nevoia de identificare unică a unui dispozitiv – lucru care exista online a apărut de la începutul reţelelor de orice fel.

La început, deoarece producătorii erau puţini, câteva brand-uri, standardele industriale regionale, internaţionale (ITU, ETSI, NIST etc.) au fost respectate, astfel încât, indiferent de mediul fizic de conectare (fir de cupru, LAN, toate standardele wireless, fibră optică etc.), cam toate device-urile au fost produse cu identificatori unici, dificil de replicat sau, în orice caz, rata de erori/fraude/riscuri nu impunea măsuri suplimentare decât în reţele cu grad ridicat de sensibilitate unde erau implementate și alte măsuri.

Ulterior, o dată cu explozia conectivităţii la nivel global, a creșterii exponenţiale a puterii de calcul mobile și a uriașului număr de aplicaţii, lucrurile au evoluat în ultimii ani și astfel au apărut din ce în ce mai mulţi producători de elemente de reţelistică – mulţi dintre ei care nu respectă niciun standard comun recunoscut -, iar preţurile de producţie au făcut ca acestea să pătrundă extrem de rapid pe toate pieţele, inclusiv cele emergente. Aceste elemente de reţelistică, menţionate mai sus, au fost înglobate și în alte „lucruri” (despre orice obiect vorbim, are o interfaţă de reţea) – rata de penetrare fiind proporţională cu creșterea consumului pe piaţa gadgeturilor, dar și cu dinamica consumului pe diverse alte pieţe complementare.

În aceste condiţii trebuie definit în primul rând „despre ce vorbim”, deoarece avem în faţă o întreagă galaxie de obiecte și software-uri.

Pe de o parte se află cele circa 25 de miliarde de aparate conectate la internet, doar că marea lor majoritate nu pot fi considerate ca fiind aparate 100% IoT: este vorba de tablete sau smartphone-uri și alte artefacte care oricum pot fi „setate” de către utilizator. Sunt totuși considerate în categoria sus menţionată pentru că sunt primii receptori/utilizatori de software-uri destinate IoT în momentul în care sunt acţionate de proprietarul lor (GPS, aplicaţii de tip moderator/activator la distanţă pentru iluminatul sau încălzitul casei, frigiderul, mașina de spălat, dar și – aici ajungem la faza încă mai periculoasă – alarma și videocamerele de apărare, acţionarea deschiderii autoturismului sau a sistemului său multimedia etc).
Pe de altă parte, există aparate 100% IoT (moderatorul de lumină, moderatorul de temperatură etc.) care se activează în mod autonom, în funcţie de presetări și/sau la comanda proprietarului prin Wi-Fi, bluetooth sau reţeaua 4G. Aici încă nu pomenim de aparatura de vârf folosită în domenii precum sănătate electronică (pacemakere, centuri de insulină, etc), armată (sisteme de deminare, drone etc.).

Aparatele IoT complet autonome există deja, dar cele „critice” fie nu sunt încă foarte răspândite, fie se află abia în etapa de testare (mașina fără conducător auto etc.). Dar aici intrăm deja în câmpul de artificial intelligence și robotics, care privește mai puţin cetăţeanul și mai mult firmele mari cu infrastructuri puternice. Doar că asta e valabil doar azi, deoarece problema va exploda în următorii ani. Azi, în schimb, sunt deja foarte răspândite micile aparate de tip wearable, cum ar fi „brăţara pentru jogging” (care trimite către laptop sau smartphone informaţii despre câţi km aţi parcurs în fugă, pulsul, temperatura, caloriile consumate etc.), sau GPS-uri din noua generaţie legate cu aplicaţii PC și mobile etc.

Vivante
Pentru toate motivele menţionate mai sus, nu sunt deloc departe de adevăr previziunile de tipul celor de la World Economic Forum, care au socotit că există deja azi de trei ori mai multe „IoT” operative decât oameni pe pământ care mizează pe cca. 50 de miliarde de aparate IoT în anul 2020 (viziunea IoT „all devices inclusive”) sau previziunile celor de la Verizon, de pildă, care anunţă pentru același termen, „numai” 5,4 milarde de aparate (viziunea IoT „stricto sensu”).

Last but not least, pentru o abordare completă, trebuie amintită tendinţa de a lansa pe piaţă aparate mici care se încarcă prin USB (un fel de IoT varianta „neolitică”) și care s-au dovedit a fi livrate, în mai multe ocazii, cu malware inclus (amintim aici încărcătoarele de ţigări electronice, mici aparate de iluminat, baterii de rezervă pentru telefoane etc.). Pericolul major în ceea ce privește aceste device-uri este că utilizatorul, pentru mai multă comoditate, în loc să folosească un încărcător USB legat la priza electrică, își va încărca bateria direct din priza USB a laptop-ului său.

Privacy

Haosul și consecințele sale

IoT este una dintre cele mai mari mize financiare de azi în sectorul IT: pentru 2014, beneficiul suplimentar generat de către IoT este estimat la 1,9 trilioane de dolari. Miza este de a lansa la nesfârșit produse noi și, mai ales, servicii (cu plată) aferente, prezentate cumpărătorilor ca o îmbunătăţire semnificativă pentru viaţa lor și afacerile lor. De aceea, un leitmotiv pe care îl întâlnim des în articolele scrise de comercianţi este acela că pericolele legate de IoT sunt complet exagerate și că sunt noul front de atac în strategia de vânzări a firmelor de securitate IT.

Primul motiv al haosului: anonimitatea și netrasabilitatea „obiectului IoT”. Semnalul de alarmă tras de către NATO la summit-ul din Tallin în 2013 (merită citită analiza de situaţie descrisă în amănunt de către Michael J. Covington și Rush Carskadden, Threat Implications of the Internet of Things) a fost preluat și amplificat într-o analiză foarte detaliată a Trustware Global Security Report 2014. Paul Simmonds, CEO al Global Identity Foundation este încă și mai clar în afirmaţiile sale: dacă nu se ajunge rapid la o standardizare globală și la atribuirea unei identităţi IT fiecărui device, aparatele IoT nu vor fi niciodată sigure pentru a fi inserate fără grijă în diverse locuri din mediul înconjurător – acasa, la firmă sau într-o infrastructură critică. Această analiză culminează cu afirmaţia „a plethora of cloud-based solutions unique to each manufacturer, supplier or even device will lead to chaos and insecurity”.

De ce?

După ultimele sondaje ale Atomik Research, comandate de către compania Tripwire, mai mult de un sfert din angajaţii din firme/instituţii din domeniul „infrastructurilor critice” din USA și UK au deja conectat un IoT (pe lângă laptop-uri, tablete și smartphone-uri!) la reţeaua centrală de la locul lor de muncă. Și încă mai grav: pentru a înţelege impactul asupra companiilor mai „convenţionale”, în care mult prea mult BYOD se amestecă cu IoT, se estimează că în SUA un angajat folosește în medie 12 aplicaţii pe device-uri IoT, care în același timp sunt conectate și la reţeaua firmei.

Câteva exemple

Compania de securitate Pwnie Express a demonstrat recent că 83% din imprimantele wireless HP prezentau un risc sporit de securitate datorită unei greșeli de configurare a software-ului nativ. HP a remediat foarte rapid problema, angajând masiv specialiști pentru IoT, schimbând algoritmi, apoi propunând clienţilor săi noile configuraţii. Mai grav însă, în 2014, aceeași firmă, HP, a făcut un test aleator asupra celor mai populare 10 device-uri IT și a găsit… 250 de fisuri, adică o medie de 25 de fisuri pe device.

Ce riscăm sau „nimic nou sub soare”
[errata corrige: „nimic nou” la exponențial, sub nori de furtună].

Doar că IoT este un accelerator exponenţial pentru cybercriminali, în activitatea
lor obișnuită. Deoarece face ca furtul de date să devină încă și mai ușor și pentru că oferă sute de uși în plus pentru a penetra într-un sistem. În plus, pentru consumator, mărește în mod semnificativ (se estimează la cca. 33%) pierderea de date confidenţiale sau personale, fie datorită incompatibilităţii aplicaţiilor descărcate, fie chiar și prin utilizarea și ștergerea datelor în mod automat de către un software IoT prost configurat. Dacă adăugăm exemplul recentei „capturi” a vamei olandeze în portul Rotterdam, când au fost descoperite 20.000 de frigidere Wi-Fi cu malware deja integrat, ne dăm seama cât de interesant este IoT pentru criminali, mai ales că această operaţiune de poliţie și vamă aruncă deja în categoria „anecdote din trecutul istoric” investigaţiile FBI amintite la București acum 2 ani de către directorul adjunct al CIA, asupra unui frigider care emitea 6.000 de SPAM-uri pe minut.

Viaţa privată este și ea supusă masiv riscului. Potrivit Forbes, un atacator a reușit să exploateze vulnerabilităţile unui sistem de monitorizare a bebelușului de către părinţi, să acceseze live webcam-urile și să observe după voie activitatea unui copil de 2 ani.

În sănătatea electronică, este foarte bine cunoscut cazul fostului vicepreședinte SUA, Dick Cheney, care a cerut deconectarea defibrilatorului din pacemaker-ul său, o operaţiune „tailor-made” pentru el, care se pare că a costat proprietarul o sumă consistentă de bani.

Attack
În domeniul marilor companii și instituţii ale statelor, IoT duplică riscul unui atac convenţional de tip „Disruption & Denial of Service”. Imaginaţi-vă milioane de obiecte, hack-uite care se conectează simultan la un website. Atacurile faimoase cum ar fi cel împotriva Estoniei din 2007 vor părea o mică undiţă în faţa tsunami-ului potenţial al noilor tipuri de atacuri.

În domeniul transporturilor, și mai ales în aeronautică, IoT devine în schimb poate cea mai mare ameninţare pentru securitate. Experţii avertizează demult că acumulările de sisteme „on board” sporesc mult riscul terorist sau riscul, simplu de disfuncţiune prin conflict de aplicaţii (fie telefoane mobile și Wi-Fi, fie entertainment systems pentru pasageri, geolocalizatori și mai ales dispozitive pentru piloţi și echipaj).

news

În ceea ce privește atacurile, încă nu s-a ajuns la primul „cybercrash” sau „cyberdeturnare” revendicat de către o grupare teroristă, însă dispariţia avionului companiei Malaysian Airlines nu poate să nu ridice decât o lungă serie de întrebări, mai ales într-o epocă unde fiecare om poate să urmărescă pe radarul de zbor poziţia/altitudinea/viteza/ruta exactă și în timp real pentru oricare avion civil aflat în zbor (avioanele fiind dotate cu transponderi noi). Un exemplu bun ne este dat de către va rianta militară (cea fără pilot) a aparatelor de zbor, unde sistemele USA au fost puse într-o poziţie foarte dificilă atunci când au fost descoperite vulnerabilităţi Wi-Fi vitale ale dronelor de ultimă generaţie, cu consecinţe foarte grave. Armata Iraniana, în 2014, și cea a Federaţiei Ruse, tot în același an, au reușit să inducă aterizarea forţată a cel puţin 3 aparate, în Vestul Iranului, în Ucraina de Est și în Crimeea.

În ceea ce privește disfuncţiunile, cel mai important caz a avut loc chiar acum recent, în 29 aprilie 2015, când American Airlines a anulat aproape toate cursele către destinaţii de medie și mare distanţă, datorită unei disfuncţiuni majore a unei aplicaţii iPad (sic!) de bord. În acest caz, nu trebuie decât să rămânem consternaţi să observăm faptul că faimoasa geantă neagră „Pilot›s trolley” cu cele cca. 10 manuale guideline atotcuprinzătoare destinate cazurilor de urgenţă sau situaţiilor neobișnuite, au fost înlocuite cu o tabletă „civilă” (Apple iPad pentru American Airlines și alte companii și echivalentul Microsoft pentru Delta Airlines și alte companii) cu motivul cvasi-copilăresc de a reduce volumul de bagaj de cărat de către pilot și de a „facilita” rapiditatea accesului la aceleași informaţii atunci când situaţia se impune!

Aici este vorba de IoT în sens larg, iPad-ul neavând (oficial) nici o legătură cu sistemul de bord. Dar dacă totuși vorbim de IoT în sensul larg, nu pot decât să fiu îngrijorat de sistemele cu touchless screen (verificarea închiderii ușii, temperatura, lumina destinată utilizării de către șeful de echipaj) care sunt livrate în varianta de bază cu panelul de jos deschis (cf. photo). L-am observat în aproape toate companiile low-cost, pe când în companiile naţionale, acest panel nu există (i.e. este ascuns într-un dulap închis). În plus, în colţul aceluiași panel se află o tastatură numerică destinată pentru a deschide ușa cabinei de pilotaj… Ori ce credeţi că vedem jos, în dreapta? Un port USB…!!!

Este cutremurător de mare inconștienţa! Mai ales că exemplul Stuxnet, indiferent de variantele oficiale sau
neoficiale care se vehiculează despre ce stat/organizaţie l-a creat, a dovedit că un atac de tip SCADA bine gândit are ca ultim (și cel mai important element) insider-ul care pune o simplă cheie USB în inima sistemului… 

Concluzii
Pentru cetățeni sau firmele mici și medii „bunul simț” rezolvă 80% dintre problemele potențiale de securitate. A alege electrocasnice fără Wi-Fi, a alege o telecomandă pentru televizor, jaluzele, iluminat sau încălzirea casei, ușa mașinii sau a garajului, a nu cumpăra device-uri ieftine și a utiliza la minimul
indispensabil smartphone-ul ca și comandă de la distanță, reprezintă o axiomă fundamentală pentru a-ți asigura liniștea în viața privată și în business-ul tău. Pentru ultimul domeniu, însă, trebuie să existe regulamente clare în fiecare firmă, care să interzică angajaților să folosească IoT și software-uri cu PCuri din rețeaua companiei.

Pentru state și infrastructurile lor critice, revin la tot ceea ce am expus în introducere: odată depășită faza de vrăjeală politicoadministrativă (aflată încă în curs) asupra „îmbunătățirii / simplificării serviciilor” prin IoT, există o nevoie vitală de a defini cine va valida și autoriza/refuza IoT în funcție de securizarea lor.

În absența totală a unei definiții clare a „IoT”, desigur vor trece decenii până când se vor inventa nomenclaturi clare și până când, în consecință, se vor putea legifera cu adevărat aceste aspecte.
Dar, mai mult decât probabil, se va ajunge într-un viitor nu foarte îndepărtat la o atribuire de adrese (adresă MAC, tot felul de Serial Numbers sau Factory numbers) pentru fiecare device, începând de la cele mai răspândite și cele mai strategice, prin presiunea comună a „dușmanilor” actuali (SUA/ UK/ Rusia/ China/ India), care în ceea ce privește acest subiect au exact aceleași preocupări și aceleași voințe.

Rămâne ca fără educație și conștientizare a populației, fără strong security policy (pe mai multe niveluri) în organizații, instituții și firme, și fără o dorință nativă de controla tehnologia pe care o cumpără un individ sau o firmă, IoT-uri nesigure vor continua să prolifereze și să devină cea mai ușoară calea de acces pentru cybercrime.

EDITIE SPECIALA – INTERNET OF THINGS

1157
Pierluigi Paganini Este Chief Information Security Officer la Bit4Id, companie lider în managementul identității, membru al ENISA (European Union Agency for Network and Information...

935
Mika Lauhde Mika răspunde de Government Relations și Business Development în SSH. Înainte de a se alătura SSH Communica- tions Security, Mika a condus divizia...

1596
Ioan-Cosmin MIHAI Vicepreședinte ARASEC – Asociaţia Română pentru Asigurarea Securităţii Informaţiei Auzim din ce în ce mai des vorbindu-se despre conceptul de Internet al lucrurilor – Internet of Things...

986
autor: Jean Christophe Schwaab Recent mi-am pierdut cardul de credit şi am solicitat unul nou. În momentul comandării noului card, am cerut în mod explicit să nu...

941
Laurent Chrzanovski Anul 2015 se anunţă un an record pentru firmele de securitate IT, așa cum reiese foarte clar și din rapoartele financiare pentru Q1 publicate de către...

952
Laurent Chrzanovski Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română,...