IoT = Iad (sau Paradis?)

IoT = Iad (sau Paradis?)

Laurent Chrzanovski

Cu un doctorat în Arheologie Romană obținut de la Universitatea din Lausanne, o diplomă de cercetare postdoctorala în istorie și sociologie la Academia Română, Filiala Cluj-Napoca și o abilitare UE în a coordona doctorate în istorie și științe conexe, Laurent Chrzanovski este co-director de doctorate la școala doctorala la Universitatea Lyon II Lumière și susține regulat cursuri post-doctorale în cadrul mai multor universități principalele din UE; fiind de asemenea, profesor invitat la Universitățile din Fribourg, Geneva și Sibiu. Laurent Chrzanovski este autor/editor a 18 cărți și a peste o sută de articole științifice. În domeniul securității, este membru a „Roster of Experts” din ITU, membru a think-tank „e-Health and Data Privacy” sub egida Senatului Italian, și manager al congresului anual „Cybersecurity in Romania. A macro-regional public-private dialogue platform”.

Metodologie de lucru

Internet of Things (IoT) este astăzi cel mai vag definit termen folosit de către specialiști și cetăţeni. Ca și comparaţie, putem spune, de exemplu, că este mult mai vag decât Digital Identity.

De fapt, IoT a apărut ca și concept din momentul în care la Internet au început să fie conectate și altceva decât calculatoare – deși PC-urile clasice și ulterior laptop-urile puteau fi considerate de asemenea „things”. Astfel, nevoia de identificare unică a unui dispozitiv – lucru care exista online a apărut de la începutul reţelelor de orice fel.

La început, deoarece producătorii erau puţini, câteva brand-uri, standardele industriale regionale, internaţionale (ITU, ETSI, NIST etc.) au fost respectate, astfel încât, indiferent de mediul fizic de conectare (fir de cupru, LAN, toate standardele wireless, fibră optică etc.), cam toate device-urile au fost produse cu identificatori unici, dificil de replicat sau, în orice caz, rata de erori/fraude/riscuri nu impunea măsuri suplimentare decât în reţele cu grad ridicat de sensibilitate unde erau implementate și alte măsuri.

Ulterior, o dată cu explozia conectivităţii la nivel global, a creșterii exponenţiale a puterii de calcul mobile și a uriașului număr de aplicaţii, lucrurile au evoluat în ultimii ani și astfel au apărut din ce în ce mai mulţi producători de elemente de reţelistică – mulţi dintre ei care nu respectă niciun standard comun recunoscut -, iar preţurile de producţie au făcut ca acestea să pătrundă extrem de rapid pe toate pieţele, inclusiv cele emergente. Aceste elemente de reţelistică, menţionate mai sus, au fost înglobate și în alte „lucruri” (despre orice obiect vorbim, are o interfaţă de reţea) – rata de penetrare fiind proporţională cu creșterea consumului pe piaţa gadgeturilor, dar și cu dinamica consumului pe diverse alte pieţe complementare.

În aceste condiţii trebuie definit în primul rând „despre ce vorbim”, deoarece avem în faţă o întreagă galaxie de obiecte și software-uri.

Pe de o parte se află cele circa 25 de miliarde de aparate conectate la internet, doar că marea lor majoritate nu pot fi considerate ca fiind aparate 100% IoT: este vorba de tablete sau smartphone-uri și alte artefacte care oricum pot fi „setate” de către utilizator. Sunt totuși considerate în categoria sus menţionată pentru că sunt primii receptori/utilizatori de software-uri destinate IoT în momentul în care sunt acţionate de proprietarul lor (GPS, aplicaţii de tip moderator/activator la distanţă pentru iluminatul sau încălzitul casei, frigiderul, mașina de spălat, dar și – aici ajungem la faza încă mai periculoasă – alarma și videocamerele de apărare, acţionarea deschiderii autoturismului sau a sistemului său multimedia etc).
Pe de altă parte, există aparate 100% IoT (moderatorul de lumină, moderatorul de temperatură etc.) care se activează în mod autonom, în funcţie de presetări și/sau la comanda proprietarului prin Wi-Fi, bluetooth sau reţeaua 4G. Aici încă nu pomenim de aparatura de vârf folosită în domenii precum sănătate electronică (pacemakere, centuri de insulină, etc), armată (sisteme de deminare, drone etc.).

Aparatele IoT complet autonome există deja, dar cele „critice” fie nu sunt încă foarte răspândite, fie se află abia în etapa de testare (mașina fără conducător auto etc.). Dar aici intrăm deja în câmpul de artificial intelligence și robotics, care privește mai puţin cetăţeanul și mai mult firmele mari cu infrastructuri puternice. Doar că asta e valabil doar azi, deoarece problema va exploda în următorii ani. Azi, în schimb, sunt deja foarte răspândite micile aparate de tip wearable, cum ar fi „brăţara pentru jogging” (care trimite către laptop sau smartphone informaţii despre câţi km aţi parcurs în fugă, pulsul, temperatura, caloriile consumate etc.), sau GPS-uri din noua generaţie legate cu aplicaţii PC și mobile etc.

Vivante
Pentru toate motivele menţionate mai sus, nu sunt deloc departe de adevăr previziunile de tipul celor de la World Economic Forum, care au socotit că există deja azi de trei ori mai multe „IoT” operative decât oameni pe pământ care mizează pe cca. 50 de miliarde de aparate IoT în anul 2020 (viziunea IoT „all devices inclusive”) sau previziunile celor de la Verizon, de pildă, care anunţă pentru același termen, „numai” 5,4 milarde de aparate (viziunea IoT „stricto sensu”).

Last but not least, pentru o abordare completă, trebuie amintită tendinţa de a lansa pe piaţă aparate mici care se încarcă prin USB (un fel de IoT varianta „neolitică”) și care s-au dovedit a fi livrate, în mai multe ocazii, cu malware inclus (amintim aici încărcătoarele de ţigări electronice, mici aparate de iluminat, baterii de rezervă pentru telefoane etc.). Pericolul major în ceea ce privește aceste device-uri este că utilizatorul, pentru mai multă comoditate, în loc să folosească un încărcător USB legat la priza electrică, își va încărca bateria direct din priza USB a laptop-ului său.

Privacy

Haosul și consecințele sale

IoT este una dintre cele mai mari mize financiare de azi în sectorul IT: pentru 2014, beneficiul suplimentar generat de către IoT este estimat la 1,9 trilioane de dolari. Miza este de a lansa la nesfârșit produse noi și, mai ales, servicii (cu plată) aferente, prezentate cumpărătorilor ca o îmbunătăţire semnificativă pentru viaţa lor și afacerile lor. De aceea, un leitmotiv pe care îl întâlnim des în articolele scrise de comercianţi este acela că pericolele legate de IoT sunt complet exagerate și că sunt noul front de atac în strategia de vânzări a firmelor de securitate IT.

Primul motiv al haosului: anonimitatea și netrasabilitatea „obiectului IoT”. Semnalul de alarmă tras de către NATO la summit-ul din Tallin în 2013 (merită citită analiza de situaţie descrisă în amănunt de către Michael J. Covington și Rush Carskadden, Threat Implications of the Internet of Things) a fost preluat și amplificat într-o analiză foarte detaliată a Trustware Global Security Report 2014. Paul Simmonds, CEO al Global Identity Foundation este încă și mai clar în afirmaţiile sale: dacă nu se ajunge rapid la o standardizare globală și la atribuirea unei identităţi IT fiecărui device, aparatele IoT nu vor fi niciodată sigure pentru a fi inserate fără grijă în diverse locuri din mediul înconjurător – acasa, la firmă sau într-o infrastructură critică. Această analiză culminează cu afirmaţia „a plethora of cloud-based solutions unique to each manufacturer, supplier or even device will lead to chaos and insecurity”.

De ce?

După ultimele sondaje ale Atomik Research, comandate de către compania Tripwire, mai mult de un sfert din angajaţii din firme/instituţii din domeniul „infrastructurilor critice” din USA și UK au deja conectat un IoT (pe lângă laptop-uri, tablete și smartphone-uri!) la reţeaua centrală de la locul lor de muncă. Și încă mai grav: pentru a înţelege impactul asupra companiilor mai „convenţionale”, în care mult prea mult BYOD se amestecă cu IoT, se estimează că în SUA un angajat folosește în medie 12 aplicaţii pe device-uri IoT, care în același timp sunt conectate și la reţeaua firmei.

Câteva exemple

Compania de securitate Pwnie Express a demonstrat recent că 83% din imprimantele wireless HP prezentau un risc sporit de securitate datorită unei greșeli de configurare a software-ului nativ. HP a remediat foarte rapid problema, angajând masiv specialiști pentru IoT, schimbând algoritmi, apoi propunând clienţilor săi noile configuraţii. Mai grav însă, în 2014, aceeași firmă, HP, a făcut un test aleator asupra celor mai populare 10 device-uri IT și a găsit… 250 de fisuri, adică o medie de 25 de fisuri pe device.

Ce riscăm sau „nimic nou sub soare”
[errata corrige: „nimic nou” la exponențial, sub nori de furtună].

Doar că IoT este un accelerator exponenţial pentru cybercriminali, în activitatea
lor obișnuită. Deoarece face ca furtul de date să devină încă și mai ușor și pentru că oferă sute de uși în plus pentru a penetra într-un sistem. În plus, pentru consumator, mărește în mod semnificativ (se estimează la cca. 33%) pierderea de date confidenţiale sau personale, fie datorită incompatibilităţii aplicaţiilor descărcate, fie chiar și prin utilizarea și ștergerea datelor în mod automat de către un software IoT prost configurat. Dacă adăugăm exemplul recentei „capturi” a vamei olandeze în portul Rotterdam, când au fost descoperite 20.000 de frigidere Wi-Fi cu malware deja integrat, ne dăm seama cât de interesant este IoT pentru criminali, mai ales că această operaţiune de poliţie și vamă aruncă deja în categoria „anecdote din trecutul istoric” investigaţiile FBI amintite la București acum 2 ani de către directorul adjunct al CIA, asupra unui frigider care emitea 6.000 de SPAM-uri pe minut.

Viaţa privată este și ea supusă masiv riscului. Potrivit Forbes, un atacator a reușit să exploateze vulnerabilităţile unui sistem de monitorizare a bebelușului de către părinţi, să acceseze live webcam-urile și să observe după voie activitatea unui copil de 2 ani.

În sănătatea electronică, este foarte bine cunoscut cazul fostului vicepreședinte SUA, Dick Cheney, care a cerut deconectarea defibrilatorului din pacemaker-ul său, o operaţiune „tailor-made” pentru el, care se pare că a costat proprietarul o sumă consistentă de bani.

Attack
În domeniul marilor companii și instituţii ale statelor, IoT duplică riscul unui atac convenţional de tip „Disruption & Denial of Service”. Imaginaţi-vă milioane de obiecte, hack-uite care se conectează simultan la un website. Atacurile faimoase cum ar fi cel împotriva Estoniei din 2007 vor părea o mică undiţă în faţa tsunami-ului potenţial al noilor tipuri de atacuri.

În domeniul transporturilor, și mai ales în aeronautică, IoT devine în schimb poate cea mai mare ameninţare pentru securitate. Experţii avertizează demult că acumulările de sisteme „on board” sporesc mult riscul terorist sau riscul, simplu de disfuncţiune prin conflict de aplicaţii (fie telefoane mobile și Wi-Fi, fie entertainment systems pentru pasageri, geolocalizatori și mai ales dispozitive pentru piloţi și echipaj).

news

În ceea ce privește atacurile, încă nu s-a ajuns la primul „cybercrash” sau „cyberdeturnare” revendicat de către o grupare teroristă, însă dispariţia avionului companiei Malaysian Airlines nu poate să nu ridice decât o lungă serie de întrebări, mai ales într-o epocă unde fiecare om poate să urmărescă pe radarul de zbor poziţia/altitudinea/viteza/ruta exactă și în timp real pentru oricare avion civil aflat în zbor (avioanele fiind dotate cu transponderi noi). Un exemplu bun ne este dat de către va rianta militară (cea fără pilot) a aparatelor de zbor, unde sistemele USA au fost puse într-o poziţie foarte dificilă atunci când au fost descoperite vulnerabilităţi Wi-Fi vitale ale dronelor de ultimă generaţie, cu consecinţe foarte grave. Armata Iraniana, în 2014, și cea a Federaţiei Ruse, tot în același an, au reușit să inducă aterizarea forţată a cel puţin 3 aparate, în Vestul Iranului, în Ucraina de Est și în Crimeea.

În ceea ce privește disfuncţiunile, cel mai important caz a avut loc chiar acum recent, în 29 aprilie 2015, când American Airlines a anulat aproape toate cursele către destinaţii de medie și mare distanţă, datorită unei disfuncţiuni majore a unei aplicaţii iPad (sic!) de bord. În acest caz, nu trebuie decât să rămânem consternaţi să observăm faptul că faimoasa geantă neagră „Pilot›s trolley” cu cele cca. 10 manuale guideline atotcuprinzătoare destinate cazurilor de urgenţă sau situaţiilor neobișnuite, au fost înlocuite cu o tabletă „civilă” (Apple iPad pentru American Airlines și alte companii și echivalentul Microsoft pentru Delta Airlines și alte companii) cu motivul cvasi-copilăresc de a reduce volumul de bagaj de cărat de către pilot și de a „facilita” rapiditatea accesului la aceleași informaţii atunci când situaţia se impune!

Aici este vorba de IoT în sens larg, iPad-ul neavând (oficial) nici o legătură cu sistemul de bord. Dar dacă totuși vorbim de IoT în sensul larg, nu pot decât să fiu îngrijorat de sistemele cu touchless screen (verificarea închiderii ușii, temperatura, lumina destinată utilizării de către șeful de echipaj) care sunt livrate în varianta de bază cu panelul de jos deschis (cf. photo). L-am observat în aproape toate companiile low-cost, pe când în companiile naţionale, acest panel nu există (i.e. este ascuns într-un dulap închis). În plus, în colţul aceluiași panel se află o tastatură numerică destinată pentru a deschide ușa cabinei de pilotaj… Ori ce credeţi că vedem jos, în dreapta? Un port USB…!!!

Este cutremurător de mare inconștienţa! Mai ales că exemplul Stuxnet, indiferent de variantele oficiale sau
neoficiale care se vehiculează despre ce stat/organizaţie l-a creat, a dovedit că un atac de tip SCADA bine gândit are ca ultim (și cel mai important element) insider-ul care pune o simplă cheie USB în inima sistemului… 

Concluzii
Pentru cetățeni sau firmele mici și medii „bunul simț” rezolvă 80% dintre problemele potențiale de securitate. A alege electrocasnice fără Wi-Fi, a alege o telecomandă pentru televizor, jaluzele, iluminat sau încălzirea casei, ușa mașinii sau a garajului, a nu cumpăra device-uri ieftine și a utiliza la minimul
indispensabil smartphone-ul ca și comandă de la distanță, reprezintă o axiomă fundamentală pentru a-ți asigura liniștea în viața privată și în business-ul tău. Pentru ultimul domeniu, însă, trebuie să existe regulamente clare în fiecare firmă, care să interzică angajaților să folosească IoT și software-uri cu PCuri din rețeaua companiei.

Pentru state și infrastructurile lor critice, revin la tot ceea ce am expus în introducere: odată depășită faza de vrăjeală politicoadministrativă (aflată încă în curs) asupra „îmbunătățirii / simplificării serviciilor” prin IoT, există o nevoie vitală de a defini cine va valida și autoriza/refuza IoT în funcție de securizarea lor.

În absența totală a unei definiții clare a „IoT”, desigur vor trece decenii până când se vor inventa nomenclaturi clare și până când, în consecință, se vor putea legifera cu adevărat aceste aspecte.
Dar, mai mult decât probabil, se va ajunge într-un viitor nu foarte îndepărtat la o atribuire de adrese (adresă MAC, tot felul de Serial Numbers sau Factory numbers) pentru fiecare device, începând de la cele mai răspândite și cele mai strategice, prin presiunea comună a „dușmanilor” actuali (SUA/ UK/ Rusia/ China/ India), care în ceea ce privește acest subiect au exact aceleași preocupări și aceleași voințe.

Rămâne ca fără educație și conștientizare a populației, fără strong security policy (pe mai multe niveluri) în organizații, instituții și firme, și fără o dorință nativă de controla tehnologia pe care o cumpără un individ sau o firmă, IoT-uri nesigure vor continua să prolifereze și să devină cea mai ușoară calea de acces pentru cybercrime.