Vulnerabilităţi ale dispozitivelor IoT și recomandări de securizare

Vulnerabilităţi ale dispozitivelor IoT și recomandări de securizare

Cătălin PĂTRAȘCU Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetica, proiecte tehnice și exerciții cibernetice
Cătălin PĂTRAȘCU
Șef Serviciu Securitate Informatică și Monitorizare la CERT-RO, poziție din care a coordonat numeroase activități de răspuns la incidente de securitate cibernetica, proiecte tehnice și exerciții cibernetice

Tendinţele ultimilor ani în ceea ce privește expansiunea reţelei globale Internet, dar și studiile efectuate în acest sens arată un ritm impresionant de creștere a numărului de dispozitive conectate, aproximativ 5 miliarde în prezent, însă predicţiile pentru anul 2020 avansează o cifră de ordinul zecilor de miliarde.

Numărul și mai ales diversitatea terminalelor conectate la Internet generează oportunităţi economice semnificative, însă aduce și provocări fără precedent pentru securitatea cibernetică, precum securizarea „obiectelor” conectate la Internet, a căror arhitectură și destinaţie diferă multe de clasicele computere, de unde și apariţia noţiunii de Internet of Things (IoT). Practic ne referim la obiecte ce înglobează componente hardware și software dedicate și optimizate rolului acestora, precum obiectele de uz casnic și cele personale, dar și sisteme industriale.

Tot mai multe dispozitive IoT populare precum televizoarele inteligente, camerele web, termostatele casnice, alarmele din locuinţe și sistemele de control acces sunt comandate de la distanţă, prin Internet, cu ajutorul unor servicii de tip cloud sau aplicaţii de telefon mobil.

Un studiu efectuat de HP în anul 2014 asupra celor mai populare dispozitive IoT arată că peste 70% dintre acestea prezintă vulnerabilităţi ce pot fi exploatate de atacatori. Și mai grav, marea majoritate a acestora rămân vulnerabile o perioadă mare de timp, rata de rezolvare a vulnerabilităţilor fiind mult mai mică decât în cazul sistemelor și aplicaţiilor informatice clasice.

Recent cineva mi-a adresat întrebarea „Ce pot face pentru a securiza noul meu Smart TV pe care l-am conectat la Internet?”. Altcineva a intervenit imediat și mi-a acordat răgaz de gândire răspunzând în locul meu că „Nu aveţi nicio șansă! Pur și simplu ar trebui să-l deconectaţi de la Internet” și a continuat argumentându-și punctul de vedere. Nu am putut fi de acord cu această soluţie radicală și am argumentat că nu putem renunţa așa de ușor la o facilitate a televizorului pe care majoritatea o consideră utilă și care este până la urmă rezultatul unei evoluţii tehnologice.

În cele ce urmează mi-am propus să prezint o abordare holistică a problemei securizării dispozitivelor IoT, pornind de la cele mai importante categorii de vulnerabilităţi ale acestor dispozitive, pe baza informaţiilor prezentate de proiectul OWASP Internet of Things Top 10 și conform datelor deţinute de CERT-RO în calitate de punct naţional de contact pentru raportarea vulnerabilităţilor și incidentelor de securitate cibernetică. Astfel, cele mai frecvente categorii de vulnerabilităţi ale dispozitivelor IoT sunt:

  • Interfaţă web nesigură;
  • Mecanism de autentificare/autorizare insuficient;
  • Servicii de reţea nesigure;
  • Lipsa criptării la nivelul transportului de date;
  • Probleme de confidenţialitate a datelor;
  • Interfaţă cloud nesigură;
  • Interfaţă mobilă nesigură;
  • Configurabilitate a securităţii insuficientă;
  • Software/Firmware nesigur;
  • Securitate fizică scăzută.

Abordarea vulnerabilităţilor enumerate anterior se poate realiza din perspectiva utilizatorilor, a producătorilor, dar și a celor care realizează testarea acestora.

Cu promisiunea că în perioada imediat următoare veţi regăsi un ghid complet al securizării dispozitivelor IoT, realizat de echipa CERT-RO și care va fi postat pe portalul web al instituţiei, dar și din considerente de spaţiu alocat acestui articol, prezint în rândurile de mai jos doar o serie de recomandări adresate utilizatorilor de dispozitive IoT:

  • Verificaţi dacă dispozitivul dispune de opţiunea HTTPS pentru cripta rea traficului de date și în caz afirmativ asiguraţi-vă că este activă;
  • Dacã dispozitivul dispune de opþiuni de criptare, asiguraþi-vã cã utilizaþi standarde acceptabile precum AES-256;
  • Verificați dacã dispozitivul suportã autentificare în doi pași (two factor) .în caz afirmativ activați aceastã opțiune;
  • Verificați dacã dispozitivul dispune de un firewall web și în caz afirmativ activați-l;
  • Dacã dispozitivul dispune de un firewall, activați-l și configurați-l astfel încât dispozitivul sã fie accesibil numai de la sistemele dvs.;
  • Dacã dispozitivul dispune de o aplicaþie web localã sau în cloud, schimbați parola implicitã cu una cât mai puternicã și schimbați numele de utilizator implicit dacã este posibil;
  • Dacã dispozitivul dispune de opțiunea de a solicita schimbarea parolei dupã un anumit numãr de zile (90 de zile spre exemplu), asigurați-vã cã acesta este activã;
  • Verificați dacã dispozitivul dispune de funcționalitatea de blocare a contului de utilizator în cazul unor încercãri repetate de autentificare nereușite și în caz afirmativ activați-o;
  • Implementați o tehnologie de segmentare a rețelei, prin utilizarea unui firewall spre exemplu, astfel încât sã realizați o izolare a dispozitivelor IoT de restul sistemelor informatice;
  • Dacã dispozitivul permite setarea privilegiilor la nivel de utilizator, setați-le pe principiul minimului necesar operãrii;
  • Nu introduceți informații confidențiale în cadrul dispozitivelor dacã nu este absolut necesar;
  • În cazul în care aveți de ales și nu este neapãrat necesar pentru funcționarea dispozitivului, nu activați opțiunile de colectare de date din dispozitiv;
  • În cazul în care dispozitivul permite, activați funcționalitãțile de jurnalizare (logging) a evenimentelor de
    securitate;
  • În cazul în care dispozitivul permite, activați funcționalitãțile de alertare/notificarea a evenimentele de securitate;
  • Activați opțiunea de actualizare automatã și regulatã a dispozitivului, în cazul în care dispune de o astfel de opțiune;
  • Activați orice facilitãți de limitare a accesului fizic neautorizat la sistem (anti-furt, localizare GPS, ștergere a informațiilor stocate de la distanțã etc.);
  • Dezactivați porturile fizice neutilizate prin intermediul interfeței de administrare.

Și pentru a nu încheia fãrã a rãspunde la întrebarea legatã de securizarea televizoarelor inteligente (Smart TV), vã încurajez sã încercați aplicarea tuturor recomandãrilor menționate anterior, în mãsura în care dispozitivul permite, în special cea referitoare la segmentarea rețelei utilizând un firewall, un router WiFi care oferã aceastã opțiune sau chiar dispozitive (hub, appliance) dedicate securizãrii dispozitivelor IoT.