Rajtad tartjuk a szemünket, éjjel is

2018. július 23. 11:26 - Csizmazia Darab István [Rambo]

Az Internet of Things (IoT), azaz a dolgok internete egy olyan fejezetet nyitott a sérülékeny eszközökkel való együttélésben, a soha véget nem érő hibajavítgatásban, amely ezzel minden IT biztonságért felelős munkatárs, vagy otthonában ilyen dolgokat működtető biztonságtudatos felhasználó rémálmát válthatja valóra.

Csak a routerek esetében is tucatnyi példát hozhatunk elő, elég a legutóbbi VPNfilter sebezhetőségre gondolni: vajon hány helyen történt meg a teljes hibajavítás, firmware csere, admin jelszó változtatás, és hány helyen azóta sem?

Ahogy az IoT eszközöknél emlegetni szoktuk, a vírustörténelem 32 esztendeje után is csak "#meg nem tanult lecke" hashtaggel illethetjük azokat az okoseszköznek csúfolt megoldásokat, ahol gyakran még a legújabb fejlesztéseknél is hiányoznak a szakmai minimumként definiálható biztonsági intézkedések: clear textben utazó adatok, nincs hitelesítés, nincs brute force elleni védelem, jellemző a bedrótozott hardcoded root passwordok használata, a hiányzó titkosítás, a megszüntethetetlen törölhetetlen profilok, vagy a teljességgel hiányzó rendszeres hibajavító frissítés miatt kaphatunk a fejünkhöz.

Mindeközben viszont a Gartner előrejelzései szerint pár éven belül már 50 milliárd netre pakolt IoT eszköz könnyíti vagy nehezíti majd az életünket.

Ezen alap hiányosságokon - amelyek sajnos számos orvosi eszközt is érintenek - vannak ugyanakkor további "érdekességek" is, amelyek az IT biztonság szemüvegén keresztül gyenge pontnak látszanak. Ilyen például a Modern technológiák egyedi nézőpontból előadásban is bemutatott robotporszívó is, amelynél ugyanaz a kérdés feltehető, mint az okostelefonok, tabletek, noteszgépek, számítógépek vagy kamerás játékkonzolok esetén - vajon kukkolnak-e minket?

Ahogy aztán szép lassan mindenkinek eljut a tudatába - Edward Snowden óta különösen - hogy csak a letakart kamera a jó kamera, amikor éppen nem használjuk, jó kérdés, hogy néz ki mindez egy okos-porszívó esetében.

Vajon James Comey, az FBI előző igazgatója vagy Mark Zuckerberg és Mikko Hypponen, akik pedánsan letakarják a noteszgépük webkameráját, vajon mit tennének egy robotporszívóval?

Ugyanis egy friss hír szerint a Positive Technologies biztonsági szakértői olyan biztonsági hiányosságokat találtak a Dongguan Diqee 360 robotporszívóban, melyek kihasználásával távoli támadók képesek átvenni a készülék irányítását, beleértve az éjjellátó kamera és a mikrofon vezérlését is.

Az ilyen jellegű félelmek a tapasztalatok szerint egyre inkább jogosak és megalapozottak a felhasználók részéről, hiszen alig két hónapja történt az az incidens, amelyben egy Amazon Alexa egy kihallgatott családi magánbeszélgetést közvetített ki észrevétlenül és önhatalmúlag illetéktelen személyeknek. A cég védekezése az ügyben a mélyen szánalmas, és a hihetetlen-hiteltelen kategóriát súrolta, ugyanis azt próbálták az áldozatoknak bemagyarázni, hogy az Alexa eszköz állítólag a beszédből kihallotta a saját nevét (ezzel megszólítva kérhetünk vagy kérdezhetünk tőle), valamint ugyancsak állítólag kihallotta a "send message" parancsot is, valamint állítólag a címzett nevét.

Mindezeket a temérdek "állítólagot" felvonultató incidenst elszenvedő család tételesen cáfolta, a készülék közvetlen közelében tartózkodtak, semmilyen parancsot nem adtak ki, szerintük ez sokkal inkább valamilyen más hiba miatt következhetett be. 

Az, hogy a jövőben egészen újfajta, közel paranoid hozzáállásra van szükség, két másik incidens is kiválóan demonstrálja. Idén januárban derült ki, hogy titkos katonai bázisok pontos helyszínét leplezte le véletlenül a Strava nevű futáshoz használt fitness app. Az anonim statisztikák, amelyek a katonák által óvatlanul kerültek megosztásra, a netre feltöltve a nyilvánosságra hozott hőtérképeken egyértelműen beazonosíthatóvá tettek többek között Szíriában és Irakban található katonai bázisokat az azok körüli futóútvonalak révén.

A másik esetnél pedig idén áprilisban a Business Insider számolt be először arról, hogy egy meg nem nevezett észak-amerikai kaszinóból a támadók úgy tudták az adatbázist ellopni, hogy a hallban található akvárium okoshőmérőjét törték fel, és ezen át jutottak be a hálózatba, és töltötték fel távolról a felhőbe az adatállományt.

Szóval itt tartunk most, a jó kis IoT eszközök egyszerre nyújtanak lehetőséget a kényelemre és a veszélyeztetettségre. Érdemes alaposan átgondolni a használatukat, és jó volna végre egy kis nyomást gyakorolni a gyártókra is, akiknek szemmel láthatóan a gyors profit sajnos gyakorta előrébb való a hosszú távú biztonságos működés alapoktól való betervezésénél.

Szólj hozzá!

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása