Hlavní navigace

Bruce Schneier: Internet věcí přinese útoky, které si neumíme představit

Daniel Dočekal 9. 8. 2016

Propojení produktů a zařízení reálného světa s internetem zadělává na katastrofu. Tvrdí to známý bezpečnostní odborník Bruce Schneier.

Divíte se Bruce Schneierovi, že varuje před bezpečnostními problémy přicházejícími s nástupem tzv. Internetu věcí (IoT)? Ono se vlastně nejde nedivit. Stačí se podívat na čerstvý případ závažných bezpečnostních děr v „chytrých“ žárovkách od společnosti Osram. Jsou plné zásadních chyb a některé z nich se Osram ani nechystá opravit. Jsou přitom zneužitelné k útoku na domácí či firemní sítě, získávání hesla k bezdrátovým sítím a děravý je i protokol (ZigBee), který používají žárovky pro komunikaci.

Pokud bude výroba internetově připojených produktů neřízeně ponechána v rukou ignorantů, nelze očekávat nic jiného, než před čím Schneier ve svém článku pro magazín Motherboard varuje. Říká, že útočníci mohou s daty dělat tři zásadní věci – krást je, měnit je nebo zabraňovat vlastníkům v přístupu k nim. Právě poslední dva druhy útoků se s příchodem IoT mohou podle Schneiera stát extrémně účinné.

Je rozdíl mezím tím, jestli někdo použije váš chytrý zámek ke zjištění, jestli je někdo doma, a tím, když útočník může zámek odemknout a dveře otevřít, nebo, ještě hůře, když vám dokáže znemožnit dveře otevřít. „Útočník, který vám může zabránit řídit vaše auto či jej dokáže ovládnout, je nebezpečnější než někdo, kdo odposlouchává vaši konverzaci či sleduje, kde se vaše auto nachází,“ říká Schneier.

Manipulace při volbách

Něco na Schneierově tvrzení, že IOT přinese útoky, „které si ještě ani nedokážeme představit“, bude. Pokud seriózní a velké firmy přistupují k bezpečnosti IoT natolik laxně jako Osram, jak asi bude vypadat trh zaplavený levnými IoT senzory a zařízeními z Číny? Stačí se podívat, jak na tom jsou s bezpečností dětské chůvičky. Coby předzvěst stavu zařízení Internetu věcí je to dostatečně vypovídající.

Nakonec už loni hackeři předvedli, jak mohou na dálku ovládat auto. Stejně jako v případě žárovek se zde ukázalo, že Chrysler a jejich UConnect jsou hackerům pro srandu. Od té doby se ukázalo, že podobně laxní přístup k bezpečnosti je v automobilovém průmyslu běžný. Ukázalo se ale také to, že místo zabezpečení se automobiloví výrobci spíše starají o to, jak právně znemožnit zveřejňování informací o jejich mizerné práci.

Schneier pochopitelně upozorňuje, že nástup IoT může znamenat, že někdo ovládne nejen auto, ale dokonce i letadlo. Ale také může zaútočit na medicínská zařízení či prostým ovládáním termostatu způsobit zásadní zvýšení či snížení teploty.

Postupující elektronizace voleb navíc podle Schneiera znamená, že v budoucnosti budeme muset více a více řešit manipulace s hlasováním. A nejde jen o útoky hackerů, ale také o možné zásahy vlád samotných. Poukazuje přitom na čerstvý případ, kdy ruští hackeři pronikli do systému DNC (Democratic National Commitee) a přes WikiLeaks vypustili tisíce interních e-mailů.

Nedostatek zkušeností, ale také povědomí

Už dříve se řešilo, že IoT si bude muset projít stejnou cestou jako každá jiná kategorie zařízení. Počítače i mobily byly před mnoha lety ve stejné situaci, do které se vzápětí dostaly webové aplikace a informační systémy vůbec. Dodnes je možné narazit na děravé weby, na absurdní začátečnické chyby, nedodržování pravidel a postupů, o kterých víme řadu let.

Počítačový i mobilní hardware i software, stejně jako internet, má dnes vybudované tolik potřebné bezpečné architektury, postupy, pravidla. Internet věcí prozatím nic takového nemá. Miniaturnost zařízení a jejich hardware, ale i rozdílné komunikační metody a protokoly, znamenají, že je vše nevyzkoušené. Stejně jako v dřívějších případech i tady navíc občas platí, že se firky snaží některé produkty uvádět na trh co nejrychleji – bez ohledu na to, zda jsou dokončené a bezpečné.

IoT je podobné BYOD, tedy situaci, kdy se do firem přinášejí vlastní zařízení a správci firemních informačních systémů a sítí si s tím moc neví rady. Stejně jako si s tím v zásadě neví rady tvůrci těchto zařízení, protože s nějakým použitím ve firemním prostředí nepočítají.

Jak asi dopadne svět, když podle Gartnerů máme už tento rok využívat 6,4 miliardy zařízení spadajících do IoT. Za další čtyři roky by to mělo být 20,8 miliardy zařízení. Řada z těchto zařízení navíc bude mít oproti běžnému životnímu cyklu mobilních telefonů, tabletů či laptopů podstatně delší životnost. Jak bude výrobce automobilů schopen chránit bezpečnost modelu z roku 2020 o deset let později? Nebo ledničky, která vám doma může stát i dobrých patnáct let? Jak dlouho trvalo, než se Microsoft naučil, jak aktualizovat vlastní operační systém?

Dokud nezemřou první lidé

„Příští prezident bude pravděpodobně nucen řešit rozsáhlé internetové neštěstí, které usmrtí řadu lidí,“ píše Schneier. Můžete si o něm sice říkat, že maluje čerty na zeď a je zbytečně negativní, ale to, co říká, je logické a odpovídá to tomu, že se dnes kdejaká hloupost stává počítačem.

To samotné by až tak velkou hrozbou nebylo, ale vzájemná propojitelnost a ovladatelnost (i na dálku) znamená, že cokoliv takového se může stát terčem útočníků. Nakonec samořiditelná auta sice určitě budou jednou běžně jezdit po silnicích, ale než k nim dojdeme, bude zde ještě mnoho případů, kdy nebude jasné, zda za smrt člověka může auto nebo člověk v něm. Nemluvě o situacích, kdy se má auto rozhodnout, koho obětovat.

Nezbytné ale bude nakonec i to, aby se do celé téhle patálie vložily vlády. Je více než jisté, že bez jasných zákonů, dohledu a tlaku se nic „samo“ nevyřeší. Výrobci IoT zařízení mají nakonec jenom stále stejnou motivaci: co nejdříve uvést na trh a co nejvíce prodat. 

Našli jste v článku chybu?

9. 8. 2016 10:27

Petr M (neregistrovaný)

Po šesti letech vývoje domácí automatizace (a to i s konektivitou na servery) a řešení průšvihů, rozborech chyb konkurence a tak, můžu říct, že pán je optimista a dost ty patlaly podceňuje.

Pravidla návrhu zařízení jsou:
1) Testuj hardware i software.
2) Bezpečnost se řeší okamžitě, ne pomocí záplat.
3) Šifrovat, šifrovat, šifrovat.
4) Zařízení musí fungovat i při výpadku konektivity. Ta je jenom jako bonus.
5) Pokud to nemusíš k ničemu připojovat, tak to k ničemu nepřipojuj.
6) Pokud to …




9. 8. 2016 9:56

Karel (neregistrovaný)

Alobal nepomůže. Dostanete povinnost to používat ze zákona a nenaděláte nic.

Už dnes existujou čidla/měřáky na radiatorech, kde pro odečet není nutné chodit do bytu, ale přečtou to z chodníku před domem. Domovní elektroměr vám taky odečtou na dálku a nemusí tam chodit borec od čezu.
Ani bych se nedivil, kdyby to v blízké budoucnosti bylo jako povinnost v TV (kontrola placení konces. poplatků), požární hlásiče, spotřeba vody atd. Stačí, aby příslušný výrobce vhodně zaloboval u zákonodárce (pocho…

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: Změny v daních z příjmů pro podnikatele

Změny v daních z příjmů pro podnikatele

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: E-Ježíšek si i letos zařádí. Nákupy od 2 do 5 tisíc

E-Ježíšek si i letos zařádí. Nákupy od 2 do 5 tisíc

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

DigiZone.cz: Digi CZ výrazně zlevnila balíček HBO

Digi CZ výrazně zlevnila balíček HBO

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

DigiZone.cz: HD programy ČT i v UPC Horizon

HD programy ČT i v UPC Horizon

Podnikatel.cz: Na poslední chvíli šokuje výjimkami v EET

Na poslední chvíli šokuje výjimkami v EET

DigiZone.cz: Milan Kruml: procházka TV historií

Milan Kruml: procházka TV historií

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

Měšec.cz: Platby do zahraničí: pozor na tučné poplatky

Platby do zahraničí: pozor na tučné poplatky

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Podnikatel.cz: Na 3. prosince se chystá protest proti EET

Na 3. prosince se chystá protest proti EET