User Rating: 0 / 5

Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
 

Kompiuterijos, buitinės elektronikos ir kitos, neretai mažiausiai su internetu susijusios, kompanijos mums perša naujo sujungto pasaulio viziją, kai visi mus supantys objektai bus sujungti į vieną tinklą ir galės elgtis, kaip vieningas organizmas. Viskas būtų puiku ir internetu valdomos lemputės, termostatai, šaldytuvai ar net tarpusavyje bendraujantys automobiliai iš tiesų atveria daug naujų ir iki šiol techniškai neįmanomų galimybių, tačiau visi šie įrenginiai turi vieną bendrą problemą apie, kurią jų gamintojai linkę nutylėti. Ta "nedidelė" problema - kompiuterinis daiktų interneto saugumas.

Internet of Things
CC BY 2.0 Wilgengebroed

Deja, net ir garsios kompiuterių kompanijos neretai "nusvyla nagus" ir rinkai pateikia nesaugius gaminius, o ką jau kalbėti apie su kompiuterija mažai susijusias kompanijas. Deja, kompanijų vis dar nesugeba įsisąmoninti, jog kompiuterinis saugumas, tai nėra tikslas, tai yra procesas. Neįmanoma sukurti absoliučiai saugaus ir tuo pačiu funkcionalaus gaminio, kainuojančio priimtiną vartotojui pinigų sumą. Dar blogiau, daugelis kompanijų, toks vaizdas, apskritai nusprendė atsisakyti investicijų į savo gaminių kompiuterinį saugumą ir tiesiog pasirinko pataikauti vartotojams, eidamos mažiausios kainos keliu. To pasėkoje turime prie tinklo prijungtus gaminius, kuriais gali naudotis ne vien daiktą įsigijęs asmuo (sąmoningai jo nevadinu savininku, nes vis dažniau pinigai mokami ne už nuosavybę, o tik už teisę naudotis), bet ir pašaliniai, dažniausiai piktų kėslų turintys asmenys. Ir tinkluose daugėjant tokios įrangos, padėtis tik prastės.

Daugelis aišku, pagūžčios pečiais, galvodami: „aš gi eilinis interneto vartotojas, kas čia laušis į mano internetinę kamerą ar šaldytuvą“. Deja, įsilaužėliams būtent ir reikia tokio požiūrio į kompiuterinį saugumą. Įsilaužėliai šiais laikais patys nieko nedaro. Už juos tai daro kompiuterių programos - „botai“, per sekundę "patikrinantys" dešimtis tinklo adresų. Tyrimai rodo, kad vartotojui nesiėmus veiksmų - internetinio įrenginio kontrolė gali būti perimta per 5-30 minučių nuo prijungimo prie išorinio tinklo. O štai tuomet ir prasideda aiškėti gamintojų nutylima tiesa apie „Internet Of Things“ (IoT) sistemas.

Prieš keletą savaičių internete buvo užfiksuota viena didžiausių iki šiol registruotų atakų, nukreipta prieš kompiuterinio saugumo svetainę „Krebs On Security“. Kompiuterinio saugumo specialistas Brianas Krebsas užsitraukė kompiuterinių nusikaltėlių nemalonę, padėjęs analizuoti kompiuterinius išpuolius ir taip prisidėjęs prie dviejų su kompiuteriniais išpuoliais siejamų asmenų suėmimo. Dar prieš metus buvo manoma, jog tik vyriausybių remiami įsilaužėliai turėjo pakankamai išteklių surengti 600 GBps ar didesnio duomenų srauto DDoS atakas. Kaip parodė šių metų įvykiai, tokio mąsto išpuoliai jau tapo prieinami eiliniams nusikaltėliams. Tam jiems tereikėjo pasitelkti vos 150 tūkst. iš keleto milijonų internete prieinamų tinklo kamerų. Atakos mastai buvo tokie, jog vienas didžiausių internetinio turinio platintojų „Akamai Technologies“ pakėlė rankas ir pareiškė nebegalintys toliau užtikrinti prieigos prie „KrebsOnSecurity.com“ svetainės, kurią jie nuo išpuolių nemokamai saugojo keletą metų. Anot B. Krebso, apsauga nuo tokio masto išpuolių jam kainuotų maždaug 150 tūkst. JAV dolerių kasmet. Saugumo specialisto laimei, jo žodžio laisvę internete nemokamai stojo ginti kitas interneto gigantas - „Google“.

Šis išpuolis aiškiai rodo, kokį pavojų žodžio laisvei internete kelia kompiuterinio saugumo nepaisymas. Internetu esant pasiekiamiems milijonams nesaugių įrenginių, praktiškai bet kas gali nusamdyti eilinį internetinį chuliganą, kuris nesunkiai pasitelks šiuos išteklius pašalinti užsakovo oponentą ar konkurentą iš interneto tiesiogine to žodžio prasme. Tai tapo realu, nes spalio pabaigoje internete pasklido kenkėjiškos programos „Mirai“, naudotos B. Krebso svetainei nutildyti, išeities tekstai. Ir „Mirai“ tikrai nėra vienintelė tokia programa. Anot šifravimo specialisto Bruce'o Schneierio, jau dabar reikia ne tik, kas susirūpinti, o imtis realių veiksmų ir apsaugoti internetą nuo daiktų interneto šlamšto.

Ir tuo turi rūpintis visi: tiek eiliniai vartotojai, pagalvodami ar tikrai jiems reikia dar vieno tinklo įrenginio, pasiekiamo iš išorinių tinklų, tiek vyriausybės, imdamosios realių veiksmų kovoje su kibernetiniais nusikaltimais. Tačiau didžiausią atsakomybę turi prisiimti gamintojai, į rinką paleidę milijonus vienetų šlamšto, kuriam apskritai neturėjo būti leista nukeliauti toliau gamyklos tyrimų laboratorijų.

Pavyzdžiui, visame pasaulyje, įskaitant ir Lietuvą, parduodamas LTE maršrutizatorius D-Link DWR-932. Saugumo specialistai, nagrinėję šį įrenginį, su gamintoju susisiekė dar birželio mėnesį, nurodydami šias spragas:

  • Du paslėpti vartotojų abonentų įrašai su lengvai atspėjamais slaptažodžiais, leidžiantys apeiti HTTP autentifikaciją ir perimti įrenginio valdymą.
  • Nekeičiamas WiFi prieigos automatinio konfigūravimo (WPS) PIN kodas bei silpnas WPN PIN kodo generavimo algoritmas.
  • Ne viena spraga HTTP tarnyboje.
  • Nekeičiami sisteminės programinės įrangos („firmware“) atnaujinimo internetu slaptažodžiai
  • Sumažintas ir taip ne itin saugaus „UPnP“ protokolo saugumas.
  • Kitos spragos.

Deja, rugsėjo(!) pabaigoje kompanija teikėsi atsakyti saugumo specialistams ir pranešti, jog kol kas „DLink“ neturi planų maršrutizatoriaus programinės įrangos atnaujinimui. Saugumo specialistai rekomenduoja šį įrenginį išjungti ir padėti į spintą, kol gamintojas teiksis atnaujinti programinę įrangą. Priešingu atveju jis greičiausiai netruks tapti DDoS išpuolius ar kenkėjus ar el. pašto šlamštą platinančių „interneto zombių“ armijos dalimi. Ir, deja, tai ne vienintelis „DLink“ gaminys, turintis saugumo spragų, o „DLink“ - ne vienintelė kompanija, išleidusi tokius gaminius į rinką. „SANS“, „CVE“ ir kituose spragų sąrašuose turbūt buvo paminėti visi kompiuterinės tinklų įrangos gamintojai. Skirias tik, kaip greitai kompanijos reaguoja į pranešimus apie spragas.

Jums greičiausiai nepatiktų, jei jūsų automobilio gamintojas pareikštų, jog artimiausią pusmetį neketina ištaisyti pramoginės sistemos spragos, leidžiačios pašaliniams asmenims atsirakinti automobilį ar valdyti jo stabdžius. Deja, tačiau tokios problemos yra realybė, o ne kokio pusiau fantastinio kriminalinio romano ištrauka.

Rugpjūčio mėnesį buvo paskelbta, kad per paskutinius kelis dešimtmečius pagaminti „Volkswagen“ grupės automobiliai turi nesaugius bevielius raktus, leidžiančius įsilaužėliams sąlyginai nesunkiai pasidaryti rakto kopiją. Ir tokias pačias bevielio ryšio sistemas naudoja dalis „Peugeot“, „Lancia“, „Opel“, „Renault“, „Alfa Romeo“, „Ford“, „Chevrolet“, „Dacia“, „Fiat“, „Nissan“ ir „Mitsubishi“ automobiliai. 2014 ir 2015 metais saugumo specialistai pademonstravo, kaip galima nuotoliniu būdu perimti „Jeep Cherokee“ vairavimo mechanizmą ar "kirsti" per stabdžius. „Chrysler“ dėl šių atradimų teko paskelbti apie 1.4 mln. automobilių atšaukimą. Dar prieš keletą metų „Volkswagen“ grupės teisininkai teismų keliu privertė kompiuterių saugumo specialistus mažiausiai du metus neviešinti informacijos apie aptiktas „Lamborghini“, „Bentley“ ir kitų „Volkswagen-Audi“ grupės prabangių automobilių spragas, leidžiančias nesunkiai pavogti automobilį.

Šie pavyzdžiai akivaizdžiai rodo, kaip aplaidžiai automobilių gamintojai kol kas žiūri į kompiuterinį saugumą, o tokių spragų ištaisymui neretai reikia keleto metų. Taip nutinka todėl, kad įprastiniams automobilių gamintojams paprastai reikia gero pusmečio, kol jie išsianalizuoja problemą (jei ją apskritai pripažįsta esant), o tik tuomet yra skelbiamas automobilių atšaukimas. Tačiau ir jis reiškia, kad automobilių savininkas dažniausiai pats turi pasirūpinti automobilio nuvarymu į autorizuotą servisą, kur bus pašalinti aptikti trūkumai. Ko gero geru pavyzdžiu, kaip reikia spręsti tokias problemas gali būti „Tesla“ kompanija. Saugumo specialistams aptikus integruotos interneto naršyklės spragas, leidžiančias atrakinti duris, bagažinę, stoglangį, perreguliuoti sėdynę, kompanija per 10 dienų parengė ir išplatino programinės įrangos atnaujinimą, ištaisantį šias spragas. Taigi, internete viešai pasirodžius žinioms apie Pietų Korėjos saugumo specialistų atradimus, turbūt visi pasaulio „Tesla S“ automobiliai jau turėjo įdiegtą pataisą.

Tačiau grėsmė tapti „interneto zombių“ legiono dalimi nėra vienintelė ateinančio daiktų interneto grėsmė. Visai neseniai saugumo specialistai akivaizdžiai pademonstravo dar vieną realaus kompiuterinio išpuolio scenarijų. „DefCon 2016“ saugumo konferencijos metu specialistai parodė, kaip įsilaužėlis gali nesunkiai perimti namų termostato valdymą, o po to ramiai pareikalauti kokio 100 JAV dolerių išpirkos, antraip termostatas bus nustatytas 37 laipsnių temperatūrai. Skamba, kaip piktas pokštas, tiesa?.. Tačiau jei termostato vietoje atsidurs vartotojo patogumui prie interneto prijungta insulino pompa,  kardiostimuliatorius ar pramoninių objektų valdymo sistemos - juokinga nebebus, o ir statymai bus gerokai didesni. Ir ne visuomet įsilaužėlio bus galima atsikratyti tiesiog perkrovus įrenginį, nes neištaisius saugumo spragų, įrenginio valdymas gali tuoj pat būti perimtas vėl.

Viena iš pagrindinių problemų yra ta, kad nemaža dalis gamintojų „IoT“ gaminius traktuoja, kaip bukus, priežiūros nereikalaujančius gaminius, atliekančius tik vieną funkciją. Nors iš dalies tai yra tiesa ir įsigijus gerą „IoT“ prietaisą, vartotojui tikrai nereikėtų juo rūpintis, tačiau tai nereiškia, kad to neturi daryti įrangos gamintojas. Deja neretai gamintojas ne tik nesirūpina programinės įrangos atnaujinimais, tačiau net ir nesudaro galimybės, trečiosioms šalims sukurti spragų pataisas, nes „IoT“ įrenginys neturi techninės galimybės atnaujinti jo valdymo programą arba, dar blogiau, gamintojas sąmoningai uždraudė vartotojui kištis į įrenginio veikimą, pasitelkdamas skaitmeninių teisių ribojimą (DRM).

Deja, šios problemos paprastai išspręsti nepavyks, nes gamintojai nėra linkę investuoti išteklius ten, iš kur jie negaus pajamų. O jau parduotų įrenginių priežiūra tikrai papildomų pajamų neatneš. Kad tai būtų galima daryti - gamintojas turi brangiau parduoti savo gaminius, taip užsitikrindamas papildomas pajamas, kurių prireiks įrenginių priežiūrai. Tačiau esant aršiai konkurencijai rinkoje, kelti kainas yra nerealu, nes gaminiai taps nekonkurencingi. O įstatymiškai nesant jokios realios atsakomybės, gamintojai gali iš esmės spjauti į kompiuterinį saugumą, jei tai tiesiogiai negali nenužudyti, sužeisti vartotojo ar sudeginti jo namų.

Komentuoti


Apsaugos kodas
Atnaujinti