Czy tworzymy niezabezpieczony Internet rzeczy (IoT)? Wyzwania i obawy dotyczące bezpieczeństwa

Opublikowany: 2022-03-11

Internet rzeczy (IoT) od lat jest modnym hasłem w branży, ale powolny rozwój i ograniczona komercjalizacja sprawiły, że niektórzy obserwatorzy branży zaczęli nazywać go „Internetem niczego”.

Pomijając podwójne kalambury, rozwój IoT ma kłopoty. Oprócz pojawiania się żartów o geekach, które nie pasują do większości spotkań towarzyskich, szum nie pomógł; i tak naprawdę uważam, że spowodowało to o wiele więcej szkody niż pożytku. Jest kilka problemów z Internetem Rzeczy, ale wszystkie pozytywne relacje i bezpodstawny szum to te, bez których moglibyśmy się obejść. Zalety przyciągania większej uwagi są oczywiste: więcej inwestycji, więcej funduszy VC, większe zainteresowanie konsumentów.

bezpieczeństwo i internet rzeczy

Jednak wiążą się one z dodatkowym poziomem kontroli, co sprawiło, że wiele niedociągnięć jest boleśnie oczywistych. Po kilku latach optymistycznych prognoz i wielkich obietnic, największym problemem wydaje się być bezpieczeństwo Internetu Rzeczy. Pierwsze tygodnie 2015 roku nie były łaskawe dla tej rozwijającej się branży, a większość negatywnej prasy dotyczyła bezpieczeństwa.

Czy było to uzasadnione? Czy był to tylko „strach, niepewność i zwątpienie” (FUD), wywołany przez lata szumu? To było trochę jedno i drugie; chociaż niektóre kwestie mogły być przesadzone, są one rzeczywiście bardzo realne.

Od „Roku IoT” do Annus Horribilis dla IoT

Wielu komentatorów określiło rok 2015 jako „rok IoT”, ale do tej pory był to rok złej prasy. To prawda, że ​​zostało jeszcze dziesięć miesięcy, ale wciąż pojawiają się negatywne raporty. Firma Kaspersky, zajmująca się bezpieczeństwem, niedawno przeprowadziła potępiającą krytykę wyzwań związanych z bezpieczeństwem Internetu Rzeczy, z niepochlebnym nagłówkiem „ Internet of Crappy Things ”.

Kaspersky nie jest obcy krytykom i kontrowersjom związanym z Internetem Rzeczy; firma od jakiegoś czasu bije na alarm, wspierając je przykładami zhakowanych inteligentnych domów, myjni samochodowych, a nawet policyjnych systemów nadzoru. Niezależnie od tego, czy haker chce bezpłatnie umyć swój samochód, czy prześladować kogoś za pomocą urządzenia do monitorowania kondycji — luki w zabezpieczeniach Internetu Rzeczy mogą to umożliwić.

Wind River opublikował białą księgę na temat bezpieczeństwa IoT w styczniu 2015 r., a raport rozpoczyna się otrzeźwiającym wprowadzeniem. Zatytułowany Searching For The Silver Bullet podsumowuje problem w zaledwie trzech akapitach, które skondensuję w kilku punktach:

  • Bezpieczeństwo musi być podstawowym elementem umożliwiającym IoT.
  • Obecnie nie ma zgody co do tego, jak wdrożyć zabezpieczenia w IoT na urządzeniu.
  • Powszechne i nierealistyczne oczekiwanie jest takie, że w jakiś sposób możliwe jest skompresowanie 25 lat ewolucji bezpieczeństwa w nowatorskie urządzenia IoT.
  • Nie ma srebrnej kuli, która może skutecznie złagodzić zagrożenia.

Jest jednak kilka dobrych wiadomości; wiedza i doświadczenie już tu są, ale trzeba je dostosować do unikalnych ograniczeń urządzeń IoT.

Niestety, w tym miejscu my, twórcy zabezpieczeń systemu, natkniemy się na inny problem, problem sprzętowy.

Przewodnicząca amerykańskiej Federalnej Komisji Handlu, Edith Ramirez, wystąpiła na początku tego roku na targach Consumer Electronics Show w Las Vegas, ostrzegając, że wbudowanie czujników w urządzenia codziennego użytku i umożliwienie im rejestrowania tego, co robimy, może stanowić ogromne zagrożenie dla bezpieczeństwa.

Ramirez przedstawił trzy kluczowe wyzwania dla przyszłości IoT:

  • Wszechobecne gromadzenie danych.
  • Możliwość nieoczekiwanego wykorzystania danych konsumentów.
  • Podwyższone zagrożenia bezpieczeństwa.

Wezwała firmy do zwiększenia prywatności i zbudowania bezpiecznych urządzeń IoT poprzez przyjęcie podejścia skoncentrowanego na bezpieczeństwie, zmniejszenie ilości danych gromadzonych przez urządzenia IoT oraz zwiększenie przejrzystości i zapewnienie konsumentom możliwości rezygnacji z gromadzenia danych.

Ramirez dodał, że twórcy urządzeń IoT nie zastanawiali się długo nad tym, jak zabezpieczyć swoje urządzenia i usługi przed cyberatakami.

„Niewielki rozmiar i ograniczona moc obliczeniowa wielu podłączonych urządzeń może uniemożliwić szyfrowanie i inne solidne środki bezpieczeństwa” — powiedział Ramirez. „Ponadto niektóre podłączone urządzenia są tanie i zasadniczo jednorazowe. W przypadku wykrycia luki w tego typu urządzeniu może być trudno zaktualizować oprogramowanie lub zastosować poprawkę, a nawet uzyskać informacje o naprawie dla konsumentów”.

Chociaż Ramirez pod wieloma względami jest na miejscu, powinienem zauważyć, że Internet przeszedł podobną fazę dwie dekady temu. Pojawiło się wiele obaw związanych z bezpieczeństwem, a w latach dziewięćdziesiątych pojawiło się złośliwe oprogramowanie przenoszone przez Internet, ataki DDoS, wyrafinowany phishing i nie tylko. Mimo że w niektórych filmach Hollywood przedstawiało dystopijną przyszłość, skończyliśmy z kociętami w sieciach społecznościowych i głośnym naruszeniem bezpieczeństwa tu i tam.

Internet wciąż nie jest bezpieczny, więc nie możemy oczekiwać, że IoT również będzie bezpieczny. Jednak bezpieczeństwo stale ewoluuje, aby sprostać nowym wyzwaniom, widzieliśmy to już wcześniej i zobaczymy to ponownie, z IoT i kolejnymi połączonymi technologiami.

Sprzęt IoT jest i pozostanie problemem

Niektórzy z was będą myśleć, że problemy sprzętowe wymienione przez szefa FTC zostaną rozwiązane; tak, niektóre z nich prawdopodobnie to zrobią.

Wraz ze wzrostem rynku IoT będziemy widzieć więcej inwestycji, a wraz z dojrzewaniem sprzętu uzyskamy większe bezpieczeństwo. Producenci chipów, tacy jak Intel i ARM, będą chcieli oferować lepsze zabezpieczenia z każdą nową generacją, ponieważ bezpieczeństwo może być wyróżnikiem na rynku, co pozwoli im uzyskać więcej wygranych projektów i zyskać większy udział.

Technologia zawsze się rozwija, więc dlaczego nie? Nowe procesy produkcyjne na ogół skutkują szybszymi i bardziej wydajnymi procesorami, a prędzej czy później luka się zniknie, zapewniając w ten sposób programistom wystarczającą moc obliczeniową do wdrożenia lepszych funkcji bezpieczeństwa. Nie jestem jednak pewien, czy to realistyczny scenariusz.

niepewny

Przede wszystkim chipy IoT nie będą dużymi zarobkami, ponieważ są małe i zwykle oparte na przestarzałych architekturach. Na przykład platforma Intel Edison pierwszej generacji jest oparta na procesorach Quark, które zasadniczo wykorzystują ten sam zestaw instrukcji procesora i znaczną część konstrukcji starożytnego Pentium P54C. Jednak mikrokomputer nowej generacji Edison jest oparty na znacznie szybszym procesorze, opartym na rdzeniach Atom Silvermont, który jest obecnie stosowany w wielu tabletach z systemem Windows i Android. (Intel dostarczył ~46 mln SoC Bay Trail w 2014 r.)

Na pierwszy rzut oka możemy skończyć ze stosunkowo nowoczesnymi 64-bitowymi rdzeniami procesorów x86 w urządzeniach IoT, ale nie będą one tanie, nadal będą znacznie bardziej złożone niż najmniejsze rdzenie ARM, a zatem będą wymagały więcej baterii moc.

Tanie i jednorazowe urządzenia do noszenia, które wydają się być największym zmartwieniem FTC, nie będą zasilane przez takie chipy, przynajmniej w najbliższym czasie. Konsumenci mogą otrzymać mocniejsze procesory, takie jak procesory Intel Atoms lub ARMv8, w niektórych inteligentnych produktach, takich jak inteligentne lodówki lub pralki z ekranem dotykowym, ale są one niepraktyczne w przypadku urządzeń jednorazowych bez wyświetlaczy i z ograniczoną pojemnością baterii.

Sprzedaż kompletnych platform lub projektów referencyjnych dla różnych urządzeń IoT może pomóc producentom chipów generować większe przychody, a jednocześnie wprowadzić większą standaryzację i bezpieczeństwo. Ostatnią rzeczą, jakiej potrzebuje branża, jest więcej niestandaryzowanych urządzeń i większa fragmentacja. Może to brzmieć jak logiczne i rozsądne podejście, ponieważ programiści otrzymaliby mniej platform, a na bezpieczeństwo przeznaczono by więcej zasobów, jednak naruszenia bezpieczeństwa wpłynęłyby również na większą liczbę urządzeń.

Pieniądze napływają, analitycy nadal są uparty, co może pójść nie tak?

Jednym z najczęstszych sposobów rozwiązania każdego problemu w branży technologicznej jest po prostu rzucanie na niego pieniędzy. Zobaczmy więc, na czym teraz stoimy, jeśli chodzi o finansowanie, a nie technologię.

Według firm badawczych IDC i Gartner, IoT rozwinie się do tego stopnia, że ​​do końca dekady przekształci branżę centrów danych. Gartner spodziewa się, że do 2020 roku na rynku IoT będzie zainstalowanych 26 miliardów jednostek, co stworzy ogromne możliwości dla wszystkich stron, od centrów danych i producentów sprzętu po programistów i projektantów. IDC spodziewa się również, że do końca dekady branża IoT otrzyma „miliardy urządzeń i biliony dolarów”.

Najnowsza prognoza Gartnera dotycząca rynku IoT opublikowana w maju 2014 r. zawiera również listę potencjalnych wyzwań, z których niektóre już omówiłem:

  • Bezpieczeństwo: zwiększona automatyzacja i cyfryzacja stwarza nowe obawy dotyczące bezpieczeństwa.
  • Przedsiębiorstwo: problemy z bezpieczeństwem mogą stanowić zagrożenie dla bezpieczeństwa.
  • Prywatność konsumentów: możliwość naruszenia prywatności.
  • Dane: zostanie wygenerowanych wiele danych, zarówno dla dużych zbiorów danych, jak i danych osobowych.
  • Zarządzanie pamięcią masową: branża musi dowiedzieć się, co zrobić z danymi w oszczędny sposób.
  • Technologie serwerowe: Konieczne będą większe inwestycje w serwery.
  • Sieć centrum danych: Łącza WAN są zoptymalizowane pod kątem aplikacji interfejsu użytkownika, oczekuje się, że IoT radykalnie zmieni wzorce poprzez automatyczną transmisję danych.

Wszystkie te punkty (i więcej) muszą zostać rozwiązane prędzej czy później, często przy znacznych kosztach. Nie mówimy już o maleńkich chipach IoT i tanich zabawkach opartych na takich chipach, to jest infrastruktura. To dużo krzemu w procesorach serwerowych, drogiej pamięci RAM DDR4 ECC i jeszcze większych dyskach SSD, a wszystko to mieszczące się w drogich serwerach, w jeszcze większych centrach danych.

To tylko wierzchołek góry lodowej; przemysł musi zająć się problemami związanymi z przepustowością, zarządzaniem danymi i polityką prywatności oraz bezpieczeństwem. Ile pieniędzy z tego zostaje na bezpieczeństwo, które znajduje się na szczycie listy wyzwań IoT Gartnera?

Dużo pieniędzy już napływa do branży, VC wchodzą na pokład, a tempo inwestycji wydaje się przyspieszać. Doszło również do szeregu przejęć, często z udziałem dużych graczy, takich jak Google, Qualcomm, Samsung, Gemalto, Intel i innych. W Postscapes znajduje się lista inwestycji związanych z Internetem Rzeczy. Kłopot z wieloma z tych inwestycji, zwłaszcza tych pochodzących z VC, polega na tym, że koncentrują się one na „błyszczących” rzeczach, urządzeniach, które mogą być wkrótce wprowadzone na rynek, z potencjalnie spektakularnym zwrotem z inwestycji. Te inwestycje nie robią wiele dla bezpieczeństwa lub infrastruktury, które zasadniczo musiałyby podążać za popytem na IoT.

Ciężkim ciężarem będą musieli zająć się wielcy gracze, a nie startupy i producenci zabawek wspierani przez VC. Zwinne i innowacyjne startupy z pewnością odegrają dużą rolę, zwiększając adopcję i tworząc popyt, ale nie mogą zrobić wszystkiego.

Pomyślmy o tym w ten sposób, nawet mała firma może zbudować samochód lub dziesiątki tysięcy samochodów, ale nie może budować autostrad, dróg, stacji benzynowych i rafinerii. Ta sama mała firma może zbudować bezpieczny pojazd przy użyciu gotowej technologii, aby spełnić podstawowe normy bezpieczeństwa drogowego, ale nie mogłaby zbudować pojazdu podobnego do Segwaya, który spełniałby te same normy bezpieczeństwa, ani nikt inny. Standardy bezpieczeństwa w motoryzacji nigdy nie mogłyby mieć zastosowania do takich pojazdów, nie widzimy ludzi dojeżdżających do pracy na Segwayach, więc nie możemy oczekiwać, że tradycyjny standard bezpieczeństwa technicznego będzie miał zastosowanie również do urządzeń IoT o słabych mocach.

Posiadanie osób dojeżdżających do pracy sprawdzających pocztę e-mail lub grających w Candy Crush podczas jazdy na Segwayach w ruchu w godzinach szczytu nie wydaje się zbyt bezpieczne, prawda? Dlaczego więc mamy oczekiwać, że urządzenia IoT będą tak samo bezpieczne, jak inne podłączone urządzenia, ze znacznie potężniejszym sprzętem i dojrzałymi systemami operacyjnymi? Może to być dziwna analogia, ale najważniejsze jest to, że nie można oczekiwać, aby urządzenia IoT spełniały te same standardy bezpieczeństwa, co pełnoprawne komputery.

Ale czekaj, nie było tak wielu problemów związanych z bezpieczeństwem IoT…

To prawda, że ​​nie widzimy wielu nagłówków na temat spektakularnych naruszeń bezpieczeństwa IoT, ale pozwolę sobie ująć to w ten sposób: ile nagłówków związanych z bezpieczeństwem widziałeś na temat Androida Wear? Jeden? Dwa? Nic? Szacuje się, że na wolności jest mniej niż milion urządzeń Android Wear, więc po prostu nie są one głównym celem hakerów ani tematem dla badaczy bezpieczeństwa.

Ile urządzeń IoT posiadasz i używasz w tej chwili? Ile wykorzystuje Twoja firma? Stąd pochodzi żart „Internet niczego”, większość ludzi go nie ma. Liczby wciąż rosną, ale przeciętny konsument nie kupuje wielu, więc skąd ten wzrost? Urządzenia IoT są dostępne, a ich liczby gwałtownie rosną, napędzane przez przedsiębiorstwa, a nie rynek konsumencki.

Verizon i ABI Research szacują, że w zeszłym roku do Internetu było podłączonych 1,2 miliarda różnych urządzeń, ale do 2020 roku spodziewają się aż 5,4 miliarda połączeń B2B IoT.

Inteligentne opaski na rękę, tostery i obroże dla psów nie są dużym problemem z punktu widzenia bezpieczeństwa, ale najnowszy raport IoT firmy Verizon koncentruje się na czymś bardziej interesującym: przedsiębiorstwie.

Liczba połączeń Verizon machine-to-machine (M2M) w sektorze produkcyjnym wzrosła o 204 procent od 2013 do 2014 roku, a następnie finanse i ubezpieczenia, media i rozrywka, opieka zdrowotna, handel detaliczny i transport. Raport Verizon zawiera zestawienie trendów IoT w różnych branżach, dzięki czemu zapewnia wgląd w biznesową stronę rzeczy.

Ogólny ton raportu jest optymistyczny, ale zawiera również szereg problemów związanych z bezpieczeństwem. Verizon opisuje naruszenia bezpieczeństwa w przemyśle energetycznym jako „nie do pomyślenia”, opisuje bezpieczeństwo IoT jako „najważniejsze” w produkcji i nie wspominajmy nawet o potencjalnych zagrożeniach w opiece zdrowotnej i transporcie.

Jak i kiedy otrzymamy bezpieczny Internet rzeczy?

Nie będę próbował udzielać definitywnej odpowiedzi na temat tego, jak można rozwiązać problemy związane z bezpieczeństwem Internetu Rzeczy ani kiedy. Branża wciąż poszukuje odpowiedzi, a przed nami długa droga. Ostatnie badania wskazują, że większość obecnie dostępnych urządzeń IoT ma luki w zabezpieczeniach. HP odkrył, że aż 70 procent urządzeń IoT jest podatnych na ataki.

Chociaż rozwój oferuje wiele możliwości, IoT wciąż nie jest dojrzały ani bezpieczny. Dodanie milionów nowych urządzeń, sprzętowych punktów końcowych, miliardów wierszy kodu, wraz z większą infrastrukturą do radzenia sobie z obciążeniem, stwarza ogromny zestaw wyzwań, które nie mają sobie równych w ciągu ostatnich dwóch dekad.

Dlatego nie jestem optymistą.

Nie wierzę, że branża może zastosować wiele lekcji bezpieczeństwa do IoT, przynajmniej nie wystarczająco szybko, nie w ciągu najbliższych kilku lat. Moim zdaniem analogia do Internetu jest błędna, po prostu dlatego, że Internet lat dziewięćdziesiątych nie miał do czynienia z tak bardzo różnymi rodzajami sprzętu. Korzystanie z szyfrowania i marnowanie cykli zegara na bezpieczeństwo nie stanowi problemu na dużych procesorach x86 lub układach SoC ARM, ale nie będzie działać w ten sam sposób z małymi urządzeniami IoT z ułamkiem mocy obliczeniowej i znacznie innym zużyciem energii.

Bardziej wyrafinowani przetwórcy, z większą matrycą, potrzebują większego opakowania i muszą odprowadzać więcej ciepła. Potrzebują też większej mocy, co oznacza większe, cięższe i droższe akumulatory. Aby zmniejszyć wagę i zmniejszyć masę, producenci musieliby uciekać się do stosowania egzotycznych materiałów i technik produkcyjnych. Wszystko to wiązałoby się z większymi wydatkami na badania i rozwój, dłuższym czasem wprowadzania produktów na rynek i większymi zestawieniami materiałów. Przy znacznie wyższych cenach i doskonałej konstrukcji takie urządzenia trudno uznać za jednorazowe.

internet rzeczy - iot

Co więc należy zrobić, aby Internet Rzeczy był bezpieczny? Dużo. Każdy ma swoją rolę do odegrania, od gigantów technologicznych po indywidualnych programistów.

Przyjrzyjmy się kilku podstawowym punktom, takim jak co można zrobić i co jest robione, aby teraz poprawić bezpieczeństwo IoT:

  • Podkreśl bezpieczeństwo od pierwszego dnia
  • Cykl życia, zabezpieczenie na przyszłość, aktualizacje
  • Kontrola dostępu i uwierzytelnianie urządzeń
  • Znasz swojego wroga
  • Przygotuj się na naruszenia bezpieczeństwa

Wyraźny nacisk na bezpieczeństwo od pierwszego dnia jest zawsze dobrą rzeczą, zwłaszcza gdy mamy do czynienia z niedojrzałymi technologiami i słabo rozwiniętymi rynkami. Jeśli planujesz rozwijać własną infrastrukturę IoT lub wdrożyć istniejące rozwiązanie, przeprowadź badania i bądź na bieżąco z informacjami. Może to wiązać się z kompromisami, ponieważ możesz zostać postawiony przed wyborem zwiększenia bezpieczeństwa kosztem narażenia użytkownika, ale jest to tego warte, o ile zachowasz odpowiednią równowagę. Nie można tego zrobić w locie, trzeba planować z wyprzedzeniem i dobrze planować.

W pośpiechu wprowadzania nowych produktów i usług na rynek wiele firm prawdopodobnie przeoczy długoterminowe wsparcie. Dzieje się tak cały czas, nawet w wielkich ligach, więc zawsze otrzymujemy miliony niezałatanych i niezabezpieczonych komputerów i urządzeń mobilnych. Są po prostu zbyt stare, aby większość firm się nimi zawracała, a z jednorazowymi urządzeniami IoT z pewnością będzie jeszcze gorzej. Główni producenci telefonów nie aktualizują swojego oprogramowania na 2-3 letnich telefonach, więc wyobraź sobie, co stanie się z urządzeniami IoT za 20 USD, które mogą być w Twojej sieci przez lata. Planowane starzenie się może być tego częścią, ale prawda jest taka, że ​​aktualizacja starych urządzeń nie ma większego sensu finansowego dla producenta, ponieważ ma on lepsze rzeczy do zrobienia ze swoimi zasobami. Bezpieczne urządzenia IoT musiałyby albo być bezpieczne z założenia i odporne na działanie od samego początku, albo otrzymywać ważne aktualizacje przez cały cykl życia. Jestem pewien, że zgodzisz się, że żadna opcja nie brzmi realistycznie, przynajmniej jeszcze nie.

Wdrożenie bezpiecznej kontroli dostępu i uwierzytelniania urządzeń wydaje się oczywiste, ale nie mamy tutaj do czynienia z przeciętnym podłączonym urządzeniem. Tworzenie kontroli dostępu i metod uwierzytelniania, które można zaimplementować na tanich i kompaktowych urządzeniach IoT bez narażania doświadczenia użytkownika lub dodawania niepotrzebnego sprzętu, jest trudniejsze niż się wydaje. Jak wspomniałem wcześniej, brak mocy obliczeniowej to kolejny problem, ponieważ większość zaawansowanych technik szyfrowania po prostu nie działałaby zbyt dobrze, jeśli w ogóle. W poprzednim poście przyjrzałem się jednej alternatywie, outsourcingowi szyfrowania za pomocą technologii blockchain; Nie mam na myśli blockchaina Bitcoina, ale podobnych technologii kryptograficznych, które są już badane przez kilku liderów branży.

Si vis pacem, para bellum – jeśli chcesz pokoju, przygotuj się na wojnę. Niezwykle ważne jest zbadanie zagrożeń i potencjalnych napastników przed zajęciem się bezpieczeństwem Internetu Rzeczy. Poziom zagrożenia nie jest taki sam dla wszystkich urządzeń i należy wziąć pod uwagę niezliczone kwestie; czy ktoś wolałby zhakować misia twojej córki, czy coś bardziej poważnego? Konieczne jest zmniejszenie ryzyka związanego z danymi, przechowywanie jak największej ilości danych osobowych z urządzeń IoT, odpowiednie zabezpieczenie niezbędnych transferów danych i tak dalej. Jednak aby to wszystko zrobić, najpierw musisz przestudiować zagrożenie.

Jeśli wszystko inne zawiedzie, przynajmniej bądź przygotowany na potencjalne naruszenia bezpieczeństwa. Wcześniej czy później zdarzy się tobie lub komuś innemu (no, najlepiej konkurentowi). Zawsze miej strategię wyjścia, sposób na zabezpieczenie jak największej ilości danych i uczynienie skompromitowanych danych bezużytecznymi bez niszczenia infrastruktury IoT. Niezbędne jest również edukowanie klientów, pracowników i wszystkich innych osób zaangażowanych w proces o ryzyku takich naruszeń. Poinstruuj ich, co zrobić w przypadku naruszenia i co zrobić, aby go uniknąć.

Oczywiście dobre zrzeczenie się odpowiedzialności i TOS również pomogą, jeśli będziesz mieć do czynienia z najgorszym scenariuszem.