PacemakerUn număr din ce în ce mai mare de dispozitive electronice sunt interconectate. Trăim acum zorii erei Internetului lucrurilor. Conectivitatea începe să fie din ce în ce mai prezentă, de la întrerupătoare de curent şi încuietori de uşi la maşini şi dispozitive medicale. Această evoluţie a lucrurilor nu poate fi oprită. Dar cum stăm cu securitatea şi implicaţiile privind viaţa privată? Este un pacient care are implantat un pacemaker ce poate fi controlat de la distanţă în pericol de a fi atacat cibernetic?

 

 

Doctorii vicepreşedintelui Dick Cheney au fost atât de îngrijoraţi de posibilitatea unui asasinat, încât au eliminat opţiunea "wireless" a defibrilatorului omului de stat. Ne putem aştepta la crime în urma atacării unor dispozitive conectate la Internet? Ar putea hackerii să lanseze un atac terorist de mari dimensiuni? Cercetările noastre arată că aceste scenarii sunt demne de luat în seamă.

 

 

Ce control ai asupra maşinii tale?

Maşinile moderne sunt unele dintre cele mai conectate tehnologii cu care interacţionăm zilnic. Multe dintre elementele fundamentale ale unui vehicul, ca motorul şi modulele de control al frânelor, sunt controlate electronic. Maşinile mai noi permit conexiuni wireless prin intermediul reţelelor operatorilor de telefonie mobilă ori prin Wi-Fi. Dar "hi-tech" nu înseamnă neapărat securitate sporită.

Un grup de cercetători în domeniul securităţii de la Universitatea Washington a reuşit să ia controlul de la distanţă al unui vehicul . Aceştia au reuşit să asculte conversaţiile din interiorul maşinii ale ocupanţilor acesteia. Şi mai îngrijorător, aceştia au dezactivat frânele şi sistemul de lumini; în plus, au oprit pur şi simplu maşina, pe o autostradă simulată. Prin exploatarea vulnerabilităţilor modulelor critice, incluzând aici sistemul de frânare şi controlul motorului, împreună cu radioul şi elementele telamatice, cercetătorii au luat complet controlul vehiculului. Implicaţiile privind siguranţa sunt evidente.

Acest atac ridică importante întrebări despre cât de mult sunt dispuse companiile din industria auto să sacrifice securitatea şi intimitatea consumatorilor de dragul unor noi opţiuni şi al confortului. Aceste companii încep să înţeleagă ameninţările emergente, angajând specialişti în securitate cibernetică, dar, per total, industria auto nu pare să ia foarte în serios problematica securităţii.


Aparatura controlată de la distanţă nu înseamnă şi securitate de la distanţă



(In)securitatea locuinţei


Un număr din ce în ce mai mare de dispozitive electronice din locuinţă sau din jurul acesteia funcţionează în regim autonom şi sunt conectate la Internet. Multe funcţionează pe baza unui protocol de comunicaţii wireless numit Z-Wave.

Doi cercetători britanici au exploatat vulnerabilităţi ale librăriilor criptografice ale Z-Wave, softul care permite autentificarea oricărui dispozitiv conectat la rețeaua locuinţei, printre alte funcţii, asigurând securitatea conectării la Internet.

Cercetătorii au putut "penetra" controlerele de automatizare şi aparatura controlată de la distanţă, inclusiv încuietorile de la uşi şi sistemele de alarmă. Securitatea Z-wave s-a bazat exclusiv pe ţinerea secretă faţă de public a algoritmului, dar cercetătorii au identificat slăbiciuni în acesta, în urma aplicării ingineriei inverse.

 

Panourile de automatizare permit locatarilor - şi hackerilor? - să controleze de la distanţă echipamente electronice conectate la Internet

 


Grupul nostru a putut accesa şi lua controlul controlerelor Z-wave prin intermediul unei alte vulnerabilităţi: interfața web. Astfel se pot controla toate dispozitivele conectate la controlerul Z-Wave, iar un hacker poate, de exemplu, opri căldura pe timp de iarnă ori îi poate privi (şi înregistra) pe cei din casă prin intermediul camerelor web.

De asemenea, am demonstrat existenţa unor pericole în ceea ce priveşte conectarea lămpilor fluorescente (eng. compact fluorescent lamps (CPL)) la un potenţiometru Z-Wave. Aceste becuri nu au fost create pentru a fi conectate la Internet. Am descoperit că un atacator ar putea trimite semnale către acestea care le pot arde, iar scânteile emise ar putea duce la apariţia unui incendiu.

 



Cyberterorism?

Grupul nostru a evaluat şi posibilitatea unui atac terorism de mare amploare. Modelul ameninţării folosit presupune că automatizarea locuinţelor devine atât de răspândită, încât va reprezenta un element instalat în mod standard de către constructori. Un atacator ar putea exploata o vulnerabilitate a controlerelor de automatizare pentru a porni dispozitivele mari consumatoare de energie, ca sistemele HVAC (acronim de la eng. Heating, Ventilation and Air-conditioning), într-un întreg cartier la un moment dat. Cu aparatele de aer condiţionat pornite în fiecare locuinţă, transformatoarele de curent ar deveni suprasolicitate, iar cartiere întregi ar rămâne fără curent electric.


Codul open-source - un principiu solid al Internetului lucrurilor

Una dintre cele mai bune practici în proiectarea unor soluţii de securitate viabile constă în solicitarea sprijinului specialiştilor/pasionaţilor de domeniul securităţii de pretutindeni pentru a descoperi şi informa despre vulnerabilităţi care, altfel, ar rămâne neidentificate de către producător. Dacă librăriile criptografice ar fi open-source, atunci acestea ar putea fi verificate de oricine. Odată ce o problemă este identificată, aceasta poate fi remediată rapid. Librăriile criptografice scrise de la zero pot conţine multe erori pe care comunitatea specialiştilor din domeniu le-ar putea identifica şi ar putea ajuta la remedierea acestora. Din păcate, acest principiu solid nu este urmat de toţi cei care participă la dezvoltarea Internetului lucrurilor.

 



Diverse companii au proiectat interfeţele web şi aparatura electronică pe care grupul nostru le-a putut "penetra". Am descoperit că sunt şi situaţii în care producătorul a oferit un produs original sigur, dar vânzătorii au adăugat software cu vulnerabilităţi. Utilizatorul final poate, de asemenea, să introducă vulnerabilităţi suplimentare prin utilizarea defectuoasă a produsului. De aceea este vitală o soluţie de securitate pe mai multe nivele, pentru ca o vulnerabilitate să fie limitată la o singură componentă, neafectând întregul sistem.


Nivelul de risc

Există o vulnerabilitate a Internetului lucrurilor de care structurile poliţieneşti au aflat deja: hoţii de/din maşini folosesc scanere pentru a simula semnalele transmise de chei şi a intra în maşini.

Celelalte tipuri de atac descrise mai sus sunt realizabile, dar nu au apărut informaţii despre materializarea lor în lumea reală.

Riscurile sunt încă mici. Atacurile asupra sistemelor de automatizare a locuinţelor sunt mai degrabă ţintite. Un atac ce vizează un întreg cartier este foarte costisitor pentru un hacker.

Este necesar un efort concertat pentru a îmbunătăţi securitatea dispozitivelor electronice ce vor face parte din Internetul lucrurilor. Cercetătorii, producătorii şi utilizatorii trebuie să fie conştienţi că odată cu o conectivitate din ce în ce mai mare cresc şi riscurile. Beneficiile din punct de vedere al controlului de la distanţă al unor dispozitive electronice trebuie să fie însoţite de investiţii privind securitatea şi protecţia vieţii private.

Traducere după Security and the Internet of Things