Οι προκλήσεις και οι ευκαιρίες της διαχείρισης του Διαδικτύου των πραγμάτων
Το Διαδίκτυο των πραγμάτων (IoT) βρέθηκε τελευταία στο επίκεντρο του ενδιαφέροντας, επειδή έχει διευκολύνει πολυάριθμα DDoS exploits σε παγκόσμιο επίπεδο. Μία παγκόσμιας εμβέλειας, μη-κερδοσκοπικού χαρακτήρα δεξαμενή σκέψης (think tank) με την ονομασία Online Trust Alliance (OTA) δημοσίευσε μία εργασία με τίτλο IoT, ένα όραμα για το μέλλον. Στην εργασία/ μελέτη, περιγράφεται ο τρόπος που το Internet of Things (IoT) μπορεί να αναπτυχθεί και να ευδοκιμήσει, δεδομένου ότι “η εμπιστοσύνη των χρηστών ότι τα δεδομένα τους είναι ασφαλή και ιδιωτικά είναι μικρή και βρίσκεται στο χαμηλότερο σημείο”.
Στο έγγραφο επίσης υποδεικνύονται και μερικές από τις μοναδικές προκλήσεις που πρέπει να ξεπεραστούν για την ασφάλιση του IoT (Internet of Things) καθώς και πως γίνεται να το δίκτυο των πραγμάτων να γίνει περισσότερο βιώσιμο προστατεύοντας επιπλέον την ιδιωτικότητα των χρηστών. Η εργασία και μελέτη, βασίζεται στο έγγραφο “ένα OTA πλαίσιο αλληλένδετων σχέσεων εμπιστοσύνης” https://otalliance.org/system/files/files/resource/documents/iot_trust_frameworkv1.pdf που είδε το φως της δημοσιότητας πέρυσι.
Η ασφάλιση του IoT είναι πολύ πιο πολύπλοκη από την ασφάλιση συνηθισμένων και τυπικών τερματικών. Το IoT είναι ένα σύνολο έξυπνων συσκευών, όπως καμερών, λαμπών και εκτυπωτών που συνδέονται στο Internet που τρέχουν internet apps (όπως web και FTP servers) και υπηρεσίες cloud, και που όλες τους έχουν τις δικές τους ευπάθειες και τρωτά σημεία. Όπως αναφέρεται στην έκθεση OTA “κάθε πτυχή και επίπεδο δεδομένων αποτελεί δυνητικό κίνδυνο και κάθε ροή δεδομένων πρέπει να ασφαλίζεται”.
Η ασφάλεια επίσης IoT δεν αποτελεί προτεραιότητα στο μυαλό κάθε app developer, όπως φάνηκε και από το πάθημα μίας Κινέζικης εταιρείας κατασκευής webcams, της οποίας η κάμερες αποτελούσαν μέρος ενός τεράστιου botnet. Οι περισσότερες εταιρείες του είδους ενδιαφέρονται περισσότερο στο να δημιουργήσουν ένα app που μπορεί να διαχειριστεί όσες περισσότερες κάμερες είναι δυνατόν στον Ιστό. Και χωρίς να θέλουμε να υπονοήσουμε οτιδήποτε για την συγκεκριμένη εταιρεία, αυτό είναι το τυπικό σενάριο. Οι περισσότερες συσκευές IoT δυστυχώς κατασκευάζονται χωρίς να αποτελούν προτεραιότητα η ασφάλεια και η προστασία της ιδιωτικής ζωής.
Επιπλέον πολλές συσκευές IoT δεν ενημερώνονται εύκολα όταν πρόκειται για το λειτουργικό τους σύστημα ή το firmware τους ή και τα δύο μαζί. Μερικές από αυτές τις συσκευές βρίσκονται σε λειτουργία εδώ και μία δεκαετία χωρίς αναβαθμίσεις ή ενημερώσεις λογισμικού. Σκεφτείτε για παράδειγμα πόσες συσκευές IoT χρησιμοποιούν τα παρωχημένα Windows XP ως embedded λειτουργικό σύστημα ή τρέχουν σε Windows XP hosts. Όπως αναφέρεται στην έκθεση OTA, “δυστυχώς, αν και τέτοιες λύσεις λανσάρονται ως ασφαλείς, κανένας βαθμός ή επίπεδο patching δεν μπορεί να αναπληρώσει ή να αντιμετωπίσει περιορισμούς στον σχεδιασμό ενάντια σε απρόβλεπτες ή άγνωστες απειλές μία δεκαετία μετά”.
Η παγκόσμιας εμβέλειας, μη-κερδοσκοπικού χαρακτήρα δεξαμενή σκέψης (think tank) με την ονομασία Online Trust Alliance (OTA) συγκάλεσε μία ομάδα εργασίας από διαφορετικούς χώρους της βιομηχανίας με το όραμα να δημιουργήσει το IoT Trust Framework, ένα εθελοντικό μοντέλο αυτορρύθμισης (απαιτείται να είστε μέλος της OTA για να κατεβάσετε το framework). Το “think tank” εργάστηκε με περισσότερους από 100 ενδιαφερόμενους και επικεντρώθηκε σε 31 κριτήρια που κάλυπταν το συνδεδεμένο σπίτι, το γραφείο ή τις τεχνολογίες φορετών συσκευών (wearable).
To framework εξετάζει την ασφάλεια των συσκευών, χρησιμοποιώντας privacy by design αρχές, συμπεριλαμβανομένων της διαφάνειας και των controls της συσκευής, προσθέτοντας υποστήριξη κατά τη διάρκεια του κύκλου ζωής, δυνατότητες μεταφοράς δεδομένων και διευκόλυνσης μεταφοράς δεδομένων. Το framework επίσης περιλαμβάνει ξεκάθαρες και σαφείς πολιτικές, περιγράφει το είδος των προσωπικών δεδομένων που συλλέγει κάθε συσκευή ανά κατασκευαστή, καθώς και με ποιον μοιράζονται αυτά τα δεδομένα, καθώς και τις πολιτικές χρονικής διάρκειας διατήρησης των δεδομένων αυτών. Επίσης υπάρχουν και άλλα ζητήματα που περιλαμβάνονται όπως η απαίτηση να αλλάζουν οι προεπιλεγμένοι κωδικοί πρόσβασης, καθώς και οι χρήση των πρωτοκόλλων SSL και HTTPS από προεπιλογή. Όλα τα παραπάνω επιπλέον αποτελούν εξαίσιες πρακτικές για χρήση και σε συσκευές που δεν ανήκουν στην κατηγορία IoT.
Το framework OTA είναι μία πολύ καλή αρχή στην προσπάθεια να ανακοπεί το κύμα των πιθανών αδυναμιών στην ασφάλεια IoT. Ας ελπίσουμε ότι θα έχει αποτέλεσμα, και θα αποτρέψει την δημιουργία μελλοντικών exploits τύπου botnet.
Περισσότερα μπορείτε να διαβάσετε, εδώ.