Berta Sándor

Teljesen szabályozatlan a "dolgok internetének" biztonsága

Fontosak lehetnek a hosszú távú biztonsági funkciók az IoT-eszközökben.

Kényelmes dolog, ha okos eszközeink az internetre csatlakozva gyűjtik az adatokat és kommunikálnak egymással annak érdekében, hogy számunkra minden gördülékenyen menjen. Például az okosautónk hazaszól az okosotthonunknak, hogy elindultunk hazafelé a munkából, és bekapcsolhatja a légkondicionálót, hogy kellemes hűvös várjon minket. De ami az internethez kapcsolódik, azt fel is törhetik rosszindulatú személyek, és visszaélhetnek az adott eszköz képességeivel. A légkondival talán nem okozhatnak komoly kárt, de egy autóval már annál inkább. (Nemrégiben adtunk hírt arról, hogy két hacker képes volt távolról átvenni az uralmat egy Jeep Cherokee jármű felett, miközben az 110 km/h sebességgel száguldott az autópályán.)

A Gartner jóslatai szerint 2020-ra összesen 26 milliárd eszköz csatlakozik az internethez. Az összekapcsolt, egymással kommunikálni képes eszközök használata dinamikusan terjed. Még azok az iparágak és közösségek is nyitnak ebbe az irányba, amelyekről elsőre a legtöbben nem is feltételeznék. Például egyes fejlesztők olyan különleges, digitális nyakörveken dolgoznak, amelyekkel a juhtenyésztők nyomon követhetik az állatok mozgását. A Dolgok Internetének (IoT) részét képező új eszközök képességei és funkciói teljesen újszerűnek és példa nélkül állónak számítanak.

Ezek a készülékek számos ponton különböznek a mobil eszközöktől, és eltérnek a jelenlegi internet gerincét képező hagyományos készülékektől, például asztali gépektől, szerverektől és routerektől. Ráadásul az IoT-eszközök egymáshoz is nehezen mérhetők, érdemes például a fentebb említett nyomkövetős nyakörvet összevetni egy okoshűtővel. Gyanúra adhat okot például, ha egy ilyen berendezés túl sok e-mailt küld, miközben ezt a funkciót csak arra kellene használnia, hogy az apadó készletekre emlékeztesse tulajdonosát. Ha a cégvezetőktől kezdve a háziasszonyokon át a farmerekig mindenki hasonló eszközt használ, muszáj gondoskodni azok biztonságáról. Ekkora számú "dolog" mellett azonban az IT-biztonsági szakértőknek teljesen új megközelítést kell keresniük, nem támaszkodhatnak a hagyományos hálózati eszközökkel szerzett tapasztalatokra.


Manapság mindenki igyekszik online funkciókat is adni termékéhez, legyen az háztartási elektronika (légkondicionáló, lámpa, termosztát) vagy ruha (cipő, óra, szemüveg)

Az IoT-eszközök esetében teljesen más biztonsági kérdések merülnek fel, mint a hagyományos készülékeknél, hiszen jóval nagyobb számban vannak jelen, az interakcióik pedig eltérő jellegűek és összetettebbek. Az IoT-eszközök milliárdjai között zajló kommunikációhoz hasonlót még soha senki nem tapasztalt, ezért nem tudhatjuk, mire számíthatunk, mire kell felkészülnünk. Iparági és állami szakértők egyaránt komoly munkát fordítanak arra, hogy a lehető leginkább biztonságossá tegyék ezeket az eszközöket. Ugyanakkor biztosak lehetünk benne, hogy akadnak majd olyan kiberbűnözők, akik bármilyen új sebezhetőséget kihasználnak.

A dolgok internetéhez kapcsolódó készülékeket gyártók és fejlesztők, illetve a termékekkel kereskedők segítésére biztonsági irányelveket adott ki az Online Trust Alliance (OTA) nevű szervezet. A szervezet tagja többek között a Microsoft, a Symantec, az ADT, az AVG, a Target, a Truste és a Verisign. Az OTA hangsúlyozta: az IoT-megoldásoknak nem csak a megvásárlásukkor, hanem folyamatosan biztonságosaknak kell lenniük. Amennyiben ez nem valósul meg, akkor előfordulhat, hogy a hackerek a távolból kinyithatják a garázskapukat, bekapcsolhatják a bébiőr készülékeket, az egészségügyi adatok megszerzése miatt feltörhetik a viselhető fitneszeszközöket vagy károkozás céljából szabotálhatják az internetképes háztartási berendezéseket.

Craig Spiezle, az OTA vezetője közölte, hogy számos biztonsági és adatvédelmi kérdés tisztázatlan még, például, hogy tudja-e egy felhasználó, hogy ki gyűjti és kapja meg egy viselhető fitneszterméknél az adatait? Vagy ha egy intelligens házhoz kapcsolódó terméket vásárol, akkor milyen a hosszú távú (a garancia lejárta utáni) biztonsági frissítési, hibajavítási stratégia? Vagy miként védik meg az okostévék gyártói a készülékeiket a beépített kamerák és mikrofonok segítségével végrehajtott adatlopásokkal szemben?

Az intelligens otthon-funkciók ára eltörpül az általuk nyújtott kényelem és lehetséges energiamegtakarítás mellett

Az IoT Trust Framework néven csokorba gyűjtött szabályok alapján a gyártóknak már a vásárlás előtt ismertetniük kellene a vevőkkel az adatvédelmi szabályokat, s minden személyes adatot kizárólag titkosítva szabad tárolniuk és továbbítaniuk. A fogyasztókat tájékoztatni kellene arról is, hogy egy eszköz adatokat gyűjt, továbbít és milyen funkciókat korlátoznak, ha nem engedélyezi az információk továbbadását.

A gyártóknak engedélyezniük kellene, hogy biztonsági szempontból bárki tesztelhesse a termékeiket és nyilvánosságra kellene hozniuk a biztonsági hibákat. A személyes adatokat pedig csak akkor adhatnák tovább harmadik félnek, ha az kötelezi magát a titoktartásra és az információkat csak az előzetesen közölt célokra használja fel. A javaslatok között van az is, hogy minden IoT-készüléket egyéni jelszóval lehessen ellátni, amelyet az első használatkor a vásárló köteles legyen kicserélni.

Az OTA olyan eszközöket és módszereket akar majd ősztől kínálni, amelyekkel lehetővé válik az IoT-megoldások kategóriákba sorolása, így minden vásárló azonnal láthatná, hogy mennyire biztonságos az általa kiválasztott termék. A tervek között szerepel egy tanúsítványprogram elindítása, s egy önkéntes magatartáskódex kidolgozása és bevezetése is.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • zola2000 #2
    Biztonság, ugyan...
    Amikor az ember megveszi az androidos okosórát / karkötőt, ugyanúgy mint a telókat is egy évig frissíti a gyártó, aztán vége.

    Windowsos (lehet hogy nem jól tudom) esetén elvileg ugyanúgy az ms frissít mint a pcket mert minden win10 elvileg ugyanaz egységes, az annyival jobb, csak tárhely, gépigény nagyobb.
  • kvp #1
    Biztonsagi szabvanyok vannak. Peldaul a klasszikus uPnP protokoll is kepes volt biztonsagos kornyezetben mukodni, akar kulcs alapu titkositast es felhasznalo/keszulek autentikaciot hasznalva. Persze az implementaciok jelentos resze soha nem tartalmazta a biztonsagos kommunikaciohoz es hozzaferesvezerleshez szukseges elemeket.

    Aztan jottek a startupok es mindenfele ceg, akik csak osszedobtak valamit, ami se nem szabvanyos ,se nem biztonsagos. Ezt megfejeltek a szandekosan adatgyujtessel foglalkozo (felhoalapu) termekek, amik mara az okostevek szintjeig is eljutottak.

    Tehat igazabol csak a torvenyi szabalyozas hianyzik, de ilyen a pc piacon sincs es nem is nagyon volt soha. A torvenyhozok inkabb csak a biztonsagi megoldasokat tiltottak, hogy konnyebben lehallgathatoak legyenek az emberek. Most hogy mar nem csak hallgatozni lehet, de fizikai kart is okozhatnak az informatikai rendszerek es nem csak kormanyzati iranyitas alatt, most probalnak valamit osszehozni. Persze a fenti csoport sem az eleve biztonsagosra tervezett rendszerek felol kozeliti meg a problemat, mert akkor az o munkajukra sem lenne szukseg.

    A tanusitvanyok es a kodexek arrol szolnak, hogy fel lehet matricazni, hogy iso sok kompatibils a cucc, aztan ugyanugy atjarohaz marad minden ahogy eddig. A tenyleg biztonsagos es szabvanyos rendszereket viszont szinte senki nem tamogatja, mert akkor a kormanyzatok is elvesztenek az iranyitas/megfigyeles lehetoseget, ami nekik fontosabb mint a hacker-ek altal okozott par jovobeni halaleset.