HP študija razkriva - 70 odstotkov naprav tipa "Internet of Things" je ranljivih
22.9.2014
HP, oddelek za dolžen za varnostne rešitve HP Enterprise Security, ki ga v Sloveniji uradno zastopa podjetje REAL security d.o.o.,
je javnosti predstavil rezultate raziskave o Internetu Stvari, katero so pripravili njihovi varnostni strokovnjaki v okviru storitve HP Fortify on Demand. Rezultati raziskave so združeni v dokumentu z naslovom "Internet of Things State of the Union Study" in na žalost kažejo točno to, kar smo strokovnjaki računalniške varnosti predvidevali - večina teh naprav je zelo ranljiva na napade.
Pojem Internet Stvari pomeni situacijo, v kateri imamo ne le računalniško / komunikacijsko opremo, temveč tudi večino drugih elektronskih naprav z zmogljivostmi komunikacije z internetom. Poleg industrijskih orodij, medicinskih naprav, ali pripomočkov za preprodajo v trgovski verigi, bodo sem spadale še bolj vsakdanje stvari kot so gospodinjski aparati, avtomobili, vsa zabavna elektronika, alarmni sistemi, kurjava itd. Po Gartnerjevi raziskavi bo do leta 2020 v Internet Stvari priključenih 26 milijard vseh mogočih naprav. Zdaj pa si zamislimo, kaj se lahko vse zgodi, ko se katera od teh naprav sesuje zaradi brezveznega hekerskega napada... pokvarjena hrana v hladilniku, svileno oblek'ca oprana pri 90 stopinjah s programom za bombaž, zvočniki ob 03:30 zatulijo metal z maksimalno glasnostjo, 'samodejna' aktivacija sistema za gašenje požara... to so le neprijetnosti, o bolj nevarnih posledicah raje sploh ne bomo razmišljali.
HP-jeva raziskava, v okviru katere so pregledali 10 najbolj popularnih tipov IoT naprav, odkriva, da je 70 odstotkov naprav ranljivih na napade; v povprečju so odkrili po 10 ranljivosti po posamezni napravi, skupaj torej 250.
Ključna varnostne problematike Interneta Stvari so:
· Varovanje zasebnosti
Naprave in spremljajoča programska oprema zbirajo potrošnikove osebne podatke - ime, elektronski in domači naslov, datum rojstva, kreditna kartica, medicinska zgodovina - kar vzbuja pomisleke glede zasebnosti in varnosti teh podatkov.
· Nezadostno overjanje pristnosti
Izdelki potrošnika večinoma ne silijo v oblikovanje dovolj varnih gesel, pomeni, da si bodo mnogi spet izbrali gesla, ki si jih je enostavno zapomniti, so pa tudi zelo ranljiva, kot so 1234, rojstni datum, otrokovo ime ipd.
· (Ne)šifrirane komunikacije
Mnoge naprave ne šifrirajo izmenjave podatkov z internetom ali lokalnim omrežjem, pripadajoče prenosne aplikacije ne šifrirajo prometa z internetom, domačim omrežjem, ali strežniškim oblakom. Zato lahko pridejo zbrani (tudi zasebni) podatki v neprave roke, nešifriran promet je lažje preučiti in zlorabiti za vdor v napravo.
· Nezadostna varnost spletnih vmesnikov
Marsikje lahko nepooblaščena oseba dokaj enostavno pride do računa v strežniškem oblaku, s štetjem oznak računov ali funkcijo za povrnitev gesla. V šest od deset rešitev so znane varnostne pomanjkljivosti spletnega vmesnika - slabo upravljanje komunikacijske seje, transport gesel kot navadno nešifrirano besedilo.
· Neustrezna zaščita programske opreme
60 odstotkov naprav nima šifriranja pri prenosu posodobitev. Nekatere datoteke je bilo mogoče prestreči ter jih naložiti kot datotečni sistem v Linux, kjer jih je mogoče preučiti ali celo urejati, torej vstaviti škodljivo kodo.
Avtor / prevod: Robert Lubej
Povezava do izvorne novice:
http://www.hp.com/go/fortifyresearch/iot
http://www8.hp.com/us/en/hp-news/press-release.html?id=1744676#.U9t0XD2Swko
### ### ###
O podjetju HP in oddelku HP Enterprise Security
Več o HP Enterprise Security najdete na spletnih straneh: http://www8.hp.com/us/en/software-solutions/enterprise-security.html
Dodatne informacije:
Daniel Bednjički, projektni vodja
REAL security d.o.o.
Meljska cesta 1
2000 Maribor
tel.: 02 234 74 74