Tendinţele ultimilor ani în ceea ce priveşte expansiunea reţelei globale Internet, dar şi studiile efectuate în acest sens arată un ritm impresionant de creştere a numărului de dispozitive conectate, aproximativ 5 miliarde în prezent, însă predicţiile pentru anul 2020 avansează o cifră de ordinul zecilor de miliarde.
Numărul şi mai ales diversitatea terminalelor conectate la Internet generează oportunităţi economice semnificative, însă aduce şi provocări fără precedent pentru securitatea cibernetică, precum securizarea "obiectelor" conectate la Internet, a căror arhitectură şi destinaţie diferă mult de clasicele computere, de unde şi apariţia noţiunii de Internet of Things (IoT). Practic ne referim la obiecte ce înglobează componente hardware şi software dedicate şi optimizate rolului acestora, precum obiectele de uz casnic şi cele personale, dar şi sisteme industriale.
Tot mai multe dispozitive IoT populare precum televizoarele inteligente, camerele web, termostatele casnice, alarmele din locuinţe şi sistemele de control acces sunt comandate de la distanţă, prin Internet, cu ajutorul unor servicii de tip cloud sau aplicaţii de telefon mobil.
Un studiu efectuat de HP în anul 2014 asupra celor mai populare dispozitive IoT arată că peste 70% dintre acestea prezintă vulnerabilităţi ce pot fi exploatate de atacatori. Şi mai grav, majoritatea acestora rămân vulnerabile o perioadă mare de timp, rata de rezolvare a vulnerabilităţilor fiind mult mai mică decât în cazul sistemelor şi aplicaţiilor informatice clasice.
Recent cineva mi-a adresat întrebarea "Ce pot face pentru a securiza noul meu Smart TV pe care l-am conectat la Internet?". Altcineva a intervenit imediat şi mi-a acordat răgaz de gândire răspunzând în locul meu că "Nu aveţi nicio şansă! Pur şi simplu ar trebui să-l deconectaţi de la Internet" şi a continuat argumentându-şi punctul de vedere. Nu am putut fi de acord cu această soluţie radicală şi am argumentat că nu putem renunţa aşa de uşor la o facilitate a televizorului pe care majoritatea o consideră utilă şi care este până la urmă rezultatul unei evoluţii tehnologice.
În cele ce urmează mi-am propus să prezint o abordare holistică a problemei securizării dispozitivelor IoT, pornind de la cele mai importante categorii de vulnerabilităţi ale acestor dispozitive, pe baza informaţiilor prezentate de proiectul OWASP Internet of Things Top 10 şi conform datelor deţinute de CERT-RO în calitate de punct naţional de contact pentru raportarea vulnerabilităţilor şi incidentelor de securitate cibernetică. Astfel, cele mai frecvente categorii de vulnerabilităţi ale dispozitivelor IoT sunt:
‣ Interfaţă web nesigură;
‣ Mecanism de autentificare/autorizare insuficient;
‣ Servicii de reţea nesigure;
‣ Lipsa criptării la nivelul transportului de date;
‣ Probleme de confidenţialitate a datelor;
‣ Interfaţă cloud nesigură;
‣ Interfaţă mobilă nesigură;
‣ Configurabilitate a securităţii insuficientă;
‣ Software/Firmware nesigur;
‣ Securitate fizică scăzută.
Abordarea vulnerabilităţilor enumerate anterior se poate realiza din perspectiva utilizatorilor, a producătorilor, dar şi a celor care realizează testarea acestora.
Cu promisiunea că în perioada imediat următoare veţi regăsi un ghid complet al securizării dispozitivelor IoT, realizat de echipa CERT-RO şi care va fi postat pe portalul web al instituţiei, dar şi din considerente de spaţiu alocat acestui articol, prezint în rândurile de mai jos doar o serie de recomandări adresate utilizatorilor de dispozitive IoT:
Verificaţi dacă dispozitivul dispune de opţiunea HTTPS pentru cripta rea traficului de date şi în caz afirmativ asiguraţi-vă că este activă;
Dacă dispozitivul dispune de opţiuni de criptare, asiguraţi-vă că utilizaţi standarde acceptabile precum AES-256;
Verificaţi dacă dispozitivul suportă autentificare în doi paşi (two factor). În caz afirmativ activaţi această opţiune;
Verificaţi dacă dispozitivul dispune de un firewall web şi în caz afirmativ activaţi-l;
Dacă dispozitivul dispune de un firewall, activaţi-l şi configuraţi-l astfel încât dispozitivul să fie accesibil numai de la sistemele dvs.;
Dacă dispozitivul dispune de o aplicaţie web locală sau în cloud, schimbaţi parola implicită cu una cât mai puternică şi schimbaţi numele de utilizator implicit dacă este posibil;
Dacă dispozitivul dispune de opţiunea de a solicita schimbarea parolei după un anumit număr de zile (90 de zile spre exemplu), asiguraţi-vă că aceasta este activă;
Verificaţi dacă dispozitivul dispune de funcţionalitatea de blocare a contului de utilizator în cazul unor încercări repetate de autentificare nereuşite şi în caz afirmativ activaţi-o;
Implementaţi o tehnologie de segmentare a reţelei, prin utilizarea unui firewall spre exemplu, astfel încât să realizaţi o izolare a dispozitivelor IoT de restul sistemelor informatice;
Dacă dispozitivul permite setarea privilegiilor la nivel de utilizator, setaţi-le pe principiul minimului necesar operării;
Nu introduceţi informaţii confidenţiale în cadrul dispozitivelor dacă nu este absolut necesar;
În cazul în care aveţi de ales şi nu este neapărat necesar pentru funcţionarea dispozitivului, nu activaţi opţiunile de colectare de date din dispozitiv;
În cazul în care dispozitivul permite, activaţi funcţionalităţile de jurnalizare (logging) a evenimentelor de securitate;
În cazul în care dispozitivul permite, activaţi funcţionalităţile de alertare/notificarea a evenimentele de securitate;
Activaţi opţiunea de actualizare automată şi regulată a dispozitivului, în cazul în care dispune de o astfel de opţiune;
Activaţi orice facilităţi de limitare a accesului fizic neautorizat la sistem (anti-furt, localizare GPS, ştergere a informaţiilor stocate de la distanţă etc.);
Dezactivaţi porturile fizice neutilizate prin intermediul interfeţei de administrare.
Şi pentru a nu încheia fără a răspunde la întrebarea legată de securizarea televizoarelor inteligente (Smart TV), vă încurajez să încercaţi aplicarea tuturor recomandărilor menţionate anterior, în măsura în care dispozitivul permite, în special cea referitoare la segmentarea reţelei utilizând un firewall, un router WiFi care oferă această opţiune sau chiar dispozitive (hub, appliance) dedicate securizării dispozitivelor IoT.
Cătălin PĂTRAŞCU
NOTĂ:
Cătălin Pătraşcu este expert în securtate cibernetică, cu peste opt ani de experienţă relevantă în domeniu. Şi-a început călătoria în domeniul securităţii cibernetice în cadrul Ministerului Apărării Naţionale (2010-2012), a continuat în calitate de coordonator al echipei de răspuns la incidente din cadrul Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică - CERT-RO (2012-2018) şi activează, în prezent, ca manager de livrare de servicii de securitate cibernetică în cadrul unei companii de profil. A gestionat cu succes proiecte în domeniul securităţii cibernetice, a planificat şi moderat exerciţii cibernetice, a gestionat incidente cibernetice la scară naţională şi a efectuat diverse studii pe teme de securitate cibernetică şi criminalitate informatică.