Według raportu firmy Juniper w 2021 roku liczba urządzeń i systemów tworzących sieci IoT wyniesie ponad 46 miliardów. Jeżeli podzieli się to przez prognozowaną liczbę ludności na świecie, czyli około 7,7 miliarda, to oznacza to prawie sześć urządzeń na mieszkańca. Znajdą się one w fabrykach, w na dworcach i w naszych domach. Tymczasem, jak podają firmy badawcze, wiele z urządzeń IoT cechuje się niskim poziomem bezpieczeństwa i jest podatne na włamania – szczególnie gdy pracują one w sieciach IP.
────── Artykuł firmowy ──────
Nie wszystkie urządzenia IoT są jednak podłączone do sieci bezpośrednio. Zazwyczaj szereg urządzeń w domu lub fabryce komunikuje się z routerem za pośrednictwem magistrali innej niż IP, takiej jak ZigBee — a sam router odpowiada za brzegową obecność w Internecie, umożliwiając komunikację ze zdalnym serwerem chmurowym systemu. Jak zobaczymy, niektóre urządzenia, w szczególności małe czujniki, korzystają na wyeliminowaniu kosztów dodatkowych związanych z wydajną siecią opartą na protokole internetowym. Podatność urządzenia na włamania zwiększa dodatkowo obecność adresu IP.
Różne systemy i instalacje mogą znajdować się w odległych społecznościach wiejskich lub w innych miejscach poza zasięgiem, dlatego nie ma stałego i niezawodnego połączenia internetowego. Możliwości mogą być ograniczone do gromadzenia danych w urządzeniu rejestrującym, a następnie przenoszenia ich na nośniku pamięci do miejsca, w którym można je przeanalizować w celu wygenerowania sensownych informacji i zaleceń dotyczących działania. Jednak dzięki odpowiednim technologiom łączność na duże odległości może zostać osiągnięta bez udziału Internetu czy komunikacji w sieciach IP. Przedstawiamy dwa przykłady, omawiając kwestie cyberbezpieczeństwa i możliwe problemy, które pokażą, że „IoT bez Internetu” stanowi atrakcyjną perspektywę dla wielu typów użytkowników. Całość artykułu znajduje się tutaj.
Roboty przemysłowe na celowniku
O tym, że cybernetyczne zagrożenia mogą mieć realny, fizyczny charakter, przekonują przedstawiciele firmy Trend Micro. Według raportu firmy opracowanego wraz z Politecnico de Milano oprogramowanie obsługujące roboty podłączone do Internetu jest w wielu przypadkach wysoce podatne na ataki hakerskie. Również inne firmy i naukowcy znaleźli szereg urządzeń przemysłowych, w tym robotów, podatnych na ataki hakerów. Oczywiste zagrożenia obejmują obejście funkcji zabezpieczeń, co mogłoby skutkować zagrożeniami dla pracowników ze strony robotów, istnieją jednak też inne, mniej oczywiste zagrożenia. Obejmują one wprowadzanie subtelnych usterek, które prowadzą do awarii obiektowych, zapłonów, awarii systemów zabezpieczeń, utraty integralności konstrukcyjnej, itp.
Omawiane opracowanie Trend Micro zatytułowane „Rogue Robots: Testing the limits of an industrial robot’s security”
Jednym z rozwiązań może być praca robotów zupełnie bez połączenia z Internetem, ale może to być niepraktyczne dla wszystkiego poza najprostszymi robotami i zadaniami. Innym rozwiązaniem mogłoby być zbudowanie w całej fabryce lub w jej części sieci IP/robotycznej, która byłaby odłączona od Internetu i sieci firmowej za pomocą tzw. „szczeliny powietrznej” (Air Gap). Trudno jest jednak utrzymać integralność takiej szczeliny powietrznej, ponieważ może ona zostać naruszona na kilka sposobów – np. przez konieczność wymiany plików, luki i błąd ludzki, zaatakowane urządzenia osobiste czy też ataki poprzez połączenia Bluetooth w celu penetracji i przejęcia pełnej kontroli nad urządzeniami docelowymi.
W związku z powyższym firma Trend Micro przedstawiła kilka zaleceń dotyczących tego, jak producenci i użytkownicy robotów mogą chronić się przed atakami hakerskimi. Standardy robotów przemysłowych muszą uwzględniać zagrożenia bezpieczeństwa cybernetycznego w taki sam sposób jak standardy ICS i sektora motoryzacyjnego minimalizujące te zagrożenia. Specjaliści ds. zabezpieczeń sieci muszą w pełni zrozumieć wyjątkową pozycję, jaką zajmują roboty przemysłowe w zakresie ich zabezpieczenia.
Systemy automatyki domowej
W przypadku automatyki domowej występować może wiele urządzeń, które wymagają różnego rodzaju sieci transmisyjnych. Przykładowo system automatyki domowej może zawierać kamery bezpieczeństwa, które wymagają łączy o wysokiej przepustowości do obsługi transmisji wideo. Istnieje jednak wiele innych urządzeń, które tylko czasami przesyłają pakiety danych, więc nie gwarantują wysokiej przepustowości sieci. Korzystają natomiast z lokalnego połączenia sieciowego o niskiej przepustowości, używającego takich standardów jak ZigBee, BLE czy ANT, które nie wiążą się z wysokimi kosztami sprzętu, oprogramowania czy zużycia energii.
Jest to szczególnie ważne w przypadku „drobnych” urządzeń znajdujących się w rozproszonych miejscach, w przypadku których doprowadzenie zasilania elektrycznego jest utrudnione lub niemożliwe. Wydajna sieć jest nie tylko zbędna, ale również wiązałaby się z niepożądanym obciążeniem pod względem wielkości i zużycia energii. Ograniczenie zużycia energii związanego z aktywnością sieciową może znacząco wydłużyć żywotność akumulatora urządzenia. Takimi urządzeniami oraz ich aplikacjami, które mogą korzystać z sieci o niższej wydajności, są m.in.: wykrywanie pożarów i obecności CO, otwieranie i zamykanie okien i drzwi, systemy czujnikowe (ruch, temperatura, sterowanie świetleniem).
Choć projektanci mogą być silnie zmotywowani do projektowania czujników z prostym lokalnym połączeniem sieciowym z powodów opisanych powyżej, korzystanie z portu zupełnie pozbawionego adresów IP przynosi również istotne korzyści związane z bezpieczeństwem. Eliminuje narażenie na wiele rodzajów zagrożeń cybernetycznych. Hakerzy mogą być w stanie aktywować lub dezaktywować urządzenia w całej sieci lokalnej, ale nie mogą uzyskać dostępu do danych.
Więcej przykładów
W artykule na stronie Farnell element14 przeczytać można opisy innych przypadków związanych z wykorzystaniem rozwiązań IoT – np. w odległej lokalizacji wiejskiej bez łączności ze światem oraz wykorzystania sieci Thingstream do łączącej urządzeń.
W pełnej wersji artykułu można znaleźć opis analiz wykonanych m.in. przez firmy Synack, Veracode oraz ReVuln. Ujawniły one problemy związane cyberbezpieczeństwem w przypadku kilkunastu urządzeń automatyki domowej – od kamer po termostaty. Eksperyment polegał na odgrywaniu różnych scenariuszy ataku z symulacjami sytuacji, jakie mogłyby narazić użytkowników na ataki hakerskie. Obejmowały one osadzanie złośliwego kodu w produktach przed wypuszczeniem z fabryki oraz przejmowanie aplikacji mobilnych przeznaczonych do zdalnego sterowania. Co istotne, osoby przeprowadzające badanie stwierdziły, że są w stanie włamać się do niemal każdego urządzenia domowego. Stan bezpieczeństwa opisali jako „przerażający”.
Szereg systemów automatyki domowej składa się częściowo z urządzeń pracujących w sieciach lokalnych i częściowo z urządzeń podłączonych do sieci Wi-Fi lub bezpośrednio do Internetu. Jednym z rozwiązań może zastosowanie np. modułowej bramy IoT firmy NXP. Choć została zaprojektowana dla dużych sieci węzłowych, jest interesująca, ponieważ obsługuje szeroki wachlarz protokołów łączności bezprzewodowej, w tym Thread, ZigBee i Wi-Fi. Osadzone funkcje wywiadowcze umożliwiają krytyczne czasowo reakcje i działania nawet wtedy, gdy nie jest dostępna łączność z chmurą. Urządzenie stosuje rozbudowane mechanizmy szyfrowania, w tym szyfrowaną łączność bezprzewodową, w celu zapobiegania nieupoważnionemu dostępowi, jak również przechwytywania czy ataków typu „man-in-the-middle” i metodą powtórzeń. Wykorzystuje też szyfrowanie AES dla komunikatów Thread i ZigBee. To ważne, aby powstrzymać hakerów przed aktywowaniem urządzeń w tych sieciach, nawet jeśli nie będą oni mieli pełnego dostępu do danych.
Podsumowanie
W artykule omawialiśmy, jak można skonfigurować niektóre sieci IoT, a częściej elementy sieci IoT, bez wykorzystania technologii bazujących na protokole IP. W rzeczywistości jednak większość sieci IoT zależy w niektórych obszarach od łączności internetowej lub jest narażona na złośliwe bądź niezamierzone połączenia sieciowe. Nie każde urządzenie IoT jest podłączone do Internetu – czasami nie jest to możliwe, ponieważ nie jest dostępne żadne lokalne łącze internetowe, ale w większości innych sytuacji bezpośrednie połączenie nie jest konieczne lub nawet pożądane. Największą korzyścią wynikającą z wyeliminowania takich połączeń jest wyeliminowanie widoczności i podatności adresu IP na włamania. Im bardziej infrastruktura IoT wpływa na nasze życie, tym większe zagrożenie i możliwe konsekwencje – nawet fizyczne – każdego naruszenia bezpieczeństwa.
W związku z powyższym projektanci IoT, osoby wdrażające rozwiązania i użytkownicy powinni mieć na uwadze zagrożenia związane z bezpieczeństwem sieci i środki zaradcze. Jednym z możliwych punktów wyjścia może być oferta fundacji IoT Security Foundation, organizacji non profit zajmującej się dążeniem do doskonałości w dziedzinie zabezpieczeń. Odsyłamy tutaj do artykułu na stronie firmy Farnell element14.
Artykuły opublikowane w ramach cyklu IoT Hub
Iot Hub: Bezprzewodowe sieci czujnikowe i zasilanie systemów IoT
Internet Rzeczy… bez Internetu, czyli o cyberbezpieczeństwie systemów IoT
