Budú nás detské chyby v zariadeniach internetu vecí strašiť ešte v roku 2033?
Internet of things (IoT) - internet vecí je buzzword ktorý ste s najväčšou pravdepodobnosťou už počuli a ak nie, tak v najbližších mesiacoch, či rokoch, sa mu určite nevyhnete. Pripojenie pre chladničky, práčky, robotické vysávače, kávovary, žiarovky, riadiace jednotky kúrenia, vetrania, klimatizácie, osobné váhy, kuchynské váhy… do siete či až na internet môže znieť ako nápad so skvelým potenciálom. Rozhodne to tak je a fantázii sa medze nekladú.
Mimochodom určite ste si všimli, že pri menovaní príkladov som nemusel opustiť domácnosť a urobil som tak zámerne. Chcel som len “tak nenápadne” predstaviť ďalší buzzword, maličkú podmnožinu IoT, smart home. Zároveň som vám chcel dať možnosť rozjímať čo všetko dobré, alebo naopak zlé, či dokonca desivé môžu tieto zariadenia priniesť. Nezabúdajte však - zariadení smart home je len maličký zlomok oproti celku ktorý sa bežne označuje ako IoT.
Späť k téme. Ako už býva nepekným zvykom, napriek všemožným vyhláseniam výrobcov, je zabezpečenie ich produktov málokedy na popredných priečkach ich zoznamu priorít. Nové a nové funkcie a rýchlo, skôr než ich predstaví konkurencia. To je realita dnešných dní, a to som mal zatiaľ na mysli softvérové spoločnosti, s bohatými skúsenosťami s vývojom softwaru pripojeného na sieť. No a teraz zoberme do úvahy aj všetkých výrobcov žiaroviek, rýchlo varných kanvíc, pračiek, chladničiek… Bolo by naivné si myslieť, že zabezpečenie bude práve to, čo ich bude zaujímať.
Aktuálny vývoj mi dáva za pravdu, že nás čaká ešte veľmi veľa nepekných prekvapení. Tie čo sa už udiali, sú len malou ochutnávkou toho čo ešte môže prísť (a príde).
Určite si spomeniete na povestné “Hej Siri, otvor dvere!” ktoré odznelo zhruba pred rokom a dvere sa otvorili - susedovi. Alebo na chytré žiarovky od Osramu, ktoré sa dali použiť ako vstupná brána do siete a nielen to. Mimochodom Philips so svojimi žiarovkami nedopadol o moc lepšie. A čo jeden z najmasívnejších DDoS útokov za ktorým stála armáda slabo zabezpečených, resp. prakticky vôbec nezabezpečených IoT zariadení? Novinové titulky ako “Autoumyvárka útočí” alebo “Jeep si brzdí ako chce” by už po tomto všetkom boli len čerešničkou na torte.
Ako som už písal vyššie, je na vás popustiť uzdu fantázii a zamyslieť sa čo všetko nás ešte v tomto smere čaká - ten potenciál v pozadí je jednoducho enormný. Dokonca až do tej miery, že upútal pozornosť aj úradov EÚ, či USA ktoré prichádzajú s návrhmi určitých štandardov (akési minimum zabezpečenia) alebo dokonca legislatívy, ktorá by to vyžadovala.
Detské chyby sprevádzali snáď každú technológiu s ktorou ľudstvo prišlo. Určite si všetci pamätáte časy úplne nezabezpečených wifi sietí. Spásonosný nápad pod skratkou WEP nebol vôbec spásou, ale práve spomínanou detskou chybou, na ktorú sa upozornilo už v roku 2001. Ani dnes, po 16 rokoch, ešte nemôžeme povedať, že túto paródiu na zabezpečenie podchvíľou nenájdeme vo svojom okolí. Práve toto ma viedlo k úvahe z nadpisu - budú nás detské chyby v zariadeniach internetu vecí strašiť ešte o ďalších 16 rokov? Osobne sa obávam, že áno a možno ešte aj dlhšie. Čo vy na to?
EDIT #1: 11. 09. 2017 - Ak vám zraniteľnosti smart home zariadení a potenciálne problémy z toho plynúce prídu ako malicherné, tak zraniteľnosti v zdravotníckej výbave pripojenej na sieť ako sú kardiostimulátory alebo injekčné dávkovače liekov môžu raz niekoho poľahky zabiť alebo zmrzačiť.