Τρύπες στην κυβερνοασφάλεια από το «internet των πραγμάτων»

Οι default κωδικοί σε συσκευές όπως τα digital video recorders στο σαλόνι σας μέχρι την κάμερα ασφαλείας στο γραφείο σας, απειλούν τη σταθερότητα του διαδικτύου, καθώς οι χάκερ χτίζουν τεράστια δίκτυα με συσκευές του λεγόμενου "internet των πραγμάτων" για να «βομβαρδίσουν» ιστοσελίδες με κίνηση.

Η επίθεση στην εταιρία παροχής domain names, Dyn, που διέκοψε την Παρασκευή την πρόσβαση σε μεγάλες ιστοσελίδες όπως το Twitter, το Spotify και οι New York Times, έδειξε τους κινδύνους που ενέχουν οι δισεκατομμύρια συσκευές που συνδέονται με το διαδίκτυο, οι οποίες έχουν ελάχιστη ή και καθόλου κυβερνοασφάλεια.

Άγνωστοι χάκερ «κατέλαβαν» δεκάδες εκατομμύρια συσκευές με χρήση του κακόβουλου λογισμικού Mirai, με αποτέλεσμα η επίθεση να είναι πολύ ισχυρότερη και δυσκολότερη να αποτραπεί απ' ό,τι οι μέσες επιθέσεις που έχουν στόχο να «ρίξουν» υπηρεσίες.

Μέσα στον ενθουσιασμό τους για τις προοπτικές να ελέγχουν σπίτια και κτίρια γραφείων μέσω «έξυπνων» τηλεφώνων -για να αλλάξουν τη θερμοκρασία ή να παρακολουθούν μέσω καμερών για πιθανές κλοπές-, πολλοί κατασκευαστές με μικρή εμπειρία στην κυβερνοασφάλεια έχουν συνδέσει συσκευές με το διαδίκτυο.

Οι ρυθμιστικές αρχές δεν έχουν ακόμα δημιουργήσει ξεκάθαρους κανόνες ως προς το πώς θα πρέπει να προστατεύονται, ενώ ακόμα και οι επιχειρήσεις ανακαλύπτουν πως καλοπροαίρετοι προμηθευτές ή διαχειριστές facilities έχουν κατά λάθος δημιουργήσει «τρύπες» στα εταιρικά τους δίκτυα, με την προσθήκη διασυνδεδεμένων στο διαδίκτυο συσκευών.

O Michael Sutton, επικεφαλής του τμήματος ασφάλειας της πληροφορίας της Zscaler, μιας εταιρείας cloud security, δήλωσε πως η επίθεση της Παρασκευής ήταν μια «αφύπνιση» για τη βιομηχανία hardware.

«Η ασφάλεια στη βιομηχανία hardware είναι μια δεκαετία πίσω από αυτήν της βιομηχανίας λογισμικού», δήλωσε. «Το Mirai ήταν επιτυχημένο διότι τόσα πολλά webcams, digital video recorders και άλλες συσκευές έχουν παραχθεί με default κωδικούς που δεν άλλαξαν ποτέ. Ένα διαδικτυακό σκανάρισμα τους αναγνωρίζει και μπορούν εύκολα να παραβιαστούν».

Ειδικοί του τομέα της κυβερνοασφάλειας προειδοποιούν εδώ και χρόνια για τους κινδύνους των συσκευών του «internet των πραγμάτων", προσομοιάζοντας μάλιστα χακαρίσματα στο ετήσιο συνέδριό τους, Def Con, για να δείξουν το πώς τα πάντα, από τα διασυνδεδεμένα αυτοκίνητα μέχρι τις αντλίες ινσουλίνης, μπορούν να χακαριστούν. Συχνά, όμως, είναι δύσκολο να δει κανείς γιατί κάποιος κυβερνοεγκληματίας θα έβαζε στο στόχαστρο τη συσκευή ενός ιδιώτη, εκτός και αν ήθελε να εκθέσει τη δραστηριότητα ενός ατόμου δημοσίως ή να βλάψει κάποιο πολιτικό πρόσωπο. Αυτή η επίθεση, όμως, έδειξε πως ακόμα και αν οι διασυνδεδεμένες συσκευές δεν είναι μεγάλη απειλή για τον ιδιοκτήτη τους, ωστόσο μπορούν να χρησιμοποιηθούν κακόβουλα για να γίνουν επιθέσεις σε άλλους.

Η εταιρεία ερευνών Gartner προβλέπει πως μέχρι το 2020 θα υπάρχουν πάνω από 20 δισεκατομμύρια διασυνδεδεμένες συσκευές παγκοσμίως, με τους καταναλωτές να δαπανούν 1.500 δισ. δολάρια για το «internet των πραγμάτων» και τις επιχειρήσεις να δαπανούν σχεδόν το ίδιο ποσό. Η εταιρεία προβλέπει πως πάνω από το ένα τέταρτο των επιθέσεων σε επιχειρήσεις θα περιλαμβάνουν διασυνδεδεμένες συσκευές μέχρι το 2020, όμως οι εταιρείες θα δαπανήσουν μόνο το 10% των προϋπολογισμών τους για την κυβερνοασφάλεια στην προστασία κατά αυτού του είδους των επιθέσεων.

O Jeremiah Grossman, επικεφαλής στρατηγικής ασφαλείας της SentinelOne, εταιρείας κυβερνοασφάλειας, τονίζει πως έχει ήδη καθυστερήσει πολύ το να δοθεί περισσότερη προσοχή στο πρόβλημα των μη ασφαλών συσκευών. Οι κατασκευαστές συσκευών θα πρέπει να αναγκάζουν τους χρήστες τους να αλλάζουν τους default κώδικες στο πλαίσιο μιας διαδικασίας set-up και να εκδίδουν ενημερώσεις, όπως κάνουν και για τα PC. Η εγκατάσταση ενός προϊόντος που μπορεί να παρακολουθεί τι κάνει η συσκευή, θα είχε δείξει την «πολύ ανώμαλη» συμπεριφορά, όταν οι συσκευές «επιστρατεύτηκαν» σε κάποιο botnet, σημείωσε.

Η ρύθμιση της βιομηχανίας είναι «σχεδόν αδύνατη», συμπλήρωσε ο κ. Grossman, καθώς οι εταιρείες που συνδέουν τις συσκευές στο διαδίκτυο δεν ανήκουν σε καμία συγκεκριμένη κατηγορία, αφού μπορεί να είναι από κατασκευαστές smart TVs μέχρι κατασκευαστές ιατρικού εξοπλισμού.

Ορισμένοι ρυθμιστές έχουν δει την πιθανή απειλή, με την αμερικανική υπηρεσία τροφίμων και φαρμάκων (FDA), που επιβλέπει τους κατασκευαστές βηματοδοτών και άλλου ιατρικού εξοπλισμού, να εκδίδει προσχέδιο κατευθυντήριων γραμμών νωρίτερα φέτος για το πώς θα πρέπει τα νοσοκομεία και οι κατασκευαστές να παρακολουθούν τις συσκευές για ευάλωτα σημεία και να εκδίδουν ενημερώσεις.

Ο Shuman Ghosemajumder, διευθύνων σύμβουλος τεχνολογίας της Shape Security, συμφώνησε πως είναι δύσκολο οι ρυθμιστικές αρχές να «λύσουν το πρόβλημα», καθώς οι προκλήσεις για την ασφάλεια αλλάζουν διαρκώς, όταν οι χάκερ αναπτύσσουν νέες τεχνικές. Όμως σημείωσε πως θα πρέπει να είναι υπεύθυνες για τον ορισμό «ελάχιστων προσδοκιών και κανόνων».

«Η βιομηχανία συνολικά πρέπει να κάνει καλύτερη δουλειά. Αναμφίβολα η ανάπτυξη του "internet των πραγμάτων" έχει τροφοδοτηθεί από τον ενθουσιασμό για τις νέες λειτουργίες που προσφέρει η σύνδεση στο διαδίκτυο, και έτσι η σημασία που δίνεται στην ασφάλεια είναι λιγότερη», σημείωσε.

Ωστόσο, πρόσθεσε πως δυνητικοί στόχοι, όπως η Dyn, στην οποία βασίζονται πολλές μεγάλες εταιρείες για την παροχή πρόσβασης στις ιστοσελίδες τους, θα πρέπει και αυτοί να βελτιώσουν την ασφάλειά τους και να προστατεύονται καλύτερα από αυτά τα διαρκώς διευρυνόμενα botnets.

Η Dyn, σε ανάρτησή της το Σάββατο, δήλωσε πως παρακολουθεί για περαιτέρω επιθέσεις και πως εργάζεται με υπηρεσίες επιβολής του νόμου και άλλους για να ερευνήσει ποιοι βρίσκονται πίσω από την επίθεση. «Ο αριθμός και το είδος των επιθέσεων, η διάρκεια και η κλίμακά τους, και η περιπλοκότητα των επιθέσεων, αυξάνονται», σχολίασε ο Kyle York, διευθύνων σύμβουλος στρατηγικής της εταιρείας.

Ο York σημείωσε πως λόγω των πελατών που βασίζονται στην εταιρεία, η Dyn είναι συχνά «ο πρώτος που ανταποκρίνεται στο διαδίκτυο». Όμως, καθώς το διαδίκτυο μεγαλώνει, συνδέοντας θερμοστάτες, λάμπες φωτισμού και baby monitors, το να καλέσει κανείς το ασθενοφόρο, μόλις έγινε ακόμα πιο δύσκολο.

© The Financial Times Limited 2016. All rights reserved.
FT and Financial Times are trademarks of the Financial Times Ltd.
Not to be redistributed, copied or modified in any way.
Euro2day.gr is solely responsible for providing this translation and the Financial Times Limited does not accept any liability for the accuracy or quality of the translation