fbpx
13szept, 2021
0Comments
featured-image

IoT vallató

Az IoT – Internet of Things – úgy kúszik be csöndesen a mindennapjainkba az okostelefonok után, mint amilyen észrevétlenül lett a heti 2-3 iwiw belépésünkből napi többszöri instagram check. Nincs bolygót megrengető bejelentés, ünnepélyes megnyitó, se Elon Musk tweet, csak hirtelen körülvesznek minket az új eszközök, miközben az életünkre gyakorolt hatásuk miatt akár egy újabb marker lehetne a technológiai fejlődésünk idővonalán.

Az IoT eszközök amellett, hogy jópofa kis fancy cuccok, valójában szinte teljes értékű kis számítógépek – általában valamilyen kikönnyített Linux operációs rendszerrel – ebből következően bármennyire is zárt kütyüknek tűnnek, amint csatlakoznak egy hálózatra máris lehetőség van a manipulációjukra az arra felkészült számítós szakembereknek. Nem feltétlenül így van a fejünkben, de ide tartoznak az okos tévék is – ezt figyelembe véve eléggé megnő az IoT érintettségű háztartások száma.

A másik ami szintén nem triviális – és a gyártók sem ezzel reklámozzák a kis termékeiket – hogy mi mindent tudnak rólunk ezek az eszközök. Sokszor meglepően sokat, elég csak egy okos órára gondolni, ami monitorozza a napi mozgásunkat, egészségügyi adatainkat. Ettől persze még nem kéne aggódnunk, hiszen tarthatnák ezt titokban, de a normál számítógépek esetében is macerás ügy ez titkolózás, az IoT esetében meg külön kihívásos, mert még az erőforrásai is limitáltabbak amik szükségesek egy támadás detektáláshoz.  Picit mintha a posta egyik nyugdíjas biztonsági őrére bíznánk egy kisebb helyőrség védelmét valahol a Közel-Keleten.

Épp ezért szokás is mondani, hogy az IoT-ban az ‘S’ jelenti a security-t, a biztonságot. Szarkazmus és tény egyben, ugyanis ezek az eszközök a sokszor a nagyon alacsony áruk mellett valóban híresek a biztonság teljes hiányáról, ami egyfelől megjelenhet kiberbűnözők felé ajtónyitóként a digitális életünkre, másfelől a már fentebb említett információ szivárogtató képességben, de nem példa nélküli az ilyen eszközök tudtunk nélküli használata támadások kivitelezésére sem.

A kiberbiztonság világában létezik egy fogalom, az úgynevezett “side-channel attack”, aminek a lényege, hogy úgy nyerünk ki szenzitív információt – tipikusan memóriából, processzor regiszterekből – hogy nem a ténylegesen az információhoz/adathoz próbálunk hozzáférni, hanem más adatok változásából következtetünk az áhított értékre. Maga a jelenség az analóg világban is megfigyelhető, példaként rendszeresen citálják a híres Pentagon pizza incidenst: 1991 január 16-án este – amikor az Irak által megszállt Kuvait felszabadítása már eléggé lógott a levegőben – a szokotthoz képest sokkal több pizzarendelés érkezett az épületből és a parkolóban is sokkal több autó állt, mint az egy normál este megszokott. Ebből – és természetesen az éppen aktuális geopolitikai helyzetből – egyes újságírók arra következtettek, hogy a hadművelet hamarosan indul, és igazuk is lett, aznap éjjel megindultak Kuvait felé az amerikai csapatok. (Bár vannak akik szerint ez urban legend, mégis tankönyvben is hivatkoznak az esetre.)

Ennél eggyel már digitálisabb formában és már IoT eszközök főszereplésével történt a közelmúltban egy szintén az USA fegyveres erőihez köthető, tudtukon kívüli információ kiszivárogtatás: a egyik népszerű fitness applikáció tracking funkciója lebuktatott pár titkos amerikai bázist Szíriában és Afganisztában. Az történt ugyanis, hogy az applikáció gyártója elérhetővé tette az úgynevezett “heat map”-et, ami az adott évre vonatkozóan mutatja az applikáció használata során trackelt útvonalakat (ebben elvileg nincs semmi különös, mert személyhez nem köthető, csupán a sok-sok felhasználó által “rajzolt” vonalakat jeleníti meg egy közös térképen). Arra viszont nem számítottak, hogy sok katona is előszeretettel használ ilyen eszközöket és néhányan közülük titkos bázisokon szolgálnak ahol a bázis területén – vagy éppen azt körbefutva – edzenek, ezzel szépen körbe is rajzolva az egyébként csendben meghúzódó laktanyát.

Ennél azért személyesebb is lehet az érintettség, és talán nincs jobb lakmuszpapírja a problémának, mint az olcsó, tömegével elterjedt IP kamerák. Az olcsóságuk az egyik oka annak, hogy számtalan nappali, háló- de még fürdőszoba is be lett kamerázva az utóbbi években a korábbi garázs illetve terasz/udvar figyelések tendenciózus folytatásaként. A gond ezzel kettős: az első és nyilvánvaló, hogy a biztonsági szempontokat a tervezésnél nem igazán figyelembe vevő gyártók gyakorlatilag periszkópokat árulnak a legprivátabb szférákba. Sokszor persze felhasználói hanyagság is az oka (nem megfelelő konfiguráció, alap jelszó meg nem változtatása, etc.) de a lényeg, hogy tömegével lehet bekukucskálni lakásokba kis hozzáértéssel. Megtalálni ezeket a nem szándékos big brother házakat sem ördöngősebb feladat, mint kirakni egy rubik kockát, onnantól pedig már csak az a kérdés mit kezd ezzel egy kevésbé jóindulatú állampolgár.

A kamerákból, egyéb nagy tömegben eladott eszközökből ezen felül lehet még zombihadsereget is építeni: ilyenkor egy automata script felkutatja ezeket a cuccokat és automatikusan megfertőzi őket olyan kóddal, ami lehetővé teszi a távolról irányításukat. Erről persze az eszköz gazdájának fogalma sincs, továbbra is problémamentesen ellátja a funkcióját. Köszönhetően az operációs rendszer alap funkcióinak innentől már a támadók fantáziájától függ, hogy mire használják a néha több tízezer vagy még ennél is nagyobb nagyságrendű zombi brigádot. 2016 őszén egy ilyen sztorival sikerült órákra stoppolni az USA egy kellemesen nagy részén olyan szolgáltatásokat, mint a Twitter, SoundCloud, Spotify, Reddit, Netflix vagy az Airbnb – elég az hozzá, hogy látványos és érzékelhető grimbuszt okoztak a helyi hipszter közösségen túl az átlag amerikainak is. És ehhez nem kellett más, mint temérdek könnyű préda IoT kütyü amit megfertőzhető majd célra irányítható.

Az egzotikusabb IoT eszközök világa sem mentes a hasonló malőröktől. A Vibratissimo nevű romantikus online játszadozásra szánt eszköz (egy úgynevezett “panty buster”) olyan tervezési hibákkal került a webshopokba amelyek lehetőséget biztosítanak egy idegen támadónak (bár itt felmerülhet a támadó szó valami kedvesebbre cserélése) hogy távolról, neten keresztül beleszóljon az eszközön keresztül megvalósított intim együttlétbe, vagy akár kezdeményezzen ilyet kéretlenül. Ezzel ugyan elvileg nagyobb bajt nem lehet okozni, de azért elképzelhető olyan helyzet – gyökérkezelés végrehajtása közben, toronydarut kezelve, vagy épp bombahatástalanítás közben – amikor áttételesen veszélybe sodorható mások testi épsége.

A fentebbbiek ellenére az IoT eszközök eltűnése nem várható egyhamar, sőt egyre inkább az életünk részei lesznek, és ez még csak nem is baj, csak tisztában kell lenni a velük hazavitt problémákkal és bízni abban, hogy a téma szakértői megoldásokat szállítanak ezekre. (Ilyen témájú kutatásban egyébként élen jár itthon a BME CrySys Lab csapata is.)