Ο αδύναμος κρίκος στη κυβερνοασφάλεια είναι το IoT

Για να μιλήσουμε για την ασφάλεια του Internet of Things θα ήταν καλό να δώσουμε μια ταυτότητα σε αυτή την έννοια. Σύφμωνα με τη WIkipedia λοιπόν:

 "Το Διαδίκτυο των πραγμάτων ή Ίντερνετ των πραγμάτων (αγγλικά: Internet of things) αποτελεί το δίκτυο επικοινωνίας πληθώρας συσκευών, οικιακών συσκευών, αυτοκινήτων καθώς και κάθε αντικειμένου που ενσωματώνει ηλεκτρονικά μέσα, λογισμικό, αισθητήρες και συνδεσιμότητα σε δίκτυο ώστε να επιτρέπετε η σύνδεση και η ανταλλαγή δεδομένων." 

Ποιος είμαι εγώ λοιπόν για να διαφωνήσω με τη Wikipedia ? 

Στα μάτια ενός προγραμματιστή εφαρμογών για το IoT επρόκειται για αυτό το συγκεκριμένο δίκτυο από εκατομύρρια κόμβους οι οποίοι αξιοποιούν τη μια ή την άλλη τεχνολογία για να συλλέξουν δεδομένα σχετικά με διάφρες συνθήκες. Κατόπιν, τα δεδομένα είτε επεξεργάζονται τοπικά και δίνουν αποτέλεσμα, πάντα όμως μοιραζόμενα τη συλλογή στοιχείων με το cloud είτε αποστέλλουν τα δεδομένα στο δεύτερο και περιμένοντας να κάνει αυτό την επεξεργασία έτσι ώστε να δωθεί το αποτέλεσμα. 

Στην αντίπερα όχθη, στα μάτια ενός ειδικού κυβερνοασφαλείας το Internet of Things μεταφράζεται σε έναν ενοχλητικό πονοκέφαλο. Η μετάφραση αυτή ευθύνεται στο γεγονός ότι όσο περισσότεροι κόμβοι υπάρχουν σε ένα δίκτυο, τόσο πιο δύσκολο είναι να παρακολουθείς και να ελέγχεις την απροβλημάτιστη λειτουργία τους. Για παράδειγμα, έστω ότι ένας κακόβουλος χρήστης εισβάλλει στο δίκτυο μιας εταιρείας το οποίο απαριθμεί 10 συσκευές στο δίκτυο της.

 Ο συγκεκριμένος χρήστης εγκαθιστά λογισμικό στις συσκευές αυτές έτσι ώστε να υπακούουν στις απομακρυσμένες εντολές του. Έτσι, ο επιτιθέμενος έχει αποκτήσει 10 ακόμα μηχανές τις οποίες μπορεί να αξιοποιήσει για να αποκρυπτογραφήσει βάσεις δεδομένων που περιέχουν κωδικούς, να χρησιμοποιήσει την επεξεργαστική τους ισχύ για να πραγματοποιήσει mining σε διάφορα cryptocurrencies και πολλά ακόμη.

 Έστω τώρα ότι ο μηχανικός ασφαλείας της εταιρείας αντιλαμβάνεται τη κατάσταση και "απολυμαίνει" ένα-ένα τα μηχανήματα. Μια χρονοβόρα διαδικασία η οποία αναλόγως τη πολυπλοκότητα της επίθεσης μπορεί να έχει δυσσάρεστες συνέπειες για τα δεδομένα των νόμιμων χρηστών. 

Επεκτείνετε λοιπόν αν θέλετε αυτό το παράδειγμα κάνοντας την εξής αναγωγή: το δίκτυο της εταιρείας είναι το Internet of Things και κάθε μηχάνημα του εταιρικού δικτύου είναι και ένας κόμβος στο IoT.

 Για να δούμε πως μπορεί να χρησιμοποιηθεί η συγκεκριμένη αναλογία έτσι ώστε να εξηγήσουμε πόσο επώδυνη είναι η τάση των εταιριών τεχνολογίας να αναπτύσσουν όλο και περισσότερες συσκευές για το IoT, όχι φυσικά για τις ίδιες, αλλά για τους χρήστες τους.

 Ξαναγυρνάμε στο δίκτυο της υποτιθέμενης εταιρίας την οποία από εδώ και πέρα θα ονομάζουμε Example. Στην Example, λοιπόν, υπάρχει ένα δίκτυο δέκα κόμβων (εξαιρουμένου του δρομολογητή και των διάφορων network switches), δέκα υπολογιστικών συστημάτων ουσιαστικά το οποίο αποτελείται από 7 σταθερούς υπολογιστές, έναν εξυπηρετητή αποθήκευσης (storage server), έναν εξυπηρετητή ηλεκτρονικών μηνυμάτων (mail server) και έναν  εξυπηρετητή ιστού (web server). Τα συστήματα βρίσκονται στο ίδιο δίκτυο το οποίο φέρει την ονομασία Example_Network και παρέχει επίσης πρόσβαση στο open web. 

Ο μηχανικός ασφαλείας της Example έχει στο νου του πως για να κρατήσει την ακεραιότητα των πληροφοριών που μεταδίδονται μεταξύ των υπολογιστών της εταιρίας του οφείλει να κρατά "σε καλή κατάσταση" ταυτόχρονα τα συστήματα στα οποία οι χρήστες έχουν άμεση αλληλεπίδραση και χρησιμοποιούν καθημερινά για να πραγματοποιήσουν τις διάφορες εργασίες τους, όσο και τους 3 servers οι οποίο επανδρώνουν και δίνουν στο δίκτυο διάφορες δυνατότητες. Όμως, εξίσου σημαντικό είναι να διατηρηθεί και η ακεραιότητα του router του δικτύου ο οποίος έχει το βαρυσήμαντο έργο της μεταφοράς όλων αυτών των δεδομένων στο open web.  

Τα ευπαθή σημεία κατά πως φαίνεται στο δίκτυο της Example είναι όσα και ο συνολικός αριθμός των κόμβων του.

Αν τώρα κάνουμε μια γιγαντοποίηση των μεγεθών που περιγραφικά καλύψαμε στις προηγούμενες παραγράφους και αναγάγουμε το δίκτυο της Example στο δίκτυο μιας ακόμα μεγαλύτερης εταιρίας ή ακόμα καλύτερα στον ίδιο το παγκόσμιο ιστό διαπιστώνει κανείς πως το πρόβλημα της ασφάλειας κλιμακώνεται ανάλογα με τον αριθμό των κόμβων που κάθε δίκτυο διαθέτει. 

Άρα, το να συνδέουμε σε ένα δίκτυο όλο και περισσότερους κόμβους, είτε αυτά είναι smartwatches ή έξυπνοι λαμπτήρες, μπορεί να κάνουμε μεγαλύτερη ζημιά από τα προβλήματα τα οποία επιλύουμε - δηλαδή να έχουμε μωβ φώτα στο σαλόνι μας. 

Όταν σε ένα δίκτυο υπάρχει ένα μηχάνημα το οποίο προστατεύεται από 850,000 hardware και software firewalls και ένας έξυπνος λαμπτήρας που το web interface του έχει default password "qwerty123" μαντέψτε τι από τα δύο θα στοχεύσει κάποιος που θέλει πρόσβαση στο δίκτυο.  

Συμπερασματικά, μπορεί κανείς να δει το IoT ως μια πολυτέλεια η οποία δημιουργεί πραγματικά προβλήματα και λύνει πολλά από τα εικονικά μας προβλήματα σαν ανρθρωπότητα. Την επόμενη φορά λοιπόν που θα συνδέσετε ένα έξυπνο ψυγείο στο δίκτυο της εταιρίας, think again.