Luna trecută, specialişti de top în securitate cibernetică de la compania slovacă ESET au vorbit în cadrul unui eveniment internaţional dedicat presei despre pericolele cibernetice ale anului 2018 şi ale anilor următori. Printre problemele cunoscute şi abordate deja de zeci de ani, precum protejarea unui device personal sau a unei reţele, problematica vulnerabilităţilor pe care le prezintă tehnologiile de tip IoT a devenit una tot mai fierbinte.
Astfel, am aflat acolo că, atunci când eşti un pasionat avid de tehnologie şi îţi doreşti să încerci imediat orice device (dispozitiv) de tip smart, te poţi expune pericolelor cibernetice chiar şi prin saltea, furculiţă sau prin jucăriile copiilor.
Atunci când ne gândim la soluţii de securitate cibernetică, nu ne vine în minte că ar trebui să avem un software care să ne protejeze peria de păr (dacă aceasta este un device smart), iar specialiştii atrag atenţa că, deşi inteligente, device-urile IoT nu ar trebui considerate neapărat sigure, iar vulnerabilitatea unui device conectat prin reţea la restul device-urilor din casă devine o vulnerabilitate pentru întreaga casă.
Internet of Things (IoT) a devenit un termen recunoscut la nivel global, iar într-un sens foarte larg ar putea fi utilizat pentru a descrie orice este conectat la internet. Însă ce device-uri se încadrează de fapt în IoT? În această categorie, oamenii tind să încadreze în sens general aproape orice, de la telefoane mobile, becuri inteligente, brăţări de fitness, boxe smart şi maşini de spălat vase inteligente până la senzori care testează calitatea apei înainte de distribuţie, potrivit unui studiu publicat de compania slovacă de securitate cibernetică ESET asupra tehnologiilor IoT şi a conceptului de smart home.
Când predicţiile cu privire la răspândirea IoT au început să apară, analiştii au supraestimat capacitatea de absorbţie a pieţei şi anunţau cifre imense: 50 de miliarde de device-uri IoT în lume până în 2020 a fost numărul citat într-o prezentare oficială în 2010 de Hans Vestberg, fostul CEO al Ericsson.
Opt ani mai târziu, entuziasmul s-a mai temperat în jurul sectorului, iar estimările jucătorilor din industrie sunt mult mai conservatoare. Astăzi, Ericsson oferă o perspectivă mult mai nuanţată, estimând că aproximativ 29 de miliarde de device-uri conectate vor exista în lume până în 2022, dintre care circa 18 miliarde vor avea o conectivitate specifică IoT.
În timp ce numărul device-urilor la nivel global este, cu siguranţă, în creştere, iar acestea aduc beneficii atât caselor oamenilor cât şi vieţilor acestora în general, majoritatea consumatorilor au tendinţa de a ignora ameninţările care vin odată cu tehnologia sau de a nu se proteja corespunzător de potenţialele atacuri cibernetice.
Toţi senzorii din componenţa unui produs specific smart home – cu microfoane, camere, interfaţă cu GPS şi interoperabilitate la nivelul sistemului – sunt ţinte atractive pentru atacuri de tip malware (n.red.: tip de software utilizat pentru deteriorarea datelor dintr-un device) sau chiar ransomware (n.red.: tip de atac cibernetic ce blochează accesul utilizatorului la sistem dacă nu plăteşte o recompensă). Dacă obţin controlul asupra acestor device-uri, criminalii cibernetici pot să atace alte device-uri conectate la reţea cu device-ul utilizatorului. Mai mult, aceştia pot spiona şi pot obţine date personale sau date confidenţiale.
Exemplul oferit în studiul ESET de la începutul anului care demonstrează că un singur device personal poate prezenta un risc enorm vine de la un student australian, Nathan Ruser, de 20 de ani, care studiază securitate internaţională în cadrul Universităţii Naţionale din Australia. În cadrul unei postări pe reţeaua socială Twitter în 27 ianuarie 2018, Ruser a evidenţiat o problemă de securitate operaţională generată de personalul militar care foloseşte aplicaţia de fitness Strava.
Aplicaţia utilizează locaţia GPS din telefon pentru a urmări şi înregistra rutele de jogging ale utilizatorului. Astfel, Strava înregistrează trasee. Exemplul evidenţial de Ruser a fost baza aeriană Bagram din Afganistan, în dreptul căreia orice utilizator al aplicaţiei putea vedea pe hartă traseul de antrenament utilizat de militarii staţionaţi în bază. Acest incident nu a avut urmări, însă poate fi un exemplu al riscurilor cu care vin chiar şi device-urile personale.
În cadrul conferinţei ESET desfăşurate în sediul central din Bratislava luna trecută, Ondrej Kubovic, security awareness specialist în cadrul grupului slovac, a prezentat evoluţia ameninţărilor cibernetice şi a demonstrat că acestea sunt prezente încă de la primele dispozitive smart.
Primul telefon smart a fost iPhone-ul lansat în SUA pe 29 iunie 2007. În perioada octombrie-noiembrie 2009, virusul Dutch Hack deja făcea victime printre utilizatori. Acest virus bloca accesul utilizatorilor la dispozitiv dacă aceştia nu plăteau o recompensă de 5 euro pentru deblocare.
La 22 octombrie 2008, a fost lansat în SUA primul telefon cu sistem de operare tip Android, iar în august 2010, virusul FakePlayer.A, care se inflitra în sistem prin accesarea unor aplicaţii de redare media false şi trimitea mesaje text cu plată de pe dispozitivul afectat. Kubovic susţine, în baza unui articol publicat în platforma BleepingComputer, că aproape 90% dintre televizoarele smart sunt vulnerabile la a fi hackuite de la distanţă. Atacul cibernetic prin care s-a ajuns la această statistică a fost dezvoltat de Rafael Scheel, un cercetător pe segmentul de securitate în cadrul companiei elveţiene de securitate cibernetică Oneconsult, şi a fost utilizat doar pentru a testa gradul de risc la care sunt expuse datele colectate de smart TV-uri.
Mai mult, Kubovic a vorbit despre protecţia cibernetică a saltelelor smart, un subiect ce poate părea discutat pentru un scenariu ireal. Cu toate acestea, saltelele smart există, iar tehnologia lor le permite să memoreze tipare de somn, forma corpului, comportamentul utilizatorului în timpul somnului, iar acestea se pot adapta.
Pentru a face însă acest lucru, saltelele trebuie să stocheze date, iar aceste date pot fi atacate. „Să spunem că cineva îţi atacă cibernetic salteaua şi să spunem că nevasta te înşală, sau tu pe ea, iar cineva poate folosi datele extrase din saltea doar pentru a te şantaja. Însă există şi produse complete de protecţie pentru smart home care pot preveni atacurile cibernetice”, spune Kubovic. Chiar şi jucăriile pentru copii şi stadiul tehnologic avansat în care au ajuns unele dintre acestea pot prezenta un risc la adresa intimităţii şi a securităţii datelor.
Potrivit CNN, în 2017, în Germania, organele de reglementare s-au autosesizat şi au interzis vânzarea unei păpuşi numite My Friend Cayla. Această jucărie se conecta la internet prin intermediul Bluetooth-ului şi putea răspunde copiilor la întrebări simple precum „Care este cel mai înalt munte din lume?”. Instituţiile germane de reglementare au oprit vânzările după câteva luni şi au transmis tuturor părinţilor care au achiziţionat aceste păpuşi să le distrugă deoarece au microfoane neprotejate cibernetic în componenţa lor.
Însă vulnerabilitatea dispozitivelor inteligente conectate la internet poate avea şi implicaţii foarte serioase şi poate afecta chiar şi dispozitivele medicale foarte avansate din punct de vedere tehnologic.
În vara anului 2017, Administraţia Medicamentelor şi a Alimentaţiei din SUA (FDA) a anunţat că 465.000 de pacienţi cu stimulator cardiac (n.red.: denumit pacemaker, este un dispozitiv medical care emite impulsuri electrice, transmise prin electrozi ce sunt în contact cu muşchii inimii, cu scopul de a regulariza bătăile inimii) au nevoie de update-uri la dispozitivele lor pentru că ar putea fi atacaţi cibernetic, întrucât şi stimulatoarele sunt conectate la internet.
Noile dispozitive precum periile de păr inteligente menţin apetitul de consum pentru tehnologie. Periile de tip Hair Coach sunt dispozitive care pot învăţa textura părului unei persoane şi pot personaliza caracteristicile periei, acesta fiind un dispozitiv conectat, de asemenea, la internet. Chiar şi acestea pot fi atacate cibernetic.
Care este pericolul dacă cineva îţi hackuieşte peria de păr?
La prima vedere poate niciunul, deoarece utilizatorul nu consideră textura părului o informaţie sensibilă. Însă specificul tehnologiilor IoT stă în conectivitate. Atât conectivitatea la internet, cât şi interconectivitatea. Accesul la un device neprotejat atât de banal precum o perie de păr pe care o utilizezi acasă, conectată la acelaşi router de internet nesecurizat precum celelalte dispozitive din casă, poate asigura unui atacator accesul la întreg sistemul smart home, caz în care cu cât mai multe dispozitive IoT, cu atât mai bine pentru atacator. Iar multitudinea de device-uri poate depăşi imaginaţia consumatorilor care sunt „la început de drum” cu tehnologia IoT. O companie numită HAPI a dezvoltat produsul HAPIfork, o furculiţă care promite utilizatorului că ajută la scăderea în greutate, prin caracteristicile smart pe care le are încorporate. Această furculiţă învaţă comportamentul utilizatorilor plecând de la parametri precum durata unei mese sau de câte ori a îndreptat utilizatorul furculiţa spre gură, informaţii ce pot fi uploadate ulterior în computer şi interpretate prin intermediul platformei HAPI pentru a oferi sfaturi de nutriţie.
Astfel de gadgeturi pot simplifica viaţa unei persoane şi pot chiar îmbunătăţi activităţile cotidiene, însă specialiştii atrag atenţia că fără o protecţie adecvată, chiar şi cel mai nesemnificativ device, conectat la internet, poate reprezenta o ameninţare dacă nu este protejat corespunzător. Cât de smart sunt, de fapt, IoT-urile?