Le vagyok sokkolva... Azt eddig is tudtam, hogy a rendes IoT biztonság szempontjából egy nagy nulla, vagy hogy az átlag otthoni számítógépektől a pentagoni gépekig, valamint a bankok "szuperbiztonságos" rendszeréig mindent fel tudnak törni... node az ipari IoT-ot, hát... de nagyon meglepődtem. Csak az ipari IoT-ot ne!
Na jó, persze hogy nem lepődtem meg, hisz mivel eddig is minden sebezhető volt, miért lett volna ez másként ezzel? Viszont valakik fontosnak tartották bemutatni, hogy a gyakorlatban is megy a dolog; nekem ez kb. olyan mintha azt mutatnák be egy kísérletben, hogy igen, a gravitáció nemcsak labdára, sapkára, tollra hat, hanem még a tehenekre is. Viszont a hasonlatnál maradva, vannak emberek akik azt mondanák, de igenis mutassák be, vajon a tehén is leesik-e... nem biztos... sőt mégha ez tehén le is esik mi van ha már egy másik nem, hisz az egy teljesen másik tehén... ahhoz hogy le lehessen vonni a következtetést, hogy a tehenekre hat a gravitáció, a világ összes tehenén ki kell próbálni.
"Az ipari IoT-ban használt kommunikációs protokollok is sebezhetők"
"A TrendMicro kutatóinak tanulmánya az MQTT és a CoAP gyengeségeire világít rá."
"Nem csak az okosodó (Mi??? Én.) otthonokban, ipari környezetben is hagy kívánnivalót maga után az IoT eszközök biztonsága - derül ki a TrendMicro biztonsági cég kutatásából."
"A kutatóknak több mint 200 millió MQTT és 19 millió CoAP üzenetet sikerült elcsípni ezeken keresztül."
"Sajnos mindkét protokollban akadnak azonban komoly hibák. Az egyik ilyen, a TrendMicro által felfedezett tervezései hiba például lehetővé teszi, hogy egy rosszindulatú kliens érvénytelen adatokat kommunikáljon az adott hálózaton. A korábban említett, nyilvánosan elérhető végpontok sem jelentenek túl jó hírt az ipari felhasználók számára, hiszen azokon keresztül illetéktelenek többek között egy sor érzékeny szenzoradatot megszerezhetnek. Ez egyébként a kutatóknak is többször sikerült, egy esetben például egy okosváros-projekt taxiadatbázisához szereztek hozzáférést, amely különböző irodákból utazó dolgozók menetrendjét tartalmazta. Egy másik esetben egy gyár egyik PLC vezérlője által kiszivárogtatott adatokat sikerült elcsípni egy nyílt MQTT brókeren keresztül, amelyekből a gyártási folyamatok részletei vagy akár a karbantartási kérelmek is megszerezhetők voltak. Az MQTT esetében a helyzetet tovább rontja, hogy azt az ipari megoldások mellett egyes üzenetküldő szolgáltatások is használják, beleértve a Facebook Messengert is."
"A TrendMicro szerint csak idő kérdése, hogy az M2M megoldások gyengeségeit illetéktelenek széles körben saját céljaikra kezdjék használni, akár a telemetriai adatok lehallgatásával vagy épp módosításával.
Csak idő kérdése... héé várjunk csak... dehát még el se terjedt, ja hogy azzal számolnak a kutatók, hogy tök mindegy, hogy kimutatják milyen káros és szükségtelen akkor is meg fogják csinálni.
Nézzünk egy példát milyen kárt okozott egyetlen támadás:
"A vállalat közleménye alapján mostanra sikerült visszaállítani az érintett rendszerek 80 százalékát, azonban a nagyjából 24 órás kiesés így is tetemes kárt okozott, amely a negyedéves bevétel akár 3 százalékát, azaz körülbelül 250 millió dollárt is jelenthet."
"Lora Ho, a bérgyártó pénzügyi igazgatója elmondta, hogy vállalata 30 éves fennállásában nem ez az első támadás, azonban a kártevők ez eddig nem tudtak eljutni a gyártósorokig, így azok nem befolyásolták számottevően a termelést." (De csodás fejlesztésünknek hála mostmár ez is lehetséges. Én.)
Szóval egy támadás és a bevétel 3 százalékának bye-bye. Node mi lenne, ha ebben a csodás elképzelt Ipar 4.0 jövőben, ahol a tulajdonosok élőben gyönyörködhetnek a robotaik teljesítmény adataiban, a támadások folyamatosak lennének? Ha egy nap egy támadás a bevétel 3%-os zsugorodását hozza... akkor vajon meddig maradnak majd ezek a cégek talpon? Vajon az adatok élő nézegetése olyan nagy bevétel bummot okoz-e, hogy kompenzálják a 3%/ támadás veszteséget? És persze egy támadás okozhat ennél nagyobb kárt is.Meg az okosautók... itt is írják: a telemetria adatokat manipulálhatják... vajon ha ez életekbe kerül meddig fog fennmaradni az okosautó ipar, amire amúgy a magyar kormány nagyban fogad.
Az egésznek semmi értelme, az IIoT-tal csak maguknak ártanának a tulajdonosok és szerintem ők okosabbak az átlagnál, akik mondjuk rajonganak az okosotthonokért, őket nem lesz olyan könnyű átverni.
Teljesítmény optimalizálás? Az eddig is évtízedek óta feladat volt ezeknél a cégeknél, túl sokat nem lehet hozzáadni. Vagyis ez felesleges és káros.
Menjünk tovább.
"Ez az IoT rendszerek rohamos terjedésével egyre nagyobb veszélyt jelent, megnyitva a teret akár az alkalmazottak megfigyelése, ipari kémkedés vagy célzott támadások előtt."
Vagy... minő hihetetlen elképzelés... mivel az ember értelmes lény ( is ) egyszerűen ha látja előre, hogy valami nem jó ötlet, akkor nem valósítja meg. Micsoda forradalmi gondolat, erre aztán tényleg senki más nem gondolt.
"A kutatók minden a technológiákra támaszkodó cégnek azt javasolják, kétszer is ellenőrizzék az IoT kommunikáció biztonságát rendszereikben..."
Vajon mit találnak... lyukasak, hogyan tovább? Hisz mindenképpen az IIoT a jövő, most mit csináljunk mi szegény árvák?
"...és a megfelelő védvonalak felhúzása mellett..."
Megfelelő védvonalak azok, amikről picit később kiderül, hogy nem volt megfelelő, mert széthackelték. Igen, tehát ez nem lesz elég.
"...védvonalak felhúzása mellett távolítsák el a fölösleges M2M megoldásokat."
Végre egy jó tanács, ugyanis azt mondják ezzel, hogy távolítsák el az összeset.