Új tech trendek és egyebek...

ÚJTECHKOR...

Jaj, de meglepődtem: az ipari IoT is hackelhető ( IIoT, IoT )

2018. december 07. - GABOR2

Le vagyok sokkolva... Azt eddig is tudtam, hogy a rendes IoT biztonság szempontjából egy nagy nulla, vagy hogy az átlag otthoni számítógépektől a pentagoni gépekig, valamint a bankok "szuperbiztonságos" rendszeréig mindent fel tudnak törni... node az ipari IoT-ot, hát... de nagyon meglepődtem. Csak az ipari IoT-ot ne!

Na jó, persze hogy nem lepődtem meg, hisz mivel eddig is minden sebezhető volt, miért lett volna ez másként ezzel? Viszont valakik fontosnak tartották bemutatni, hogy a gyakorlatban is megy a dolog; nekem ez kb. olyan mintha azt mutatnák be egy kísérletben, hogy igen, a gravitáció nemcsak labdára, sapkára, tollra hat, hanem még a tehenekre is. Viszont a hasonlatnál maradva, vannak emberek akik azt mondanák, de igenis mutassák be, vajon a tehén is leesik-e... nem biztos... sőt mégha ez tehén le is esik mi van ha már egy másik nem, hisz az egy teljesen másik tehén... ahhoz hogy le lehessen vonni a következtetést, hogy a tehenekre hat a gravitáció, a világ összes tehenén ki kell próbálni.

"Az ipari IoT-ban használt kommunikációs protokollok is sebezhetők"

"A TrendMicro kutatóinak tanulmánya az MQTT és a CoAP gyengeségeire világít rá."

"Nem csak az okosodó (Mi??? Én.) otthonokban, ipari környezetben is hagy kívánnivalót maga után az IoT eszközök biztonsága - derül ki a TrendMicro biztonsági cég kutatásából."

"A kutatóknak több mint 200 millió MQTT és 19 millió CoAP üzenetet sikerült elcsípni ezeken keresztül."

"Sajnos mindkét protokollban akadnak azonban komoly hibák. Az egyik ilyen, a TrendMicro által felfedezett tervezései hiba például lehetővé teszi, hogy egy rosszindulatú kliens érvénytelen adatokat kommunikáljon az adott hálózaton. A korábban említett, nyilvánosan elérhető végpontok sem jelentenek túl jó hírt az ipari felhasználók számára, hiszen azokon keresztül illetéktelenek többek között egy sor érzékeny szenzoradatot megszerezhetnek. Ez egyébként a kutatóknak is többször sikerült, egy esetben például egy okosváros-projekt taxiadatbázisához szereztek hozzáférést, amely különböző irodákból utazó dolgozók menetrendjét tartalmazta. Egy másik esetben egy gyár egyik PLC vezérlője által kiszivárogtatott adatokat sikerült elcsípni egy nyílt MQTT brókeren keresztül, amelyekből a gyártási folyamatok részletei vagy akár a karbantartási kérelmek is megszerezhetők voltak. Az MQTT esetében a helyzetet tovább rontja, hogy azt az ipari megoldások mellett egyes üzenetküldő szolgáltatások is használják, beleértve a Facebook Messengert is."

"A TrendMicro szerint csak idő kérdése, hogy az M2M megoldások gyengeségeit illetéktelenek széles körben saját céljaikra kezdjék használni, akár a telemetriai adatok lehallgatásával vagy épp módosításával. 

Csak idő kérdése... héé várjunk csak... dehát még el se terjedt, ja hogy azzal számolnak a kutatók, hogy tök mindegy, hogy kimutatják milyen káros és szükségtelen akkor is meg fogják csinálni.

Nézzünk egy példát milyen kárt okozott egyetlen támadás:

"A vállalat közleménye alapján mostanra sikerült visszaállítani az érintett rendszerek 80 százalékát, azonban a nagyjából 24 órás kiesés így is tetemes kárt okozott, amely a negyedéves bevétel akár 3 százalékát, azaz körülbelül 250 millió dollárt is jelenthet."

"Lora Ho, a bérgyártó pénzügyi igazgatója elmondta, hogy vállalata 30 éves fennállásában nem ez az első támadás, azonban a kártevők ez eddig nem tudtak eljutni a gyártósorokig, így azok nem befolyásolták számottevően a termelést." (De csodás fejlesztésünknek hála mostmár ez is lehetséges. Én.)

Szóval egy támadás és a bevétel 3 százalékának bye-bye. Node mi lenne, ha ebben a csodás elképzelt Ipar 4.0 jövőben, ahol a tulajdonosok élőben gyönyörködhetnek a robotaik teljesítmény adataiban, a támadások folyamatosak lennének? Ha egy nap egy támadás a bevétel 3%-os zsugorodását hozza... akkor vajon meddig maradnak majd ezek a cégek talpon? Vajon az adatok élő nézegetése olyan nagy bevétel bummot okoz-e, hogy kompenzálják a 3%/ támadás veszteséget? És persze egy támadás okozhat ennél nagyobb kárt is.Meg az okosautók... itt is írják: a telemetria adatokat manipulálhatják... vajon ha ez életekbe kerül meddig fog fennmaradni az okosautó ipar, amire amúgy a magyar kormány nagyban fogad.

Az egésznek semmi értelme, az IIoT-tal csak maguknak ártanának a tulajdonosok és szerintem ők okosabbak az átlagnál, akik mondjuk rajonganak az okosotthonokért, őket nem lesz olyan könnyű átverni.

Teljesítmény optimalizálás? Az eddig is évtízedek óta feladat volt ezeknél a cégeknél, túl sokat nem lehet hozzáadni. Vagyis ez felesleges és káros.

Menjünk tovább.

"Ez az IoT rendszerek rohamos terjedésével egyre nagyobb veszélyt jelent, megnyitva a teret akár az alkalmazottak megfigyelése, ipari kémkedés vagy célzott támadások előtt.

Vagy... minő hihetetlen elképzelés... mivel az ember értelmes lény ( is ) egyszerűen ha látja előre, hogy valami nem jó ötlet, akkor nem valósítja meg. Micsoda forradalmi gondolat, erre aztán tényleg senki más nem gondolt.

"A kutatók minden a technológiákra támaszkodó cégnek azt javasolják, kétszer is ellenőrizzék az IoT kommunikáció biztonságát rendszereikben..."

Vajon mit találnak... lyukasak, hogyan tovább? Hisz mindenképpen az IIoT a jövő, most mit csináljunk mi szegény árvák?

"...és a megfelelő védvonalak felhúzása mellett..."

Megfelelő védvonalak azok, amikről picit később kiderül, hogy nem volt megfelelő, mert széthackelték. Igen, tehát ez nem lesz elég.

"...védvonalak felhúzása mellett távolítsák el a fölösleges M2M megoldásokat."

Végre egy jó tanács, ugyanis azt mondják ezzel, hogy távolítsák el az összeset.

A bejegyzés trackback címe:

https://ujtechkor.blog.hu/api/trackback/id/tr7014455320

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

KalmanBlog 2018.12.10. 16:02:25

Nem ehhez a témához tartozik, de ehhez mit szólsz: index.hu/gazdasag/penzbeszel/2018/12/10/mindenkit_erinto_valtozas_jon_a_magyar_bankrendszerben/

Jobbról előzzök a bankkártyaszolgáltatókat? Szerintem tőlük megszabadulni - legalábbis a profitjukba gázolni - nem is olyan rossz ötlet.