Új tech trendek és egyebek...

ÚJTECHKOR...

Jaj, de meglepődtem: az ipari IoT is hackelhető ( IIoT, IoT )

2018. december 07. - GABOR2

Le vagyok sokkolva... Azt eddig is tudtam, hogy a rendes IoT biztonság szempontjából egy nagy nulla, vagy hogy az átlag otthoni számítógépektől a pentagoni gépekig, valamint a bankok "szuperbiztonságos" rendszeréig mindent fel tudnak törni... node az ipari IoT-ot, hát... de nagyon meglepődtem. Csak az ipari IoT-ot ne!

Na jó, persze hogy nem lepődtem meg, hisz mivel eddig is minden sebezhető volt, miért lett volna ez másként ezzel? Viszont valakik fontosnak tartották bemutatni, hogy a gyakorlatban is megy a dolog; nekem ez kb. olyan mintha azt mutatnák be egy kísérletben, hogy igen, a gravitáció nemcsak labdára, sapkára, tollra hat, hanem még a tehenekre is. Viszont a hasonlatnál maradva, vannak emberek akik azt mondanák, de igenis mutassák be, vajon a tehén is leesik-e... nem biztos... sőt mégha ez tehén le is esik mi van ha már egy másik nem, hisz az egy teljesen másik tehén... ahhoz hogy le lehessen vonni a következtetést, hogy a tehenekre hat a gravitáció, a világ összes tehenén ki kell próbálni.

"Az ipari IoT-ban használt kommunikációs protokollok is sebezhetők"

"A TrendMicro kutatóinak tanulmánya az MQTT és a CoAP gyengeségeire világít rá."

"Nem csak az okosodó (Mi??? Én.) otthonokban, ipari környezetben is hagy kívánnivalót maga után az IoT eszközök biztonsága - derül ki a TrendMicro biztonsági cég kutatásából."

"A kutatóknak több mint 200 millió MQTT és 19 millió CoAP üzenetet sikerült elcsípni ezeken keresztül."

"Sajnos mindkét protokollban akadnak azonban komoly hibák. Az egyik ilyen, a TrendMicro által felfedezett tervezései hiba például lehetővé teszi, hogy egy rosszindulatú kliens érvénytelen adatokat kommunikáljon az adott hálózaton. A korábban említett, nyilvánosan elérhető végpontok sem jelentenek túl jó hírt az ipari felhasználók számára, hiszen azokon keresztül illetéktelenek többek között egy sor érzékeny szenzoradatot megszerezhetnek. Ez egyébként a kutatóknak is többször sikerült, egy esetben például egy okosváros-projekt taxiadatbázisához szereztek hozzáférést, amely különböző irodákból utazó dolgozók menetrendjét tartalmazta. Egy másik esetben egy gyár egyik PLC vezérlője által kiszivárogtatott adatokat sikerült elcsípni egy nyílt MQTT brókeren keresztül, amelyekből a gyártási folyamatok részletei vagy akár a karbantartási kérelmek is megszerezhetők voltak. Az MQTT esetében a helyzetet tovább rontja, hogy azt az ipari megoldások mellett egyes üzenetküldő szolgáltatások is használják, beleértve a Facebook Messengert is."

"A TrendMicro szerint csak idő kérdése, hogy az M2M megoldások gyengeségeit illetéktelenek széles körben saját céljaikra kezdjék használni, akár a telemetriai adatok lehallgatásával vagy épp módosításával. 

Csak idő kérdése... héé várjunk csak... dehát még el se terjedt, ja hogy azzal számolnak a kutatók, hogy tök mindegy, hogy kimutatják milyen káros és szükségtelen akkor is meg fogják csinálni.

Nézzünk egy példát milyen kárt okozott egyetlen támadás:

"A vállalat közleménye alapján mostanra sikerült visszaállítani az érintett rendszerek 80 százalékát, azonban a nagyjából 24 órás kiesés így is tetemes kárt okozott, amely a negyedéves bevétel akár 3 százalékát, azaz körülbelül 250 millió dollárt is jelenthet."

"Lora Ho, a bérgyártó pénzügyi igazgatója elmondta, hogy vállalata 30 éves fennállásában nem ez az első támadás, azonban a kártevők ez eddig nem tudtak eljutni a gyártósorokig, így azok nem befolyásolták számottevően a termelést." (De csodás fejlesztésünknek hála mostmár ez is lehetséges. Én.)

Szóval egy támadás és a bevétel 3 százalékának bye-bye. Node mi lenne, ha ebben a csodás elképzelt Ipar 4.0 jövőben, ahol a tulajdonosok élőben gyönyörködhetnek a robotaik teljesítmény adataiban, a támadások folyamatosak lennének? Ha egy nap egy támadás a bevétel 3%-os zsugorodását hozza... akkor vajon meddig maradnak majd ezek a cégek talpon? Vajon az adatok élő nézegetése olyan nagy bevétel bummot okoz-e, hogy kompenzálják a 3%/ támadás veszteséget? És persze egy támadás okozhat ennél nagyobb kárt is.Meg az okosautók... itt is írják: a telemetria adatokat manipulálhatják... vajon ha ez életekbe kerül meddig fog fennmaradni az okosautó ipar, amire amúgy a magyar kormány nagyban fogad.

Az egésznek semmi értelme, az IIoT-tal csak maguknak ártanának a tulajdonosok és szerintem ők okosabbak az átlagnál, akik mondjuk rajonganak az okosotthonokért, őket nem lesz olyan könnyű átverni.

Teljesítmény optimalizálás? Az eddig is évtízedek óta feladat volt ezeknél a cégeknél, túl sokat nem lehet hozzáadni. Vagyis ez felesleges és káros.

Menjünk tovább.

"Ez az IoT rendszerek rohamos terjedésével egyre nagyobb veszélyt jelent, megnyitva a teret akár az alkalmazottak megfigyelése, ipari kémkedés vagy célzott támadások előtt.

Vagy... minő hihetetlen elképzelés... mivel az ember értelmes lény ( is ) egyszerűen ha látja előre, hogy valami nem jó ötlet, akkor nem valósítja meg. Micsoda forradalmi gondolat, erre aztán tényleg senki más nem gondolt.

"A kutatók minden a technológiákra támaszkodó cégnek azt javasolják, kétszer is ellenőrizzék az IoT kommunikáció biztonságát rendszereikben..."

Vajon mit találnak... lyukasak, hogyan tovább? Hisz mindenképpen az IIoT a jövő, most mit csináljunk mi szegény árvák?

"...és a megfelelő védvonalak felhúzása mellett..."

Megfelelő védvonalak azok, amikről picit később kiderül, hogy nem volt megfelelő, mert széthackelték. Igen, tehát ez nem lesz elég.

"...védvonalak felhúzása mellett távolítsák el a fölösleges M2M megoldásokat."

Végre egy jó tanács, ugyanis azt mondják ezzel, hogy távolítsák el az összeset.

A digitális állam újabb vezér áldozata ( digitális jegyrendszer )

"Tarlós István, Budapest főpolgármestere az e-jegyrendszer projektje miatt felmentette Dabóczi Kálmánt, a BKK vezetőjét."

"A főpolgármester azt mondta, tudta, hogy baj van, csak azt nem, mekkora. De 2020-ra mégis lesz elektronikus jegyrendszer."

 "A Budapesti Közlekedési Központ (BKK) igazgatósága november 21-én egyhangú szavazással, azonnali határidővel felmondta az elektronikus jegyrendszer kiépítésére és üzemeltetésére kötött szerződést." 

 "a probléma hosszú ideig tartó elhallgatása miatt "a főpolgármester a szükséges személyi döntéseket meghozza".

"A BKK-s dolgozói tesztkártyák kiosztásával 2015 decemberében kezdődött az elektronikus jegyrendszer első próbaüzeme, amelyet RIGO-nak neveztek el."

"A főpolgármester szerint emellett a cég részéről a kivitelezési bonyodalom súlyának elhúzódó téves értelmezése, illetve szofisztikus magyarázatai folytán mára semmiképp sem indokolható időveszteség következményeként az illetékes BKK-t felügyelő főpolgármester-helyettes feladata a jövőben a városüzemeltetésre korlátozódik."

Ez a digitális állam projekt bukás lett. Egy még csak igazi hackernek sem nevezhető gyerek és rejtélyes vezetői alkalmatlanság elég volt, hogy összeomoljon. Mi lenne itt ha a többi projektet is letesztelnék?

Az új, modern dolgokhoz ez mostmár szinte kötelezően jár: kémkedés a felhasználó után

Miért nem lepődtem meg, amikor kiderült, hogy az új, modern, elektromos autók kémkednek a használóik után és nem, nemcsak azt árulják el, hogy hol jártál és a cégek abban is benne vannak, hogy ne csak nekik küldjék el ezeket az infókat és hogy ne legyenek erről tájékoztatva a felhasználók? Ez már szinte norma.

"Nagyon csúnya dolog derült ki az elektromos autók többségéről"

"Botrányos információ derült ki több mint 200 gyártó - köztük olyan ismert márkák, mint a Tesla, a Volkswagen, a BMW és a Ford - elektromos autóiról a héten. Eszerint utóbbiak folyamatosan küldözgetnek információkat a kínai kormányzat szervereire arra vonatkozóan, hogy merre járnak és mit csinálnak velük - mindezt ráadásul a legtöbb esetben a tulajdonos tudta nélkül."

Ez az érv se szól már a Windows mellett

Váltani kéne Windowsról más rendszerre annak, aki jót akar magának. Persze érvek vannak, hogy miért most még ne. Ezek közül egyre több nem érvényes egyre inkább pl..

Van egy olyan érv is, hogy " Én már nem akarok új dolgokat megtanulni, a szokott rendszert akarom használni". Nos a Microsoft valódi fejlesztések helyett szereti például a menük felépítését és a designt változtatni és az évek óta megszokott "rendet" felborítani, vagyis újra kell tanulnod dolgokat. Most is ilyesmire készül:

"Megint átszabja a Windows 10 megjelenését a Microsoft"

"A Microsoft hamarosan újabb jelentős változást tervez bevezetni Windows 10 operációs rendszere, sőt, az azon futó összes alkalmazása megjelenésében is. A cég már korábban átszabta a Start menü és az ablakok, valamint a műveletközpont megjelenését is - most pedig az ikonográfia fog lecserélésre kerülni a platformon."

Ideje lassan váltani.