A dolgok internete (IoT) és dolgaink biztonsága

Míg egyre több hálózatba kötött elektronikus eszköz válik elérhetővé, alapvető kérdések – így az adatvédelem és adatbiztonság kérdésköre – sincsenek még tisztázva. A héten egy látszólag Opennetworks-idegen témában blogolok, de erre két jó okom is van.

Előbb-utóbb minden kitudódhat

Egyrészt a most nálunk zajló éves kötelező biztonsági audit nálam mindig kicsit középpontba helyezi a (kiber)biztonság témakörét, másrészt meggyőződésem, hogy telekommunikációs eszközeink a következő egy évtizedben gyökeresen alakulnak majd át a „hagyományos” és „mobil” eszközökön túl a viselhető technológia és így az IoT irányába.

Előbb-utóbb szinte minden elektronikus eszközünk hálózatba lesz kötve és így különböző applikációk segítségével egymással is kommunikálni fognak. Ez a „dolgok internete” (IoT) lényege. Iparági elemzések szerint 2020-ban már több mint 50 milliárd hálózatba kötött eszköz létezik majd.

Vegyünk egy nagyon egyszerű szerkezetet: egy okosórát vagy okos karkötőt, ami elsősorban sportteljesítményünk méréséhez használunk. Ha nem az „almásat” vesszük, akkor 20 ezer forint alatt is hozzájuthatunk egy jobb példányhoz, tehát bátran elmondhatjuk, hogy ma már szinte mindenki számára elérhetők. Milyen veszélyek leselkednek ránk a használatuk közben?

A legújabb kutatások azt mutatják, hogy az okosórák valódi kémeszközként működhetnek: például a gyorsulásmérő és giroszkóp adatait elemezve az okosóra tulajdonosával kapcsolatos olyan adatkészletet kapunk, amellyel akár vissza is élhetnek. Lehetővé teszik a felhasználó tevékenységeinek figyelését, a nyomon követését és sok más egyebet – derült ki a Kaspersky Lab legfrissebb, az IoT-k sebezhetőségéről és informatikai biztonságáról szóló tanulmányából….(….a dolog pikantériája, hogy  ide kapcsolható ezért egy vonatkozó Európai Parlament határozat…)

Többet mondhat, mint egy lehallgató készülék

Sok okosórának és fitnesz karkötőnek van olyan beépített szenzora, amely képes a gyorsulást is mérni és sokszor kapcsolódik valamilyen forgó érzékelőhőz, pl. giroszkóphoz azért, hogy pontosabb legyen a lépésszámláló, valamint a felhasználó aktuális pozíciójának azonosítása.

A Kaspersky Lab szakemberei egy meglehetősen egyszerű alkalmazást fejlesztettek, amely beépített gyorsulásmérőkből és giroszkópból származó jeleket rögzített. A rögzített adatokat ezután egy hordozható eszköz memóriájába vagy egy Bluetooth-szal párosított mobiltelefonra töltötték fel. Matematikai algoritmusok és az alkalmazásból kinyert adatok segítségével azonosítani lehetett a viselkedési mintákat, valamint a tevékenységek időtartamát, kezdetét és végét.

A legfontosabb azonban, hogy olyan érzékeny felhasználói tevékenységeket is képesek voltak azonosítani, mint például a jelszó beírása a számítógépbe (96%-os pontossággal), a PIN-kód megadása az ATM készülékeken (87%-os eredményesség) és a mobiltelefonok feloldása (64%-a bizonyult eredményesnek). Elég ijesztően hangzik, nem?

Ki vigyáz ránk?

Maga a jel-, és az adatkészlet az adott eszköz tulajdonosára jellemző egyedi viselkedés minta. Ezekkel az adatokkal egy harmadik fél megpróbálhatja beazonosítani a felhasználót – akár egy regisztrációs szakaszban lévő email cím segítségével, akár pedig az Android-fiók hitelesítő adataihoz való hozzáféréssel. Ezután már csupán idő kérdése, hogy egy felhasználót részletesen azonosítani lehessen, beleértve a napi rutint és azt, hogy pontosan mikor oszt meg értékes adatot. Mivel a felhasználói adatok értéke gyorsan nő, nem lesz meglepő, ha ezeket az adatokat gyorsan tudják értékesíteni akár a tisztázatlan adathalmazzal rendelkező applikáció-gazdák, akár – rosszabb esetben – a kiberbűnözők.

Kíváncsi voltam, hogy mennyire tudatosítják az ilyen eszközök fogalmazói ezt a felhasználókban? Nos a válasz egy kicsit lehangoló. „Természetesen” – néhány kivétellel – nem találtam ajánlásokat arra, hogyan tarthatnám biztonságban adataimat ezeken az eszközökön. Az olcsó eszközökhöz kapcsolódóan semmi ilyen információt nem leltem.

Néhány gyártófüggetlen ajánlást leletem, ami felhívta a figyelmet arra, hogy feltétlenül gondoskodnom kell arról saját biztonságom érdekében, hogy a viselhető eszközöm és a mobil telefonom közti kommunikáció titkosított legyen és elmondták, hogy almás-pajtás képes erre.

Almás-pajtás oldalán sem találtam ugyanakkor teljesen megnyugtató választ, de a következőket tudtam meg: az adataim titkosítva tárolják az eszközön, a kommunikáció mobil készülékemmel és a felhő alapú tárhelyemmel titkosítva történik és ott is védve vannak az adatok. Az én dolgom – és dönthetek arról beállításokkal – hogy az adatokhoz ki férhet hozzá. Az én dolgom, hogy milyen más – akár „store”-ban kapható – applikációknak adom át az adatot. A „store” felhívja az applikáció gyártók figyelmét a biztonság fontosságára. Ha közzéteszek valamit az a saját jószántamból teszem, én döntöm el kivel osztok meg mit.

Vigyázzunk magunkra!

Így tehát mielőtt okosóránkban körbe futkosnánk egy katonai támaszponton (sajnos nem vicc, volt rá példa a közelmúltban az Egyesült Államokban), majd a lefutott távot és részidőt kipublikálnánk az internetre miközben a környéki ATM-et is útba ejtjük, nem árt, ha tudatában vagyunk: nekünk kell vigyázni magunkra. Ehhez a Kaspersky Lab szakemberei minimum az alábbiak betartását javasolják:

  • Ha az alkalmazás kérelmet küld a felhasználói adatok lekérésére, akkor legyünk óvatosak, mivel ennek segítségével a bűnözők könnyen létrehozhatják a tulajdonos „digitális ujjlenyomatát”.
  • Ha az alkalmazás kérelmet küld a földrajzi adatok elküldésére, akkor különösen legyen óvatos. Ne adjon a fitnesz karkötőjéhez tartozó alkalmazásnak extra jogosultságokat.
  • Ne használjuk az ilyen készülékekhez a vállalati email címünket bejelentkezéshez.
  • A készülék gyors akkumulátor fogyasztása is aggodalomra adhat okot. Ha a modul néhány óra után lemerül, akkor ellenőrizze a tevékenységét. Elképzelhető, hogy adatokat továbbít jogosulatlanok felé.

A technológia elterjedésével pedig abban reménykedünk, hogy megszületnek majd a biztonságot növelő technikai megoldások, szabványok és a GDPR-hoz hasonló egységes szabályozások ezen a területen is.

Addig is, ha ránk bízod vállalkozásod adatait megnyugtathatunk: nálunk a telekommunikációs szektorban az éves, jogszabályban előírt biztonsági auditok is garantálják, hogy azok biztonságban lesznek a felhőben is.

András

Források és az Apple hivatalos policy-ja a témában:

Sg.hu – https://sg.hu/cikkek/it-tech/133386/dolgok-internete-lehetosegek-es-tisztazatlan-kerdesek

https://piacesprofit.hu/infokom/az-okosorak-valodi-kemeszkozok/

https://www.apple.com/uk/privacy/approach-to-privacy/

0