Όλο και περισσότερο στις μέρες μας ακούμε και διαβάζουμε για το λεγόμενο Διαδίκτυο των Πραγμάτων. Όμως τι είναι αυτό που σήμερα κάνει ένα “Πράγμα” μέρος του Διαδικτύου του Πραγμάτων; Ποια είναι τα χαρακτηριστικά του; Ποιες είναι οι προδιαγραφές του;

Γιώργος Καπανίρης

Διευθυντής Στρατηγικής Ανάπτυξης, NSS

 

 

 

 

Δυστυχώς, δεν φαίνεται να υπάρχει σήμερα κάποια σαφής περιγραφή για το τι είναι αυτό που κάνει ένα αντικείμενο ή μία συσκευή ένα “Πράγμα” (Thing) του Διαδικτύου των Πραγμάτων (Internet of Things ή IoT). Παρόλα αυτά, γνωρίζουμε ότι αυτό το “Πράγμα” μπορεί να είναι οτιδήποτε ενσωματώνει κατάλληλο επεξεργαστή και δυνατότητες συνδεσιμότητας και δικτύωσης με το Internet (π.χ με WiFi) και έτσι μπορεί να είναι μία ηλεκτρική κουζίνα ή ένα ψυγείο, ένας θερμοστάτης ή μία λάμπα, μία τηλεόραση ή ακόμα και ένα αυτοκίνητο! Αυτό σημαίνει ότι το συγκεκριμένο αντικείμενο ή συσκευή δεν λειτουργεί πια απομονωμένα, αλλά είναι μία συνδεδεμένη συσκευή (connected-device) που λειτουργεί ως μέρος ενός συνόλου.

Αν δεν μπορούσατε να συνδέσετε τη συγκεκριμένη συσκευή στο Internet πριν από μερικά χρόνια (όπως για παράδειγμα το ψυγείο) και μπορείτε να το κάνετε σήμερα, και μάλιστα χωρίς να μεσολαβεί κάποιος φορητός υπολογιστής για τη διαχείριση των δεδομένων που ανταλλάσσονται, τότε θα μπορούσαμε να πούμε επίσης ότι αυτή η συσκευή πληροί τις προϋποθέσεις για να αποτελέσει ένα “Πράγμα”, το οποίο αποτελεί μέρος του “Διαδικτύου των Πραγμάτων”. Επομένως, καταλήγουμε στο συμπέρασμα ότι δεν υπάρχουν περιορισμοί στο μέγεθος, στη μορφή ή στο τρόπο λειτουργίας ενός “Πράγματος”.

Από την στιγμή όμως που η συγκεκριμένη συσκευή μας, συνδέεται πια στο Internet, πόσο ασφαλείς είμαστε σε σχέση με την ιδιωτικότητα μας; Επίσης πως γνωρίζουμε ότι αυτή η συσκευή διαθέτει την απαραίτητη ασφάλεια για να αποτρέπει τις επιθέσεις από χάκερς, που θα ήθελαν να τη στρατολογήσουν για να αποτελέσει μέρος ενός τεράστιου botnet, που με τη σειρά του θα έστελνε διαρκώς spam, θα εξάπλωνε malware και ιούς ή θα πραγματοποιούσε “πληρωμένες επιθέσεις” DDoS;

Σημαντικές Απαιτήσεις

Αυτά είναι αναμφισβήτητα ζητήματα που πρέπει να λάβουμε σοβαρά υπόψη μας προτού πραγματοποιήσουμε μία αγορά. Βεβαίως, τα “Πράγματα” του είδους, είναι κατασκευασμένα για να μας διευκολύνουν, ώστε αν θελήσουμε να “στήσουμε” μία κάμερα ασφαλείας, να μην είναι απαραίτητο να έχουμε γνώσεις πληροφορικής για να την εγκαταστήσουμε, να μην απαιτείται διακομιστής (server) για τη συγκεκριμένη εργασία και να μην απαιτείται ενσύρματη δικτύωση με καλώδια και άλλες τέτοιες πληροφορίες. Η απλουστευμένη εγκατάσταση καθώς και η ευκολία χρήσης και διαχείρισης των συσκευών του είδους είναι μερικά από τα σημαντικότερα πλεονεκτήματα τους. Παρόλα αυτά, οι συσκευές του είδους έχουν και μειονεκτήματα, που ξεκινούν από το επίπεδο ασφάλειάς τους.

Ποιος σας λέει ότι η κάμερα που επιλέξατε δεν μπορεί να παραβιαστεί από απατεώνες για να σας παρακολουθούν; Ποιος σας λέει ότι η “έξυπνη καφετιέρα” σας δεν αποτελεί μέρος ενός botnet; Αυτά λοιπόν είναι ζητήματα που πρέπει να σας απασχολήσουν σοβαρά, και το πρώτο πράγμα που μπορείτε να κάνετε πριν αγοράσετε κάποιο “Πράγμα” (συσκευή IoT) είναι να πραγματοποιήσετε μία μικρή έρευνα αγοράς για να σιγουρευτείτε ή τουλάχιστον να αποκτήσετε μία καλή εικόνα, για το είδος και το επίπεδο της ασφάλειας που παρέχει.

Ο Chester Wisniewski στη πρόσφατη ομιλία του στο 6oInfocomSecurity

Η προσέγγιση ενός ειδικού

Ο εκπληκτικός ChesterWisniewski, (εικόνα 1) Ειδικός σε θέματα τεχνολογίας και Ασφάλειας της Sophos παρακάτω, μιλάει για το Internet of Things και απαντάει σε ερωτήματα που ενδεχομένως έχετε και δίνει ορισμένες πολύ χρήσιμες συμβουλές για το πώς να αγκαλιάσετε το Διαδίκτυο των Πραγμάτων, χωρίς να καείτε από αυτό.

«Πρόσφατα είχα την ευκαιρία να προμηθευτώ ορισμένες έξυπνες συσκευές, στις οποίες όλοι αναφέρονται ως το Διαδίκτυο των Πραγμάτων (IoT, InternetofThings). Αν παρόλα αυτά αγνοήσετε την ελκυστική ονομασία της, μία συσκευή IoT είναι στην πραγματικότητα ένας ακόμη υπολογιστής στον οποίο η επιλογή του λειτουργικού συστήματος που τρέχει, οι ενημερώσεις ή ακόμα και η ασφάλεια του δεν περνούν από το χέρι σας.»

«Περιέργως, μας αρέσει να αστειευόμαστε με αυτές τις συσκευές – εξάλλου τι πραγματικά μπορείτε να κάνετε με έναν βραστήρα που συνδέεται στο Internet; – καλό θα ήταν επίσης να θυμίσω, ότι δεν τους χρειαζόμαστε (τους internetenabled βραστήρες) αν και βιαζόμαστε να τους αγοράσουμε επειδή μας αρέσουν. Ξέρω πολλούς ανθρώπους από τον χώρο της ασφάλειας που έχουν έξυπνες λάμπες, θερμοστάτες, κάμερες και συστήματα ασφαλείας: μας αρέσουν τα gadgets, και δεν μπορούμε να αντισταθούμε από το να παίξουμε με νέες τεχνολογίες για να διαπιστώσουμε πως μπορούν να χρησιμοποιηθούν ή κακοποιηθούν. Μπορείτε ωστόσο να ακολουθήσετε την τρέλα του InternetofThings χωρίς να γυρίσουν εναντίον σας οι συσκευές που χρησιμοποιείτε;»

7 Χρήσιμες συμβουλές

Παρακάτω θα βρείτε μερικές πολύ σημαντικές συμβουλές έτσι ώστε να παραμείνετε ασφαλείς:

  1. Πολλά έξυπνα “πράγματα” υποστηρίζουν WiFi ώστε να μην χρειάζεται να τα συνδέσετε στο smartphone ή στον υπολογιστή σας κάθε φορά που θέλετε να τα χρησιμοποιήσετε. Αν το οικιακό WiFi router που έχετε σας επιτρέπει να δημιουργήσετε ξεχωριστά δίκτυα επισκεπτών για να κρατήσετε τους μη έμπιστους επισκέπτες εκτός του κανονικού δικτύου σας, τότε καλύτερα να δημιουργήσετε ένα ειδικό δίκτυο επισκεπτών για όλα τα “Πράγματα” σας και να τα συνδέσετε εκεί.
  2. Πολλές συσκευές, όπως βιντεοκάμερες, προσπαθούν να μιλήσουν με το router σας ώστε να δέχονται συνδέσεις από έξω. Κάτι τέτοιο αποτελεί μεγάλη ευκολία αν ο στόχος σας είναι η πρόσβαση σε αυτές από το Internet, παράλληλα όμως εκθέτει τις συσκευές σας και στον υπόλοιπο κόσμο. Απενεργοποιήστε το UPnP (Universal Plug and Play) στο router σας, και σε όλες τις συσκευές IoT που έχετε στην διάθεση σας αν είναι δυνατό ώστε να αποτρέψετε αυτή την έκθεση. Μην κάνετε την υπόθεση ότι “κανείς δεν πρόκειται να αντιληφθεί” ότι συνδέσατε για πρώτη φορά την συσκευή. Υπάρχουν μηχανές αναζήτησης που ειδικεύονται στον εντοπισμό και τη ταξινόμηση συνδεδεμένων συσκευών online, είτε εσείς θέλετε να βρεθούν, είτε όχι.
  3. Κρατήστε το firmware ενημερωμένο σε όλες τις συσκευές IoT που έχετε στην διάθεσή σας – οι ενημερώσεις και τα patches είναι τόσο σπουδαία όσο εκείνα για τον υπολογιστή σας. Μπορεί να απαιτηθεί λίγος χρόνος για να βρείτε αν υπάρχουν διαθέσιμες ενημερώσεις, αλλά γιατί να μην το κάνετε ελέγχοντας την ιστοσελίδα του κατασκευαστή των συσκευών σας δύο φορές τον χρόνο; Συμπεριφερθείτε στην συσκευή σας, σαν να αλλάζετε μπαταρίες στον ανιχνευτή καπνού στο σπίτι σας: είναι ένα μικρό τίμημα που πρέπει να πληρώσετε για την ασφάλεια και την προστασία σας.
  4. Επιλέξτε προσεκτικά τους κωδικούς πρόσβασης και γράψτε τους σε ένα σημειωματάριο αν είναι απαραίτητο. Η πολυπλοκότητα είναι σημαντική, όπως επίσης και η μοναδικότητα. Πολλές συσκευές τύπου IoT έχουν βρεθεί να διαθέτουν bugs που επιτρέπουν σε επιτιθέμενους να τα ξεγελάσουν για να διαρρέουν πληροφορίες και δεδομένα ασφαλείας όπως το να δώσουν το password για το WiFi σας. Θυμηθείτε επίσης: Μία συσκευή, ένα password.
  5. Προτιμήστε συσκευές που μπορούν να λειτουργήσουν χωρίς σύνδεση στο σύννεφο. Τα “Πράγματα” IoT που απαιτούν κάποια υπηρεσία cloud συνήθως είναι λιγότερο ασφαλή, και συνήθως μαρτυρούν περισσότερες πληροφορίες από εκείνες που μπορείτε να ελέγξετε και να διαχειριστείτε από το σπίτι σας. Διαβάστε στην συσκευασία τους ή στην ιστοσελίδα του κατασκευαστή τους αν η μόνιμη σύνδεση στο Internet είναι απαραίτητη για την λειτουργία της συσκευής. Αν είναι τύπου “όλα ή τίποτα”, τότε μπορείτε να δοκιμάσετε πρώτα την συσκευή στο δικό σας δίκτυο.
  6. Να δικτυώνετε συσκευές μόνο για όσο το χρειάζεστε. Αν το μόνο που θέλετε από την τηλεόραση σας είναι να παρακολουθείτε τηλεόραση, δεν χρειάζεται να την έχετε διαρκώς συνδεδεμένη στο δίκτυο σας. Αν θέλετε απλώς να την ελέγχετε ή να “στριμάρετε” σε αυτή από το οικιακό σας δίκτυο, δεν είναι απαραίτητη η πρόσβαση σε αυτή από έξω. Εξαλείψτε τις περιττές συνδέσεις στο Internet όταν είναι δυνατόν.
  7. Μην παίρνετε μαζί σας τις συσκευές IoT στην δουλειά σας και μην τις συνδέετε στο εταιρικό δίκτυο χωρίς την άδεια του τμήματος IT. Οι μη ασφαλείς συσκευές θα μπορούσαν να χρησιμοποιηθούν ως μέσο από επιτιθέμενους για να διεισδύσουν στο εταιρικό δίκτυο, να χρησιμεύσουν για παράνομη παρακολούθηση ή για την κλοπή δεδομένων. Θα μπορούσατε να βάλετε την εταιρία που εργάζεστε και την δουλειά σας σε κίνδυνο.

Φυσικά, μην ξεχνάτε ότι οι λίστες σαν την παραπάνω, είναι αναγκαστικά ελλιπείς. Εξάλλου, η ασφάλεια είναι ένα ταξίδι, και όχι προορισμός, οπότε μην φανταστείτε ότι τα παραπάνω είναι η τελευταία μας λέξη για την ασφάλεια IoT.