Fotó: Polónyi István Fotó Sapiens Stúdió
Strandtojás és az  IoT biztonsági kihívásai

Strandtojás és az IoT biztonsági kihívásai

Feldobom tojás, leesik széf. Mi az?

Beachegg_2_ interjúala_opt_1Az új termékről a fejlesztőcég, a Virgo Systems képviselőivel, Csapó Balázzsal és Halmi Gergővel beszélgettünk. A KÜRT Zrt. szakemberétől, Márton Miklóstól pedig megkérdeztük, mit gondol a mindennapjainkban szinte már nélkülözhetetlen okos eszközök biztonsági kockázatairól.

A szerkesztőséget Szemere Kinga képviselte.

Csapó Balázs

Beachegg_personal_mobi_opt_2A Virgo Systems informatikával foglalkozó cég fejlesztése egy dizájnos tojás alakú hordozható széf, amely megoldást kínál arra a klasszikus problémára, hogy vajon hova rejtsük értékeinket a strandon, amíg mi a vízben vagyunk.

Halmi Gergő eredetileg kerekeken guruló páncélszekrényötletét a szoftvercég felkarolta, és Csapó Balázs, a Virgo kreatív igazgatója és társtulajdonosa elkészítette a védelmet is szimbolizáló, tojás formájú dizájnt. Az eredmény egy 6 literes alumíniumtárgy, üvegszálas borítással. A biztonságos, rozsdamentes acél zárszerkezettel ellátott eszköz nyitása-zárása és beriasztása NFC chip segítségével történik, amelyet egy karpántba szereltünk – meséli Csapó Balázs. A szenzorok érzékelik, ha a lezárt széfhez illetéktelen ér hozzá, először csak egy figyelmeztető pityegéssel jelez. Ha azonban a helyéről elmozdítjuk, úgy egyre hangosabban sípol, valamint a gazdáján lévő vízhatlan karperec elkezd rezegni és villogni is, a karkötő és a tojás közötti Bluetooth kapcsolatnak köszönhetően.

Fotó: Polónyi István Fotó Sapiens Stúdió

Ha csupán ennyit tudna a mobilszéf, valószínűleg a szakmai kiállításokon nem lenne nagy érdeklődés iránta, és a termék fejlesztői sem állítanák magukról, hogy jelenleg a piacon megjelenő hasonló termékek közül ők nyújtják a legbiztonságosabb megoldást. Azonban intelligenssé tették a tárgyat; vagyis megjelent a szoftvercég egy IoT-vel, azaz egy olyan fizikai tárggyal, amelybe beleépítették a meglévő internetes infrastruktúrával kommunikálni képes számítástechnikai eszközök tárházát, így a Virgo is belépett azon cégek sorába, amelyek fizikai termékbe öntik 15 éves szoftvertudásukat.

Mostanra talán már mindenki hallott az IoT-ról (Internet of Things), vagyis a Dolgok Internete kifejezésről. De vajon mit is jelent ez pontosan? Míg idáig az internet segítségével egyik ember a másikkal kommunikált az interneten, eddigre már ott tartunk, hogy a meglévő okos eszközeink képesek egymással vezeték nélkül összekapcsolódni és kommunikálni.

A Beachegg okosságát a mozgásérzékelő szenzorokon kívül így a tojásba épített M2M GSM kártya és egy GPS chip adja. A GPS meghatározza a pontos helyzetet, amit a M2M GSM kártya segítségével interneten keresztül küld el a szervernek. A szerver pedig az Amazon AWS felhő alapú szerverszolgáltatója, ami mögött óriási szerverkapacitás és IoT infrastruktúra áll. Ez biztonságot jelent, hiszen az Amazonnal kapcsolatban van olyan bizalma a piacnak, amely az IoT-val kapcsolatos kételyekre elég jó választ ad – fejti ki Csapó. A szerver természetesen kommunikál a Beachegg alkalmazással is. A földrajzi helyzettől teljesen függetlenül lehet ellenőrizni okostelefonon, tableten vagy számítógépen keresztül a pillanatnyi állapotot vagy visszamenőleg az eszközzel kapcsolatos összes információt. Ehhez jön még hozzá egy úgynevezett UWB (Ultra Wide Band) technológia, amellyel beltéri, nagy pontosságú helymeghatározásra lesz képes a tojás. Ha a strandon egy sör áráért kikölcsönözzük a feltöltött tojást, akkor kapunk hozzá egy karperecet és egy „távfelügyeletet”, nevezetesen egy őrt, aki figyeli a tojás helyzetét egy tableten keresztül. A termék megvásárlásánál az őr helyett pedig az alkalmazást letöltve kísérhetjük figyelemmel széfünket.

Az IoT biztonsági kihívásai

A négy és fél hónap alatt megálmodott és elkészült prototípusokba belepakoltak mindent, ami biztosítja értékeink védelmét, de tudjuk, hogy nincs százszázalékos védelem. Mindent fel lehet törni, azonban a strandlopások jellemzően a piti tolvajok terepe és nem a hackereké – mondja Csapó.

Csapó Balázs, a KÜRT Zrt. volt munkatársaként természetesnek tartja, hogy a Beachegg kialakításánál figyelembe vettek nagyon sok biztonsági szempontot, de szerinte nem lehet a piacra dobni egy terméket úgy, hogy az asztal körül filozofálnak munkatársaival, azon töprengve: vajon hol vannak még biztonsági rések a prototípuson. Csapó szerint a funkcionalitás a fontos, továbbá a jó felhasználóélmény, az ergonómia és természetesen a dizájn, hiszen nem élhetjük a digitális életünket bástyák mögött, mert akkor sokkal nehézkesebb lenne a mozgásunk és a haladási sebességünk. Ő sem elsősorban a biztonsági tényezők mentén hozza meg a döntéseit – teszi hozzá –, mert nagyon nehezen ellenőrizhető, hogy az ígéretek mögött valójában mi van és valójában milyen védelmet jelent a kiberbűnözők ellen.

strandtojas1_optMárton Miklós, a KÜRT Zrt. üzleti vezérigazgató-helyettese egyetért Csapóval abban, hogy a mai digitális világban nem élhetünk bástyák mögött. Nem tarthatunk attól, hogy ha kilépünk az utcára, akkor a fejünkre esik egy cserép, de azt megtehetjük, hogy nem az eresz alatt sétálgatunk. Ezért az okos eszközöket is ésszel és körültekintéssel kell használnunk, hiszen ha minden IoT eszközt bekötünk az internetre, úgy minden elérhetővé és így minden megtámadhatóvá is válik.

Márton Miklós

Véleménye szerint a legnagyobb problémát a kényelem és az olcsóság okozza: Az IoT eszközök többsége egyelőre nem alkalmas arra, hogy azonosítsa magát, nincs kellő intelligenciájuk, ami érthető is, hiszen nem távolból működtetésre tervezték. Példaként említi, hogy nem az okoz nagy bajt, ha a hűtő egy doboz tej helyett tizet rendel, hanem az, amikor a még nagyobb kényelem jegyében a rendszer a számlánkról is levonja majd az összeget olyasmiért, amit valójában nem akartunk megvenni.

Fotó: Polónyi István Fotó Sapiens Stúdió

Beachegg_personal_mob_opt_4

Minden informatikai fejlesztésnél először a funkció a fontos, a biztonság csak később kap nagyobb szerepet – hangsúlyozza a szakértő. A rendszer értéke vagy megtámadásának a haszna ugyanis növekszik a felhasználók körének bővülésével. Amíg ugyanis viszonylag kicsi a felhasználók köre, addig nagy kárt nem tud valaki okozni azzal, ha a rendszert
biztonságilag korrumpálja. Amikor viszont óriási mennyiségű felhasználó kezdi el használni a terméket, akkor akcióba lendülnek a rosszindulatú felhasználók. Márton kiemeli, hogy nem lehet az a cél, hogy megszüntessük az IoT által nyújtott szolgáltatást, de az sem megoldás, hogy olyan pénzeket költünk el a megvédésére, ami többe kerül, mint amennyi haszna van. A biztonsági és fejlesztő szakemberek közötti versenyfutás ez. Azt gondjuk, hogy a verseny a rosszindulatú támadók és a védők között van, de igazából szembenállnak a védők és a funkcionális fejlesztők is. A fejlesztőnek ugyanis az az érdeke, hogy a legegyszerűbben és leggyorsabban használható legyen az eszköze. A biztonsági megfontolás, minden egyéb olyan paraméter, ami nem a funkciót segíti, általában a rendszer használatának hatékonyságát fogja vissza. Nagyon ritka az olyan eset, amikor egy biztonsági szempont érvényesülése okozza a hatékonyságnövekedést.

Márton Miklós kiemeli, hogy a Dolgok Internetének másik igazán fontos kihívása az eszközök által összegyűjtött óriási adattömeg tárolásának, kezelésének a megoldása. A hálózaton keresztül elérhető nagy mennyiségű, sokszor kényes adattal megnő a veszély a rendszerek feltörésére, az adathalászatra és az információgyűjtésre. Az adattárolásra használt felhő olyan, mint egy vár, ami erős védelmi rendszerrel van felvértezve, de külön a várban lévő adatokat már nem védjük. Egy rosszindulatú támadáshoz sokszor nincs szükség hozzáférni a legkritikusabb rendszerekben lévő adatokhoz, hanem elég onnan megszerezni, ahol nincsenek megvédve. Ezért is veszélyes, hogy sokszor azonos jelszavakat használunk annak ellenére, hogy egészen más jelentősége van számunkra a bankkártyánknak, mint mondjuk az okos hűtőnknek. Ha a kutyám nevét adom meg a banki rendszeremben jelszóként és a hűtőm azonosításához is ugyanazt, akkor elég a hűtőazonosítót ellopni, az pedig sokkal kevésbé védett – magyarázza Márton.

Fotó: Polónyi István Fotó Sapiens Stúdió

Beachegg_personal_mob_opt_5A harmadik kockázati tényezőt a szakember a milliárdnyi eszköz központi elérésének és működtetésének problematikájában látja; ez mindig magában rejti a hibának és a rosszindulatú tevékenységnek a veszélyét is.

A negyedik lényeges biztonsági szempontként említi a kritikus eszközök hálózatba kötését és annak menedzselését. Amíg a hűtő egy tej helyett tízet rendel vagy tej helyett sajtot, addig nincs nagy baj. Abban a pillanatban válik kritikussá a felhasználás, amikor ugyanebbe a rendszerbe megpróbáljuk integrálni a tűzvédelmi rendszert, vagy éppen a csipogót, ami egy betegnek a szívritmus-szabályozójával van kapcsolatban. Eljutunk oda, hogy pulzusmérő órák jeleznek majd a kórházban, ha valami baj van az órát viselő pácienssel, azaz olyan eszközöket kötünk a hálózatba, amelyek hatással vannak a fizikai állapotunkra.

A megoldás szerinte olyan tanúsítványok vásárlásában rejlik, amelyek egyértelműen azonosítják a használót. Ennek hátránya, hogy eszközigényes és költsége is van, így sokkal macerásabb, mit beütni egy PIN kódot. A szakember futurisztikus példája a bőr alá beültetett chip, amivel mindenki által elfogadott módon bárki egyértelműen képes lesz azonosítani magát.

Meg kell próbálnunk elviselhető szintre csillapítani a kockázatokat – összegzi Márton Miklós. Soha nem lehet nullára csökkenteni a kockázatokat, hiszen a funkciókra, a fejlesztésekre szükségünk van, de el kell jutnunk odáig, hogy megfelelő kockázatarányos védelmet alakítsunk ki. Biztonsági kockázat esetén azt a szintet kell mérsékelni, amely azt mutatja, hogy mekkora valószínűséggel válhat valóra a fenyegetés.

Kapcsolódó cikkek