Informatikai biztonság és az okos otthon, ahogy a Sophos látja

0
329
informatikai biztonság

Az informatika és az internet behálózza életünket, jelen van minden jelentősebb területen. Közösségi média, telefonok, okos tévék, okos otthon, ügyintézés… na de mi a helyzet az informatikai biztonság terén?

Hogyan kapcsolódik az informatikai biztonság és az okos otthon? Gondolj bele: az összes eszközöd kommunikál egymással az interneten keresztül. Megfelelő védelem nélkül olyan információkat szolgáltathatsz ki illetékteleneknek, amelyek később árthatnak neked. Mikor nincs otthon senki? Mit láthat a kamerarendszer? A paranoia és a bizalmatlanság természetesen nem megoldás, hiszen egy okos otthonnak rengeteg előnye van: cikkünkben azokra a tényezőkre hívjuk fel a figyelmet, amelyekre ügyelve biztonsági okos otthont alakíthatsz ki.

HITELESÍTŐ ADAT VAGY HOZZÁFÉRÉSI ADAT: PÉLDÁUL A FELHASZNÁLÓNÉV ÉS A JELSZÓ

Az informatikai biztonság

A Wikipedia definíciója szerint az informatikai biztonság egy rendszer azon állapota, amelyben

  • az adatokat csak a jogosultak láthatják, kezelhetik és rendelkezhetnek velük, (bizalmasság)
  • az adatok felhasználhatóak és tartalmuk az, aminek lennie kell, forrásuk pedig hitelesíthető, (sértetlenség)
  • amikor kellenek az adatok, akkor el is érhetőek, (rendelkezésre állás)
  • a védelmi rendszer minden releváns veszélyt figyelembe vesz, (zárt védelem)
  • a védelem a rendszer minden részét biztosítja, (teljes körű)
  • a védelmi rendszer működése folyamatos és állandó, (folytonosság)
  • a védelem költségei arányosak a lehetséges veszélyek által okozott károk költségével. (kockázatokkal arányosság)

Jelen esetben ezt a kérdést nem egy vállalkozás, hanem egy hétköznapi felhasználó szemszögéből kell megközelíteni. Úgy vélem, hogy a felelősség egyenlő mértékben oszlik meg a felhasználó és az általa használt eszköz gyártója között.

A felhasználó kötelezettségei között szerepel a használt eszközökről és informatikai biztonságról való alapvető tájékozódás, illetve a rendelkezésre álló védelmi funkciók kihasználása. Fontosnak tartom még az eszközök frissítését is.

A gyártó/forgalmazó felelőssége az, hogy az eszközt biztonságosra és fejleszthetőre tervezzék, illetve folyamatos biztonsági frissítéseket nyújtsanak a számukra. Nap, mint nap újabb trükkök jelennek meg a neten, amelyek a különböző sebezhetőségeket használják ki, az eszközök ilyen jellegű hibáit pedig valakinek ki kell javítani.

Veszélyek

Az előbb említett cikkben a védelmi rendszer különböző rétegei is szerepelnek. Az okos otthonra vetítve ezek a következőek:

  • Az adat: ez jelen esetben az okos otthonban élők személyes adatait, illetve az eszközök által átadott adatokat jelenthetik, mint például a szenzorok információ, videó és audió streamek stb.
  • Alkalmazói szoftver: az adatokat kezelő programok és appok. Példa: az okostelefonján használt vezérlő szoftver. Elég kellemetlen lehet, ha egy adathalász vírussal kezelt appot telepít nem megbízható forrásból, nem igaz?
  • Rendszerszoftver: ebben az esetben a különböző eszközöket vezérlő szoftverre, illetve az azokon található firmware-re kell gondolni, ami gondoskodik a hozzáférések biztosításáról.
  • Hardver és hálózat: gyenge a titkosítás vagy a jelszó a wifin? Be sincsenek állítva a védelmi funkciók? Nagy hiba!
  • Az épület, a hely: üzemzavar miatt elérhetetlenné válik az okos otthon hálózata? Áramszünet? Meghibásodott szenzorok?
  • Emberek: az informatikai biztonság kapcsán az egyik legalapvetőbb tényező az ember. Legyen szó irracionális gondolkodásmódról, hozzá nem értésről vagy károkozási szándékról, a hálózatunkat védeni kell az emberi magatartás sötét oldalától is.  

A Sophos Haunted House projektje

A Sophos jó ideje aktív az informatikai biztonság területén: széleskörű szolgáltatást nyújtanak és ipari mennyiségű kutatást végeznek a témában. Az egyik projektjük 2017. november 27-én zárult le és a lényege az volt, hogy egy szimulált okosházat hoztak létre, amit aztán csaliként használtak fel a támadások elemzése céljából.

A céljuk az volt, hogy az IoT eszközök felhasználóinak és gyártóinak figyelmét felhívják az okos otthonokat fenyegető veszélyekre. A teszt során a támadók módszereit, illetve az illetéktelen behatolási kísérletek számát jegyezték fel.

A teszt három szakaszból állt:

  • Az első szakasz hat hétig futott, itt az eszközöknél egyedi és biztonságos hitelesítő adatokat állítottak be.
  • A második szakasz három hétig tartott és az eszközöknél a gyári alapértelmezett hozzáférési adatok maradtak – pont úgy, ahogy valószínűleg egy átlagos háztartásban használják őket.
  • A harmadik tesztben speciális keresőmotorokkal nem biztonságos, nyíltan hozzáférhető IoT eszközöket kerestek az interneten.

Az eredmény?

Nem lett szép.

A biztonságos jelszavakkal átlagosan napi 1500 hozzáférési kísérlet, nem biztonságosakkal 3800 fordult elő. A legtöbb belépési kísérletet Kínából, az Egyesült Államokból és Mexikóból regisztrálták.

Mit tehet?

Szerencsére a cég kiadott egy ajánlást is, hogy mit tehetnek a felhasználók a megfelelő informatikai biztonság szintjének eléréséhez.

  • Ne ossza meg az otthoni hálózatát!
  • Feleslegesen ne csatlakoztasson IoT eszközöket az otthoni hálózatához! Ha például kábelen vagy antennán keresztül néz tévét, nem szükséges az internethez csatlakoznia.
  • Hozzon létre egy különálló alhálózatot az okos eszközök részére!
  • Hozzon létre több különálló alhálózatot funkció szerint!
  • Használjon VPN-t! A VPN lényege, hogy biztonságos, zárt csatornát hoz létre egy nem biztonságos környezeten belül (pl. internet), amelyen keresztül kommunikálhatnak eszközei.
  • Frissítse szoftvereit!
  • Bizonyosodjon meg arról, hogy eszközei a legújabb firmware-t használják!
  • Tájékozódjon: a Google tökéletes eszköz arra, hogy ellenőrizze, biztonságosak e a vásárolni kívánt IoT berendezések.

A kép forrása: [link]

HOZZÁSZÓLOK A CIKKHEZ

Please enter your comment!
Please enter your name here