Internet věcí: Ne úplně váš, ne úplně bezpečný | Kapitola 4
Seznam kapitol
Internet věcí (Internet of Things) je už řadu let označován za „opravdu velkou věc“, někdy i za „větší věc, než si lidé uvědomují“. Tento koncept má zcela změnit nejen naše chápání výpočetní techniky, ale celého světa kolem nás včetně fyzických předmětů. Vše bude chytré a propojené. Zatím ale v praxi žádné „velké věci“ nevidíme. V čem je problém?
Podstatně drsnějším problémem je fakt, že IoT zařízení velice často „telefonují domů“, tedy na servery výrobce – a doufejme, že jen výrobce, že díky skvělému nápadu z globalizací není IoT dějinně největším špionážním projektem v dějinách Čínské lidové republiky. Nesmysl? Tak to byste si měli přečíst pozoruhodný článek o kauze bezpečnostních kamer Foscam, které bez vysvětlení důvodu „často a nesmyslně kontaktovaly řadu serverů v řadě zemí“. Ukázalo se, že kamery mají aktivované P2P komunikace s jinými kamerami Foscam a i když v jejich ovládacích menu P2P funkci zakážete, tak to stále jede. Nastavení nemá žádný dopad na to, že se kamera pokouší kontaktovat jiné kamery, prostě to dělá pořád.
Foscam FI9286P
Obrovský problém je nejen v tom, že IoT zařízení přicházejí přednastavena tak, aby dělala něco navíc, o čem uživatel neví, nejen v tom, že i když se ovládací rozhraní tváří, že se to dá vypnout, tak se tyto komunikace vypnout nedají – ale také v tom, že jsou nezřídka udělané tak, aby prošly firewallem, takže se „tyto funkce nedají deaktivovat bez hluboké znalosti síťařiny, případně zásahů do hardware“. Takže máme „chytré“, leč nedokumentované funkce, které se nedají za normálních okolností vypnout. Wow. Prostě wow.
Na takto se chovající zařízení se nelze dívat jinak, než jako na zařízení inherentně nebezpečná a žádný soudný správce si je do firmy nepustí. Absolutním minimem pro bezpečnost je jasná a transparentní informace o tom, co zařízení dělá a co se s daty děje. Článek z Krebs On Security uvádí, že se Foscam vyjádřil v tom smyslu, že jejich nedokumentovaná komunikace funguje jako „heartbeat“, tedy pravidelně potvrzení o platné činnosti, ale asi se shodneme v tom, že to je vlastnost, o které by měl být každý potenciální uživatel informován předem.
Aktivní komunikace se zbytkem světa je rovněž riziková v případě, že nejde o centrálně spravovanou a pravidelně updatovanou platformu. Zařízení, které není updatované a aktivně se hlásí světu, je podstatně rizikovější, než zařízení, které není updatované, ale drží pysk a hacker si ho musí aktivně najít. Vzhledem k tomu, že pravděpodobně nevíte, co se ve vaší vlastní síti vlastně děje, je docela na místě přečíst si nějaký článek o tom, jak síť zmapovat, proslídit a objevit, co na ní vlastně dělají vaše zařízení. Je to velmi zajímavé – a velmi pěkný článek je o tom na Lifehackeru.
Konstantní „telefonování domů“ je opravdu protivná vlastnost, která přišla s rozšířením internetu. Někdo to považuje za pokrok, já v tom vidím mizerii. Dnes bez připojení ani nerozchodíte nové PC, Windows 10 ho chtějí, drivery ho chtějí, Steam to chce, všechny nové ochrany her to chtějí a chtějí to i hry samotné. Někdo v tom vidí pokrok, já v situaci, kdy chci hrát a místo toho čekám na patch anebo když bez internetu nerozjedu ani ovladač myši, protože se touží přihlásit k serveru, žádný pokrok nevidím. „Cloudizace“ IoT zařízení je jen symptom téhle nemoci, totální závislosti na internetové konektivitě. Přitom u IoT dává smysl i lokální síť chytrých věcí, které tvoří inteligentní celek na sebe navzájem i v ostrovním provozu.
Komentáře naleznete na konci poslední kapitoly.
