Partea întunecată a prezentului ultraconectat

Trăim în vremuri foarte interesante. Dacă ar fi fost să-mi spună cineva, în urmă cu 10 ani, că voi trăi să văd ziua în care roboții personali sînt reali, în care pot controla becurile cu ajutorul telefonului, în care aș folosi televizorul pentru a reda conținut de pe Internet și pentru a comunica, și în care frigiderul m-ar atenționa că trebuie să beau mai multă apă, probabil i-aș fi spus respectivei persoane că s-a uitat la prea multe filme SF.

Dar iată-mă astăzi, cu un ceas care îmi măsoară pașii și îmi verifică pulsul, cu un telefon pe care nu îl mai folosesc ca pe un telefon, ci ca pe un laptop și ca pe o telecomandă pentru becurile din casă, și cu un televizor la care nu am legat nici un fel de cablu, ci care mă lasă să accesez, prin WiFi, cele mai noi seriale și cele mai bune filme și toate melodiile din lume. Probabil și voi vă identificați cu rîndurile de mai sus și, pe măsură ce tehnologiile se ieftinesc, din ce în ce mai multe persoane vor face trecerea către „smart everything”, adică spre un viitor foarte apropiat în care aproape toate obiectele din casă sînt conectate permanent la internet.

Deja vedem progresele făcute în acest sens, dar ”minunata lume nouă” nu aduce numai confort sporit și entertainment nelimitat, ci și noi amenințări, poate chiar mai serioase decît cele cu care ne confruntăm pe PC-uri. Despre acestea am discutat cu Marco Preuss, Director Global Research & Analysis Team, Europe, Kaspersky Lab, în cadrul evenimentului Kaspersky Lab Cyber Security Weekend, organizat în Malta, în 2016.

Umilire, șantaj și discriminare

Dacă este să ne uităm la evenimente de anul acesta precum CES, MWC sau IFA, observăm că frigiderele, mașinile de spălat nu mai sînt numai simple electrocasnice, ci sînt senzori care colecționează și procesează cantități enorme de informații despre mediul înconjurător, dar și despre proprietarii lor. Aceste informații pot fi utile pentru utilizatori, deoarece îi ajută să își organizeze mai bine viețile, să economisească mai multă energie și, per total, să aibă un nivel mai mare de confort. Totuși, aceste date colectate au o valoare infinit mai mare pentru alte persoane, iar utilizatorii electrocasnicelor inteligente ar putea pierde mai multe decît cîștigă.

„Nu cred că hackerii ar fi cei interesați de acest tip de informații, deoarece hackerii sînt interesați să facă bani. Mai degrabă, ei ar ataca aceste dispozitive IoT sau le-ar folosi în atacuri DDoS, pentru a face bani. Datele sînt importante cînd vine vorba de intimitate, iar entități precum companiile de asigurări sau firmele de advertising sînt interesate de ele. Ele ar putea obține informații despre mine fără știrea mea”, explică Preuss.

Cu toate că, la prima vedere, acest tip de practică ar putea părea benignă, faptul că utilizatorii ignoră (sau nu se interesează deloc privind) politicile de confidențialitate și disclaimerele produselor inteligente ar putea provoca mari bătăi de cap și pierderi financiare. De exemplu, spune Preuss, un frigider conectat ar ști, teoretic, tot ce e în el, tot ce mănîncă utilizatorul și la ce ore este deschis.

„Frigiderul cunoaște totul despre comportamentul tău alimentar: ce mănînci, cînd mănînci, ce bei. Acest gen de informație este foarte interesant pentru companiile de asigurări. Același lucru se aplică și soluțiilor de iluminat inteligente: știu cînd te trezești, cînd te duci la culcare, cît de mult dormi. E același lucru”, mai spune expertul. Cu ajutorul acestor informații, companiile de asigurări îți pot mări sau micșora tarifele și te pot discrimina în funcție de alimentație sau programul de odihnă.

Iar acest gen de activități nu ține de domeniul SF, ci se întîmplă în prezent. Anul trecut, auzeam despre o companie de asigurări care îți promitea reduceri, dacă erai de acord să porți constant o brățară de fitness Fitbit și să predai toate datele companiei. Cu toate că mișcarea celor de la firma de asigurări John Hancock a fost una transparentă, la fel cum companii precum Google și Facebook îți vînd datele (căutările făcute, site-urile pe care le-ai vizitat, lucrurile de care ești interesat, informații personale) către agenții de publicitate fără știrea ta (pentru că nu mulți au răbdare să citească pagini întregi de termeni și condiții în care se arată cum sînt procesate datele), la fel și producătorii de electrocasnice ar putea să le ofere unor terți, contra unor sume de bani, fără ca tu măcar să îți dai seama ce se întîmplă.

„Imaginează-ți că e finalul Cupei Mondiale la televizor, iar TV-ul se închide brusc și apoi afișează un mesaj de genul «dă-mi 100 de euro sau nu mă mai aprind la loc». Cîți oameni crezi că ar fi dispuși să plătească?”

Și nu numai agențiile de publicitate sau firmele de asigurări ți-ar putea crea bătăi serioase de cap. „Și băncile ar putea avea un interes. Teoretic, dacă o bancă ar vedea că ai un stil de viață nesănătos, în momentul în care ai cere un credit, funcționarul s-ar putea întreba dacă chiar vei mai trăi încă 30 de ani și dacă vei ajunge să-ți achiți toată datoria față de bancă”, explică Preuss.

Dar doar pentru că interesul companiilor pentru dispozitivele care compun Internetul Tuturor Lucrurilor este mai mare decît cel al hackerilor, asta nu înseamnă că infractorii cibernetici nu ar fi tentați să atace aceste dispozitive și nu ar avea nimic de cîștigat de pe urma lor. Internetul e uneori zguduit de atacuri DDoS de proporții, care blochează accesul la numeroase site-uri din străinătate. În acest atac, hackerii s-au folosit de camere video conectate la internet pentru a realiza un botnet și pentru a inunda serverele providerului de DNS Dyn. De regulă, hackerii pot face bani serioși de pe urma acestor atacuri, fie prin vînzarea codurilor malițioase pe care le folosesc, fie prin practici de genul „hacking as a service”, prin care își împrumută „talentele” celor care plătesc suficient.

Dar și utilizatorii de rînd pot pierde bani serioși din cauza infractorilor cibernetici interesați de case inteligente. Un exemplu vine rapid în minte cînd vorbim despre cazuri în care tehnologiile smart au fost întoarse împotriva utilizatorilor: la începutul acestui an, un cuplu a găsit, pe un site de filme porno, un clip video înregistrat în timp ce respectivul cuplu făcea sex pe canapea. Pentru că cele două persoane nu se înregistraseră în timp ce făceau sex, au realizat că singura metodă ca acel clip să existe ar fi fost ca un hacker să fi folosit camera video a televizorului inteligent din casă.

Cu toate că respectivul infractor cibernetic nu a făcut bani de pe urma acelui clip, alții ar putea cere răscumpărări serioase pentru a nu face publice înregistrările de acest gen, iar persoanele șantajate nu ar avea cum să refuze. În plus, „imaginează-ți că e finalul Cupei Mondiale la televizor, iar TV-ul se închide brusc și apoi afișează un mesaj de genul «dă-mi 100 de euro sau nu mă mai aprind la loc». Cîți oameni crezi că ar fi dispuși să plătească?”. Dacă este să ne gîndim doar la patronii de baruri și localuri care difuzează meciuri, aceștia ar plăti instant, pentru a nu risca să-și piardă clienții. „Același lucru se aplică și mașinilor de spălat. Pui haine în mașină, închizi ușa și vrei să o pornești, dar apoi apare un mesaj de genul «dă-mi 100 de euro sau îți voi strica toate hainele sensibile»”, mai spune expertul Kaspersky.

Dar Internetul Tuturor Lucrurilor nu este format numai din mașini inteligente, televizoare smart sau frigidere conectate la Internet. Unele persoane se bazează pe dispozitive IoT pentru a se simți în siguranță. Există camere de supraveghere conectate, dar și încuietori inteligente. Avînd în vedere că aceste încuietori sau alarme pot fi păcălite cu ajutorul unor magneți sau unor stații de emisie-recepție, nu este greu să ne imaginăm că un virus de tip ransomware pentru ele. Tu cîți bani ai da pentru a intra la tine în casă?

Problema cu electrocasnicele inteligente

În timpul evenimentului din Malta, Marco Preuss a explicat de ce gadgeturile conectate sînt ținte ușoare și atrăgătoare pentru hackeri.

O parte din vină aparține clienților. Majoritatea utilizatorilor nu se obosesc să schimbe datele implicite de logare. Cum în cazul routerelor, userul și parola sînt, de regula, „admin”, la fel se întîmplă și cu alte dispozitive conectate la internet, care au diverse combinații notate, de regulă, în manualele de utilizare, combinații care nu sînt schimbate niciodată. De asta, unui hacker i-ar fi ușor să scrie un script care să încerce datele de autentificare predefinite pentru a prelua controlul asupra majorității dispozitivelor de acest gen.

Restul problemelor țin strict de producători. În fuga după profituri rapide și în încercarea de a fi primii pe piață, companiile nu construiesc obiecte smart punînd securitatea pe primul loc, ci pe reducerea costurilor de producție, design și alte funcționalități mai mult sau mai puțin importante. Din acest motiv, actualizările de firmware sînt fie rare, fie dificil de efectuat, fie inexistente. Iar fără actualizări, hackerilor le este ușor să identifice vulnerabilități și să se folosească de ele. În plus, comunicarea între aceste dispozitive, router, server și smartphone se face, de multe ori, fără criptare, iar datele sînt foarte facil de cules.

Probabil una dintre cele mai mari probleme ale acestor aparate este faptul că sînt conectate la internet 24 de ore din 24. Spre deosebire de smartphone-uri sau PC-uri, care sînt închise pe timpul nopții sau măcar deconectate de la rețea, aparatele care fac parte din Internetul Lucrurilor, cu cîteva excepții, au mereu o conexiune activă, iar infractorii cibernetici se pot folosi de acest aspect pentru a lucra în timpul nopții, cînd utilizatorii nu ar putea vedea anumite semnale.

Tot Preuss spune că și faptul că aceste gadgeturi nu sînt construite pe o platformă comună, ci folosesc sisteme de operare diferite, poate fi o piedică în oferirea unui grad mare de siguranță. Practic, companiilor de securitate le este greu să conceapă cîte un antivirus pentru fiecare platformă în parte, iar hackerii își pot face de cap mai ușor.

Totuși, dacă am învățat ceva de la piața smartphone-urilor și PC-urilor, este faptul că hackerii țintesc sistemele de operare cu cei mai mulți utilizatori. Din acest motiv, pentru Windows există infinit mai multe amenințări decît pentru Linux și MacOS, la fel cum există mai mulți viruși pentru Android decît pentru iOS. Așa că l-am întrebat pe Preuss dacă așa stă treaba și cînd vine vorba despre aceste dispozitive. „Mai degrabă aș alege o platformă mai răspîndită, care poate a devenit o țintă pentru hackeri, dar pentru care au fost dezvoltate soluții de securitate și care îmi oferă control asupra unor funcții care mă pot proteja, decît să aleg o platformă mică, dar care nu are nici un fel de securitate”, a explicat el.

Frigiderul te poate șantaja, dar mașina te poate propulsa într-un stîlp

E posibil să te gîndești că aceste amenințări nu te vor afecta tocmai pe tine, iar chiar dacă o vor face, riscul e mai mic decît beneficiul adus de noul val de gadgeturi inteligente. Totuși, nu doar obiectele din casă se transformă, ci și automobilele. Pînă cînd vom ajunge la mașinile sută la sută autonome mai durează ceva timp, dar deja vedem fel de fel de senzori implementați în automobile, sisteme de control de la distanță, precum și tehnologii de entertainment avansate. Cu cît producătorii introduc mai multe funcții, cu atît hackerii au mai multe șanse de a identifica vulnerabilități și de a le folosi în detrimentul utilizatorilor.

Cu toate că Ștefan Tănase deja a abordat acest subiect în unul dintre articolele sale din secțiunea Opinii Playtech, am zis să discut și cu Preuss despre acest subiect. Am vrut să aflu dacă problema producătorilor de autoturisme este că nu dau suficientă importanță securității informatice, sau că nu se pricep suficient de bine încît să își detecteze și să își rezolve vulnerabilitățile.

„Sîntem la început din acest punct de vedere. Companiile încearcă să creeze noi tehnologii, noi procese, noi funcționalități, iar securitatea presupune mereu bani, resurse și, în special, timp. Asta înseamnă că ar dura considerabil mai mult pînă cînd o mașină nouă ar ajunge pe piață. Așa că preferă să nu integreze măsuri de securitate, să lanseze mașinile pe piață și să învețe pe parcurs”, a explicat Preuss. ”Același lucru se întîmplă și cînd vine vorba despre IoT, același lucru s-a întîmplat și cu toate tehnologiile lansate în trecut. Nu pot spune că producătorilor de mașini nu le pasă de securitate, dar este un domeniu nou și au nevoie de mai multă experiență pentru a putea să-și facă produsele mai sigure”, a mai spus expertul Kaspersky.

Să ți se viruseze laptopul nu mai este o problemă atît de mare. Să ți se ceară bani ca să îți fie deblocate portierele de la mașină nu ar fi cel mai plăcut lucru, însă nu ar fi nici cea mai gravă situație. Deja am văzut cît de ușor se poate pune stăpînire pe un Jeep și am auzit de cazuri în care mult-rîvnitele automobile Tesla au căzut pradă hackerilor. Poate că un frigider te ”pîrăște” companiilor de asigurări, dar o mașină inteligentă te-ar putea propulsa într-un stîlp sau într-o prăpastie.

Cu toate astea, Preuss nu învinovățește foarte mult companiile pentru acest gen de mentalitate, deoarece înțelege cerințele pieței. El crede că presiunea din industrie îi face mereu pe producători (indiferent de domeniu) să lanseze un produs și abia apoi să încerce să-i rezolve din probleme dar, în același timp, expertul este de acord că acest lucru ar trebui să se schimbe.

Orașul în care trăiești te-ar putea ucide oricînd

Despre orașele viitorului nu am discutat cu Preuss, dar am vorbit, în schimb, despre pericolele actuale ce țin de infrastructura orașelor. Indiferent că vorbim despre cele cu senzori și iluminat stradal inteligent sau de orașe simple, orice, de la apă și caldură și pînă la semafoare, se controlează prin intermediul acestor computere. Problema? Majoritatea încă funcționează pe baza unor sisteme de operare învechite care, nu cu mult timp în urmă, nu aveau acces la internetul modern. Asta s-a transformat dintr-un avantaj într-un dezavantaj, pe măsură ce unele companii au reușit să aducă conexiuni moderne pe aceste mașinării învechite și pline de găuri de securitate.

Nu cu mult timp înainte am auzit despre faptul că hackerii iranieni au reușit, în 2013, să preia controlul unui baraj aflat la aproximativ 30 de kilometri de New York. Din fericire, barajul era unul mic, iar hackerii nu au reușit să-și ducă planul la sfîrșit, dar am vrut să știu ce s-ar putea întîmpla dacă o grupare de hackeri – sponsorizată sau nu de un guvern – ar decide să atace infrastructura unui oraș sau unei țări.

„Sper ca un astfel de lucru să nu se întîmple. Multe dintre sistemele [care controlează infrastructura] sînt foarte vechi și foarte vulnerabile. Este o problemă foarte mare. Nu este nici o țară din lume care ar fi în siguranță împotriva unui astfel de atac. Poate doar Coreea de Nord”, conchide el.

Octavian Palade este redactor-şef la Playtech.ro.

Articol preluat de pe Playtech.ro.

Foto: Y. Shpika, Flickr