Свързаните устройства и проблемът със сигурността

Технологичният сектор буквално е полудял по свързването в една обща мрежа на практически всякакви устройства - от електрически крушки до готварската печка. Сред многото въпросителни, произхождащи от амбициозния проект, седят сигурността и защитата на информацията. Последствията от лошо написан компютърен код в подобна мрежа могат бързо да ескалират от нищожни до повече от сериозни. Престъпник, който разбие Wi-Fi връзката на вашия дом например, прониквайки през недостатъчно защитения ви миксер, може с лекота да открие банкова информация и да източи сметките ви, пише money.cnn.com.

“Всички имат чисти и добри намерения и точно заради това пътят до “Internet of Things” може да води право в ада,” казва Марк Станислав, изследовател в Duo Security.

Големи грешки в тази посока вече са допускани. Компанията TRENDnet бе осъдена през миналата година от Федералната комисия по търговията, тъй като свързаните й камери не са достатъчно сигурни и позволяват на киберпрестъпници да проникнат в системата и да ни наблюдават.

Технологичният стартъп Stem Innovation е създател на камерата за бебета IZON. Пропускът при нея е, че комуникационните канали не са криптирани, което също отваря вратата пред недоброжелатели.

Проблем има и в компанията LIFX, която се занимава с производството на умни електрически крушки. Те се свързват към Wi-Fi мрежата в дома или офиса, но експерти са открили проблем. Една от въпросните крушки има пропуск в сигурността, който позволява на хакери да проникнат в домашната ви мрежа, а оттам да достигнат до личната ви информация.

LIFX набра 1.3 млн. долара от платформата за публично финансиране Kickstarter през 2012 г. Компанията е една от многото стартъп организации, които продават революционни интернет устройства през сайта на Kickstarter и конкурентния му Indiegogo.

Станислав и партньорът му в Duo Security Зак Лейниър се притесняват, че сайтовете за публично финансиране се превръщат в трамплин за несигурни продукти. По подразбиране предприемачите използват сайтовете, за да наберат първоначален капитал за компаниите си. Въпросът е, че продуктите са изключително обвързани с парите, а предприемачите обикновено събират достатъчно пари единствено да ги създадат, но не и да ги защитят от евентуални бъдещи атаки.

Kickstarter оспорва теорията. Говорителят на компанията Дейвид Галахър заяви, че предприемачите в Kickstarter имат по-силна връзка с потребителите, отколкото електронните гиганти, което “увеличава възможността за откриване на проблеми в ранен етап от разработката.”

“Стартъп компаниите залагат репутацията си,” казва Галахър. “Те подемат инициативата да създадат нещо, което да издържи на щателна проверка.

От Indiegogo са отказали коментар за cnn.money.com.

Проблемът е двоен. Първо, бизнесът допуска елементарни грешки. Те не криптират комуникациите и не ограничават достъпа до мрежите. В някои от случаите важни пароли са оставени незащитени в част от компютърния код на устройствата. Разработчиците използват части от вече съществуващ код, които сглобяват като блокчета LЕGO, но без да поправят вече съществуващите грешки в тях.

Дори малките пропуски в кода могат да доведат до ужасяващи последици. Последният голям скандал се нарича shellshock и разтресе обществеността под формата на интернет бъг. Той дава възможност на хакери да проникнат в мрежата и да откраднат информация, както и да поемат контрола върху определена машина.

Shellshock е вратичка за хакерите, която може да остане незабелязана в продължение на дълго време. Опасното в случая е, че този бъг поразява милиони умни устройства и компютри, но все пак има и добра новина. За да може даден хакер да използва shellshock (или bash bug, както също е известен), устройствата трябва да са свързани директно към интернет (без посредници и сървъри).

Фактът, че shellshock e открит в популярния софтуер Bash, който е част от операционните системи на милиони устройства по света, показва опасността от това, че приемаме софтуера за достатъчно сигурен и защитен. Стартъп компаниите пък нямат достатъчно ресурси, за да се предпазят от такива пропуски.

“По-малките компании просто нямат опита и ресурсите да се справят с проблема,” казва Лейниър.

Второ, технологията за производството на свързани в интернет устройства става все по-евтина. “В момента компаниите не се нуждаят от почти никаква експертиза, за да навлязат в бизнеса,” споделя Лейниър.

Експерти твърдят, че само по себе си това не е проблем, но привлича много предприемачи, които нямат достатъчно пари, за да платят на опитен софтуерен инженер (от 10 000 до 35 000 долара месечно), който да се погрижи за сигурността.

“Не искаме да отказваме хората да създават свързани устройства,” казва Станислав. “Но залогът е много голям и смятаме, че потребителите биват уверявани, че нещо е сигурно, когато то всъщност не е.”

Станислав и Лейниър поддържат и платформата buildsecure.ly, която улесня контакта между производители на свързани устройства с талантливи разработчици, които могат да откриват и поправят евентуални пропуски в сигурността.