„Október 21-én nagyarányú irányított szolgáltatásmegtagadással (DDoS) járó, túlterheléses támadás indult az Egyesült Államokban a Dyn domainnév-szerverei ellen, ami miatt olyan nagy látogatottságú, népszerű oldalak álltak le, mint a Twitter, az Amazon, a Netflix vagy a Spotify. A támadás a rendszerbe kapcsolt okos eszközök – digitális kép- és hangrögzítők, biztonsági kamerák, hűtőgépek, termosztátok etc. – sérülékenységét aknázta ki, valóságos „bot (robot) hadsereget” teremtve ezzel. (A „bot” a „robot” szó rövidítése az angolszász terminológiában, amit automatizált informatikai műveletek elvégzésére használnak. Hálózatba szervezve „botnet”-ekről beszélünk – szerk.) A Daily Dot szerint azonban a támadásnak volt egy „rejtett áldása” is. Anélkül, hogy a kritikus infrastruktúrában vagy az egészségügyi hálózatban kárt tett volna, felhívta a kormányzati szereplők figyelmét a Tárgyak Internetében (Internet of Things, IoT) rejlő biztonsági kockázatra. (A támadást amúgy az első feltételezésekkel ellentétben nem állami szereplők indították, hanem olyan hekkerek, akiket egy erre szakosodott weboldalon akár 20 dollárért is fel lehet bérelni egy ilyen akcióra.)
Amint arról a szakportál is beszámolt, az üggyel kapcsolatban a Képviselőház energetikai és kereskedelmi bizottsága együttes ülést tartott, bevonva mindkettő infokommunikációs és technológiai albizottságait is a munkába. Az ülésen elismert szakemberek fejtették ki álláspontjukat a tárgyak internetének biztonsági kockázataira, riasztó figyelmeztetést fogalmazva meg a kormányzat számára. Mint elhangzott: egy amerikai ember átlagosan 3,4 IoT-eszközt birtokol, számuk 2020-ra 50 milliárdra fog várhatóan nőni. Minden egyes ilyen eszköz biztonsági kockázatot jelent, ami kihathat a kórházak, üzleti vállalkozások és létfontosságú szolgáltatók működésére is. Egy ezeken keresztül is végrehajtható DDoS támadás pedig óránként akár 250 ezer dolláros kárt is okozhat.
A portál a megszólaló szakértők közül Bruce Schneier álláspontját részletesen is ismerteti, akinek fő üzenete az volt: a játék és szórakozás internetes kora lejárt, mivel a világháló mára veszélyessé vált. Mint bevezetőjében elmondta: ma már nem arról van szó, hogy számítógép van mindenben, hanem hogy minden számítógéppé vált. Az okostelefon nem telefon, hanem egy számítógép, amivel telefonálni lehet. A hűtőszekrény olyan számítógép, amivel hűteni és fagyasztani lehet. Az ATM olyan számítógép, amivel készpénzt lehet felvenni. Az autónk nem olyan jármű, amelybe számítógépet építettek, hanem olyan számítógép, aminek motorja és négy kereke van. Mindezek együtt alkotják a tárgyak internetét, amelyen keresztül a nevezetes DDoS támadást is indították.
Schneier a meghallgatáson elmondta: mivel a komplexitás a biztonság legnagyobb ellensége a biztonságnak, az internet pedig a emberi kéz alkotott rendszerek közül legösszetettebb, a támadóknak mindig nagy előnye lesz. A támadás egy ilyen komplex rendszerben mindig könnyebb, mint a védekezés. A sérülékenységet éppen az összekapcsolódások nagy száma adja, így egyszerű képrögzítőkön és webkamerákon keresztül is lehet honlapokat támadni. Az internet ráadásul megsokszorozza a támadó erejét. Amikor eszközök milliói támadták egyszerre a Dyn szervereit, olyan méretű akcióról beszélünk, ami korábban elképzelhetetlen volt. A „leszivárgás” ráadásul nem oldja meg a problémát, vagyis a piac önmagában a keresleten és kínálaton keresztül nem oldja meg a biztonsági problémákat. Ennek egyik oka, hogy miközben számítógépet vagy okostelefont viszonylag gyakran cserélünk, a biztonsági megoldásokat pedig folyamatosan frissítjük, addig egy digitális kép- és hangrögzítőt, autót vagy hűtőszekrényt jóval nagyobb időközönként cserélünk – egy termosztátot talán soha. Ráadásul miközben az informatikai cégek sok időt és pénzt áldoznak számítógépeink biztonságának fejlesztésére, az olcsóbb eszközök biztonságára már korántsem.Schneier szerint a kormányzat nem vonulhat ki az IoT biztonságának szabályozásából. Leginkább olyan állami ügynökséget javasol, mint amilyeneket a nukleáris energiafelhasználás vagy a légiforgalom szabályozására hoztak létre. Mint elmondta: nem is az a kérdés, hogy az államot be kell-e vonni, vagy sem, hanem hogy „okos államot” vagy „buta államot” vonunk be a szabályozásba.
Szintén az október 21-ei DDoS támadás ihlette James Stavridis és Dave Weinstein cikkét a Foreign Policy hasábjain pár héttel korábban. Markánsan fogalmazott címe szerint a tárgyak internete kiberháborús rémálom. Mint írják: korábban a nagyerejű kibertámadásokat hadseregek, titkosszolgálatok vagy államok szolgálatában álló hackerek követték el. Ezek bármennyire is veszélyesek voltak, mindig volt felettük olyan kontroll, ami féken tartotta ezeknek a támadásoknak a romboló erejét. A mostani eset viszont azt mutatja, hogy immár nem állami szereplők is aránytalanul nagy károkat tudnak okozni, mivel az eredményes támadáshoz szükséges „belépési küszöb” lényegesen lejjebb került. Ilyen esetekben a destabilizáló erőt sem diplomáciai, sem rendvédelmi megfontolások nem korlátozzák. Az ilyen támadókat nem kötik sem földrajzi-politikai határok, sem a területi fennhatóság. Emiatt a hagyományos hadviselésben bevált elrettentési stratégia sem működik, mivel a támadónak nem kell tartania az őt, szűkebb környezetét vagy akár országát érő válaszcsapástól.
A belépési küszöb alacsonyra kerülésének oka az, hogy az IoT robbanásszerű növekedésével extrém mértékben megnőtt az a terep, amelyen a támadást végrehajthatják. A mindenütt jelen lévő okoseszközök pedig a tárgyak internetén keresztül olyan botneteket hoznak létre, amelyek valóságos zombihadsereggé válhatnak.
A védekezés módjára szerzők azt javasolják, hogy a gyártók felé érvényesítsünk szigorúbb biztonsági követelményeket. Jobb technológiákra is szükség van annak érdekében, hogy az IoT-eszközök sérülékenységét valós időben tudjuk kezelni. Mindezzel együtt felhasználói oldalon is nagyobb tudatosságra, elővigyázatosságra van szükségünk. Ahogy az influenza ellen is védekezünk úgy, hogy kezünket köhögéskor szánk elé helyezzük, elkülönítjük magunkat a fertőzött emberektől, rendszeresen kezet mosunk, ugyanígy szükséges lenne eszközeinket is távol tartani mindenféle rosszindulatú külső behatolástól.”
Forrás:
Bruce Schneier: ‘The internet era of fun and games is over’; Austin Powell; The Daily Dot; 2016. november 16.
Experts issue dire warning to government about the Internet of Things; Austin Powell; The Daily Dot; 2016. november 16.
The Internet of Things Is a Cyberwar Nightmare; James, Stavridis, Dave Weinstein; Foreign Policy; 2016. november 3.