Ustawodawcy walczą o lepszą ochronę urządzeń inteligentnych

Pierwszy sygnał alarmujący o tym, że urządzenia IoT stanowią faktyczne zagrożenie, pojawił się w październiku 2016 roku. Wtedy to botnet — złożony z urządzeń takich jak kamery bezpieczeństwa zainfekowane przez złośliwe oprogramowanie Mirai — zaatakował firmę Dyn, dostawcę usług DNS. Był to atak typu DDoS (Distributed Denial of Service — rozproszona odmowa usługi) na serwery firmy Dyn. Co sekundę wysyłanych było wiele żądań, przez co padły witryny internetowe w całych Stanach Zjednoczonych i Europie, ponieważ serwery DNS zostały przeciążone żądaniami pochodzącymi z milionów zainfekowanych urządzeń.

W ciągu ostatnich kilku lat przyzwyczailiśmy się już, że zabezpieczenia wielu urządzeń IoT są w opłakanym stanie. W tym tygodniu pojawiły się jednak dobre wieści. Brytyjski rząd opublikował raport dotyczący zabezpieczeń urządzeń IoT. Raport zawiera między innymi proponowany kodeks postępowania w zakresie wszystkich urządzeń mających połączenie z Internetem.

Czasami działania podejmowane przez rządy w kontekście nowych technologii są dość nieporadne (pamiętamy oświadczenie australijskiego premiera Malcolma Turnbulla, w którym stwierdził on, że prawo australijskie jest ważniejsze niż prawa matematyki). Jednak Departament Kultury, Mediów i Sportu rządu Wielkiej Brytanii słusznie zajął się problemami z zabezpieczeniami urządzeń IoT i zaproponował zastosowanie kodeksu sensownych norm.

Przede wszystkim zaproponowano zrezygnowanie z domyślnego hasła. Stanowiło ono słabą stronę większości tych urządzeń. Użytkownicy często nie wiedzieli nawet, że ich urządzenie nie ma unikatowego hasła (lub że powinni zmienić hasło na nowym urządzeniu). Rozwiązanie to powinno zatem przyczynić się do znacznego zwiększenia bezpieczeństwa urządzeń IoT.

Opracowany kodeks postępowania postuluje także utworzenie zasad ujawniania luk w zabezpieczeniach, co dałoby szereg korzyści:

• Badacze i inne osoby mogłyby łatwo nawiązać kontakt w celu zgłoszenia problemów.
• W razie potrzeby oprogramowanie byłoby aktualizowane, a działanie urządzenia byłoby ściśle monitorowane.
• Poświadczenia byłyby bezpiecznie przechowywane, a dane przesyłane przez Internet — szyfrowane.

Kodeks sugeruje również, że urządzenia i usługi powinny działać z uwzględnieniem zasady przydzielania minimalnych uprawnień. Polega to na przydzielaniu użytkownikom tylko takiego dostępu, jaki jest niezbędny. Ponadto oprogramowanie na urządzeniach jest weryfikowane za pomocą mechanizmów bezpiecznego uruchamiania, dzięki czemu oprogramowanie, które może być niebezpieczne, nie nawiąże połączenia bez zgody administratora.

W kodeksie poruszono także kwestię ochrony danych osobistych, odporności systemów na zaniki napięcia oraz możliwości usuwania danych osobistych przez użytkowników — co zostało również ujęte w Ogólnym rozporządzeniu o ochronie danych (RODO), które wchodzi w życie w całej Unii Europejskiej). Jak postulują twórcy kodeksu, instalacja i konserwacja urządzeń powinny przebiegać intuicyjnie, a dostawcy rozwiązań IoT powinni monitorować wszelkie gromadzone dane telemetryczne dotyczące problemów z zabezpieczeniami sprzętu lub oprogramowania. Wszelkie wprowadzane dane powinny być też weryfikowane, aby uniemożliwić naruszenie zabezpieczeń systemów przez celowo sformatowane dane lub kod.

W kontekście zabezpieczeń upłynie jeszcze sporo czasu, zanim urządzenia IoT będzie można uznać za niezawodne i bezpieczne. Historie takie jak wyciek danych rejestrowanych przez zabawki CloudPets z pewnością na długo pozostaną w pamięci specjalistów od zabezpieczeń, ale kodeks postępowania to bardzo dobry początek.

P jak prywatność

W tym tygodniu sympatycy Androida z uwagą śledzili plany Google dotyczące następnej wersji tego systemu operacyjnego dla urządzeń mobilnych. W środę zaprezentowano deweloperską wersję zapoznawczą systemu znanego na razie jako Android P.

Android od dawna jest uważany za mniej bezpieczną platformę. System ma korzenie open source, a do tego zapewnia szerokie możliwości w zakresie dostosowywania, co daje spore pole do ataku. Udostępnia przy tym raczej słabe mechanizmy kontroli prywatności. Jednak w najnowszej wersji firma Google skupiła się na funkcjach skuteczniej zabezpieczających ten system operacyjny.

Jedną z najważniejszych zmian wprowadzonych w systemie Android P będzie domyślne szyfrowanie całego ruchu w aplikacjach, chociaż deweloperzy będą mogli zrezygnować z tej opcji. Google oświadcza w  swoim wpisie na blogu, w którym anonsuje wersję zapoznawczą: „Połączenia będą realizowane z wykorzystaniem protokołu TLS, o ile celowo nie zrezygnujesz z tego na rzecz tekstu jawnego w określonych domenach”.

Kolejna dobra wiadomość: w nowej wersji aplikacje nie będą mogły korzystać z mikrofonu, aparatu ani czujników telefonu w trybie bezczynności, o ile jasno nie poinformują, że to robią. Google wyjaśnia deweloperom: „Kiedy identyfikator UID danej aplikacji jest bezczynny, mikrofon zgłasza puste dźwięki, a czujniki przestają zgłaszać zdarzenia. Aparaty używane przez aplikację zostają odłączone, a jeśli aplikacja spróbuje ich użyć, zostanie wyświetlony komunikat o błędzie”.

Android P zapewni też lepszą ochronę kopii zapasowych urządzenia w chmurze. Jeśli zechcesz przywrócić telefon, będziesz mieć do dyspozycji szereg zapisanych kopii zapasowych (tak jak teraz), ale aby z nich skorzystać, trzeba będzie podać na urządzeniu kod blokady. Kopie zapasowe będą zaszyfrowane, więc nie można będzie ich otworzyć bez kodu blokady. Nawet firma Google nie będzie mogła tego zrobić.

Przeglądanie Internetu również będzie bezpieczniejsze. Oprócz wymuszania ruchu HTTPS w aplikacjach Android P zamaskuje Twój adres MAC — unikatowy numer identyfikujący Twoje urządzenie w sieci. Będzie można wygenerować losowy adres MAC dla każdej sieci, dzięki czemu marketingowcy nie wyśledzą już tak łatwo Ciebie ani Twojego telefonu.

Wersja zapoznawcza jest już dostępna dla deweloperów, ale należy pamiętać, że jest to wersja wstępna, która może działać niestabilnie. Aby ją wypróbować, musisz ręcznie zainstalować tę wersję systemu. Obecnie wersja zapoznawcza jest dostępna tylko dla następujących urządzeń Google: Pixel, Pixel XL, Pixel 2 oraz Pixel 2 XL. Szerszy program beta prawdopodobnie pojawi się po majowej konferencji Google I/O.

Uber pozwany za wyciek danych

Uber znalazł się ostatnio w ogniu krytyki za swoją politykę w zakresie prywatności kierowców i klientów. Kolejny cios nadszedł w tym tygodniu w postaci pozwu ze strony prokuratora generalnego stanu Pensylwania, Josha Shapiro. Przyczyną pozwu przeciwko tej firmie przewozowej było nieujawnienie na czas wycieku danych.

Z zarzutów wynika, że Uber naruszył stanowe prawo nakazujące informowanie o wycieku danych, zatajając przechwycenie danych osobowych 13 500 kierowców ze stanu Pensylwania, które nastąpiło na skutek kradzieży danych przez cyberprzestępców w październiku 2016 roku.

Nie dość, że wykradziono dane dotyczące prawdopodobnie 57 milionów Amerykanów, to jeszcze, jak doniósł serwis Bloomberg w listopadzie zeszłego roku, Uber zapłacił domniemanym przestępcom okup w wysokości 100 000 USD, aby zataić kradzież danych.

Przez ponad rok Uber milczał na temat kradzieży, co zdaniem Shapiro oznacza, że „firma Uber naruszyła prawo stanu Pensylwania, ponieważ nie poinformowała na czas obywateli o tym masowym wycieku danych”.

Shapiro dodaje, że „zamiast poinformować klientów w rozsądnym czasie o wycieku danych Uber przez ponad rok ukrywał ten incydent, a nawet zapłacił hakerom za usunięcie danych i zachowanie milczenia. To oburzające zaniedbanie. Pozew ma na celu pociągnięcie firmy do odpowiedzialności i uzyskanie zadośćuczynienia dla poszkodowanych”.

Wprawdzie nie ma zdefiniowanego czasu, w jakim należy powiadomić o wycieku danych, ale zdaniem Shapiro i innych osób nieinformowanie o kradzieży danych przez ponad rok i (rzekome) podejmowanie działań mających na celu jej zatuszowanie wykracza poza określenie „w rozsądnym czasie”.