Εισαγωγή:
Σε έναν όλο και πιο συνδεδεμένο κόσμο, η ευπάθεια της ψηφιακής υποδομής μας έχει αναδειχθεί σε ανησυχία κρίσιμης σημασίας. Το πρόσφατο περιστατικό, που αφορούσε πασίγνωστο κατασκευαστή ηλεκτρονικού, ηλεκτρολογικού υλικού και συστημάτων ασφαλείας, έχει φέρει ξανά στο προσκήνιο την επείγουσα ανάγκη για αξιόπιστα μέτρα κυβερνοασφάλειας στον τομέα των έξυπνων συστημάτων συναγερμού.
Το περιστατικό αποκάλυψε μια ευπάθεια που επέτρεπε τη μη εξουσιοδοτημένη πρόσβαση σε δεκάδες χιλιάδες συστήματα συναγερμού του συγκεκριμένου κατασκευαστή, υπογραμμίζοντας την ανάγκη της εκ βάθους αξιολόγησης όλων των κατασκευαστών και του βαθμού τήρησης αυστηρών προτύπων ασφαλείας. Καθώς η τεχνολογία συνεχίζει να προχωρά, είναι απαραίτητο, τόσο οι καταναλωτές όσο και οι ενδιαφερόμενοι φορείς του κλάδου, να αναγνωρίσουν τη σημασία της προτεραιότητας που πρέπει να δίνεται στην κυβερνοασφάλεια. Ο μέσος καταναλωτής θεωρεί ότι η ευθύνη του στην επιλογή του κατασκευαστή περιορίζεται στο ποιος διαθέτει την εντυπωσιακότερη στρατηγική marketing. Η αλήθεια είναι πως και ο ίδιος ο καταναλωτής φέρει ευθύνη στην αξιολόγηση, αλλά οφείλουμε να παραδεχτούμε ότι συνήθως δε διαθέτει τις απαραίτητες γνώσεις για να προβεί στην κατάλληλη επιλογή. Η ευθύνη του επαγγελματία από την άλλα, δεν πρέπει να σταματάει στον κατάλληλο σχεδιασμό και στην ορθή εγκατάσταση. Ο επαγγελματίας έχει ευθύνη να αξιολογήσει και να επιλέξει σοβαρούς και αξιόπιστους κατασκευαστές, καθώς ο καταναλωτής αποθέτει την ασφάλειά του στα χέρια του.
Το κενό ασφάλειας και η διαρροή ευαίσθητων πληροφοριών:
Ο Έλληνας ερευνητής ασφάλειας, Βαγγέλης Στύκας, έκανε μια εντυπωσιακή διάγνωση όταν εντόπισε μια ευπάθεια ασφαλείας στην cloud-based πλατφόρμα του εν λόγω κατασκευαστή. Αυτό το σύστημα επέτρεπε στους τελικούς πελάτες να διαχειρίζονται απομακρυσμένα τα συστήματα συναγερμού τους, μέσω μιας εφαρμογής για κινητά τηλέφωνα. Ωστόσο, η ευπάθεια, γνωστή ως “insecure direct object reference” ή όπως είναι γνωστή στον κλάδο της πληροφορικής IDOR, επέτρεψε σε οποιονδήποτε τρίτο πρόσωπο, ναα εγγραφεί ως νέος χρήστης και να αποκτήσει πρόσβαση σε άλλες ομάδες χρηστών, συμπεριλαμβανομένης της κεντρικής ομάδας που είχε τον έλεγχο όλων των συνδεδεμένων συστημάτων συναγερμού.
Εκμεταλλευόμενος την ευπάθεια του IDOR, ο Στύκας διαπίστωσε ότι η απλή εντολή να ανατεθεί ένας νέος χρήστης στην κεντρική ομάδα παρείχε απεριόριστη πρόσβαση σε ευαίσθητες πληροφορίες, όπως ονόματα χρηστών, διευθύνσεις email και θέσεις κάθε συνδεδεμένου συστήματος συναγερμού. Παρότι ο Στύκας αναφέρει ότι δεν προσπάθησε να ελέγξει απομακρυσμένα τα συστήματα συναγερμού, ήταν εμφανές ότι, εκτός της μη εξουσιοδοτημένης επεξεργασίας ευαίσθητων δεδομένων, προέκυπτε και η παράνομη πρόσβαση στον έλεγχο των συστημάτων.
Η σημασία της αξιολόγησης των κατασκευαστών:
Σε προηγούμενο άρθρο μου, ΤΕΥΧΟΣ 84, ΝΟΕΜΒΡΙΟΣ – ΔΕΚΕΜΒΡΙΟΣ 2019, ανέφερα τους κινδύνους που προκύπτουν από τη διασύνδεση των συστημάτων συναγερμού με cloud-based πλατφόρμες. Επισυνάπτω απόσπασμα από το τεύχος:
«Η ευθύνη λειτουργίας του cloud που χρησιμοποιούμε για να ενωθούμε σε ένα σύστημα, ανήκει στην εταιρεία κατασκευής του συστήματος. Η λειτουργία του cloud συχνά παρέχεται ως υπηρεσία από εξωτερικό συνεργάτη, λόγω έλλειψης τεχνογνωσίας του κατασκευαστή. Αυτόματα προκύπτουν σημαντικά ερωτήματα. Ο κατασκευαστής ή ο συνεργάτης τηρούν τα διεθνή πρότυπα ασφαλείας; Η πλατφόρμα διαχείρισης είναι εγκατεστημένη – παρέχεται από εγνωσμένης αξίας παγκοσμίου φήμης πλατφόρμας π.χ Microsoft ή Amazon, με τα απαραίτητα διαπιστευτήρια; Η εφαρμογή του χρήστη και του επαγγελματία είναι ελεγμένη από αξιόπιστο ελεγκτικό οίκο για «τρύπες» ασφαλείας;
Η προσωπική μου έρευνα αλλά και της ομάδας Μηχανικών – IT της SDC τα τελευταία 5 χρόνια δείχνει ότι πολλοί κατασκευαστές συστημάτων συναγερμού δεν έχουν πάρει ακόμα σοβαρά την ασφάλεια των προϊόντων τους. Σημαντικά κενά ασφαλείας προκύπτουν τόσο από την επικοινωνία των χρηστών με τους servers, όσο και από τις ίδιες τις εφαρμογές που ελέγχουν απομακρυσμένα το σύστημα συναγερμού.»
Το άρθρο γράφτηκε πριν σχεδόν 4 χρόνια αλλά το θέμα δυστυχώς παραμένει επίκαιρο.
Το κενό ασφάλειας στην πλατφόρμα του συγκεκριμένου κατασκευαστή αποτελεί ένα ισχυρό πλήγμα στη βιομηχανία των συστημάτων συναγερμού και αναγάγει την ανάγκη να δοθεί προτεραιότητα στην κυβερνοασφάλεια σε όλα τα επίπεδα. Οι επαγγελματίες πρέπει να επιδείξουν την απαιτούμενη προσοχή κατά την επιλογή κατασκευαστή, στον οποίο ουσιαστικά εμπιστεύονται το branding τους αλλά κυρίως την αξιοπιστία που προβάλλει η εταιρεία τους. Η αυστηρή αξιολόγηση του ιστορικού του κατασκευαστή, της συμμόρφωσής του με τα πρότυπα ασφαλείας και της δέσμευσης του στην κυβερνοασφάλεια, πρέπει να αποτελούν θεμέλιο στην αξιολόγηση αυτής της διαδικασίας.
Συχνά αναφέρομαι σε ομιλίες και σε άρθρα μου που αφορούν στην επιβίωση του επαγγελματία του κλάδου της ασφάλειας. Τέτοια περιστατικά, σε συνάρτηση με τη δύναμη που έχει αποκτήσει ο καταναλωτής με τη χρήση των μέσων κοινωνικής δικτύωσης, μπορούν να επιφέρουν ανεπανόρθωτο πλήγμα σε μια εταιρεία διανομής ή εγκατάστασης, αλλά κυρίως στον επαγγελματία προσωπικά.
Τα περιστατικά είναι πολλά, τα οποία δυστυχώς δεν αναδεικνύονται στην Ευρώπη για λόγους που όλοι καταλαβαίνουμε, και αφορούν γνωστούς αλλά και άγνωστους κατασκευαστές χωρίς διακρίσεις.
Η τεχνολογία εξελίσσεται, άρα η μόνη επιλογή, τουλάχιστον μέχρι να εφαρμοστούν τα πρότυπα από όλους, βρίσκεται στα χέρια του επαγγελματία, ο οποίος όμως πρέπει να εξελιχθεί και να διεκδικήσει ο ίδιος και η εταιρεία του μια θέση στη νέα εποχή.