Aktualności
Badania
17 Marca
Opublikowano: 2023-03-17

Czy urządzenie Internetu Rzeczy jest bezpieczne?

Baza informacji o podatnościach urządzeń Internetu Rzeczy powstała w ramach projektu VARIoT, którego koordynatorem był Państwowy Instytut Badawczy NASK. Dzięki pracy naukowców każdy może w łatwy sposób sprawdzić, czy używany przez niego sprzęt jest podatny na ataki cyberprzestępców.

Internet Rzeczy (z ang. Internet of Things, IoT) to koncepcja bazująca na tworzeniu sieci urządzeń, wymieniających między sobą dane. Rozwijający się rynek IoT oznacza nie tylko wygodę dla końcowego użytkownika, ale niesie za sobą też wiele korzyści dla gospodarki, kreując nowe obszary zastosowań urządzeń, a co więcej – ma potencjał rozwoju właściwie we wszystkich jej sektorach, od energetyki, przez telekomunikację, aż po ochronę zdrowia. Coraz większa liczba urządzeń podłączonych do Internetu Rzeczy – m.in. sprzętu RTV i AGD, urządzeń medycznych, samochodów – i znaczący wzrost ruchu sieciowego nie pozostanie jednak bez wpływu na cyberbezpieczeństwo.

Temu wyzwaniu stawili czoło uczestnicy projektu VARIoT („Vulnerability and Attack Repository for IoT”). W przedsięwzięciu koordynowanemu przez NASK – PIB brali udział partnerze z Niderlandów (Stichting The Shadowserver Foundation Europe), Luksemburga (Security Made In Letzebuerg G.I.E.), Francji (Institut Mines-Télécom) i Hiszpanii (Mondragon Goi Eskola Politeknikoa Jose Maria Arizmendiarrieta S COOP).

Uniwersalna baza danych o urządzeniach IoT

Głównym zadaniem specjalistów NASK w projekcie było utworzenie uniwersalnej bazy informacji o podatnościach i eksploitach urządzeń IoT. Wymagało to pozyskania jak największej liczby wysokiej jakości źródeł informacji. Ich mnogość wymaga rozwiązania problemu selekcji i agregacji danych w celu pozyskania przydatnych informacji. Wprawdzie istnieje kilka bardzo popularnych (także narodowych) baz podatności i eksploitów, jednakże większość z nich nie jest zbyt przydatna w kontekście urządzeń Internetu Rzeczy, gdyż zawierają przede wszystkim informacje o produktach spoza IoT.

Wiele informacji dotyczących podatności i eksploitów urządzeń Internetu Rzeczy można znaleźć m.in. na stronach internetowych, w raportach dostępnych w internecie, czy zwykłych wpisach na różnorodnych blogach. Dlatego też zespół stworzył narzędzie – wyszukiwarkę, pozwalającą na przeszukiwanie internetu pod kątem informacji o podatnościach i eksploitach oraz dodawanie tych informacji do bazy danych. Wykorzystano do tego metody uczenia maszynowego oraz przetwarzania języka naturalnego.

Zrobiono więcej, niż zakładano

Dane na temat podatności w założeniu miały być publicznie dostępne poprzez europejski portal danych. Okazało się, że naukowcom z NASK-u udało się zrobić nawet więcej.

Z naszej strony udało się to z nawiązką, bo zrobiliśmy również rzeczy, które z naszej perspektywy są bardziej wartościowe z punktu widzenia kraju. Mieliśmy udostępnić dane tylko za pośrednictwem europejskiego portalu otwartych danych, ale przecież w Polsce też mamy portal z takimi danymi. Postanowiliśmy to powiązać. Przysporzyło nam to wprawdzie sporo pracy i było dość stresujące, gdyż okazało się, że europejski portal otwartych danych nie pobiera tych informacji z polskiego odpowiednika we właściwy sposób. Finalnie jednak się udało – podkreśla koordynatorka projektu dr Anna Felkner, kierowniczka Pionu Systemów Cyberbezpieczeństwa i Zakładu Systemów Bezpieczeństwa Informacji w NASK – PIB.

Ponadto powstał portal, na którym można nie tylko wyszukiwać i przeglądać informacje, ale również pobrać je przez API. Dane z projektu VARIoT są też zaciągane do rozproszonej platformy do wymiany i analizy informacji o zagrożeniach (threat intelligence) MISP.

Korzyści z VARIoT-a

Efekty pracy ekspertów zaangażowanych w projekt przydadzą się właścicielom sieci, specjalistom, którzy zajmują się badaniem cyberbezpieczeństwa czy zespołom CSIRT.

Mamy nadzieję, że nasza baza informacji o podatnościach przysłuży się do zwiększenia świadomości na temat zagrożeń związanych z urządzeniami Internetu Rzeczy. Jeśli ktoś będzie chciał kupić jakieś urządzenie, może wejść na stronę i wyszukać, np. producenta czy rodzinę urządzeń oraz sprawdzić, czy mają jakieś podatności krytyczne. Są tam też informacje o tym, jak szybko takie podatności są łatane, czy producent przejmuje się takimi sytuacjami i czy w ogóle na to reaguje – objaśnia koordynatorka projektu.

Projekt był realizowany w ramach dofinansowania z programu Connecting Europe Facility (CEF).

źródło: NASK – PIB

Dyskusja (0 komentarzy)