SVEUCILIŠTE U ZAGREBU

FAKULTET ELEKTROTEHNIKE I RACUNARSTVA

SEMINAR

IoT Security Analysis

Domagoj Dalic

Voditelj: prof. dr. sc. Predrag Pale

Zagreb, sijecanj, 2018.

Sadržaj

1. Uvod . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

2. IoT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22.1. IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

3. IoT ranjivosti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43.1. Zašto je sigurnost IoT-a bitna? . . . . . . . . . . . . . . . . . . . . . . . . 43.2. Top 10 IoT ranjivosti . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53.3. Što je napravljeno povodom toga . . . . . . . . . . . . . . . . . . . . . . 63.4. Što još treba napraviti . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

4. Zakljucak . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

5. Literatura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

1. Uvod

Dobrodošli u doba interneta stvari (IoT), gdje digitalno povezani uredaji postoje usvakom aspektu našeg života, ukljucujuci naše domove, urede, automobile, pa caki naše tijelo. Pojavom IPv6 protokola i širokim pojasom Wi-Fi mreža, broj uredaja sasvojom IP adresom raste u opasno brzom ritmu, a istraživaci procjenjuju da ce do 2020.godine broj aktivnih bežicnih uredaja biti veci od 40 milijardi. [1]

To nam omogucuje stvari koje nekada nismo mogli ni zamišljati. Pametni i održivigradovi postaju sve normalnija pojava, industrija ovom tehnologijom doživljava novu re-voluciju, promet je lakše organizirati, a sve je to moguce jer nam IoT pruža "najvrjednijustvar"; informaciju.

Kao i svaka nova korisna tehnologija, posebno ona koja prenosi informacije postajesve atraktivnija meta za cyber-kriminalce. Više povezanih uredaja znaci više napa-dackih vektora i više mogucnosti hakerima. Sigurnost unutar Interneta stvari još je naniskoj razini i ukoliko se zajednica u vecoj mjeri ne posveti ovome problemu možemose suociti s neizbježnom katastrofom. Koji su to propusti, kako ih riješiti i zašto bi se tajloš ishod mogao nazivati tako grubom rijeci kao što je katastrofa opisano je u nastavkuseminara.

1

Slika 1: "Stvar" u internetu stvari

2. IoT

Internet stvari (IoT) je sustav medusobno povezanih racunalnih uredaja, mehanic-kih i digitalnih strojeva, predmeta, životinja ili ljudi koji imaju jedinstvene identifikatore isposobnost prijenosa podataka preko mreže bez potrebe za interakcijom covjeka.

Stvari, u Internetu stvari, mogu biti osoba s implantatom za srcani monitor, automo-bil koji ima ugradene senzore koji upozoravaju vozaca kada je tlak u gumama nizak - ilibilo koji drugi prirodni ili umjetni objekt kojem može biti dodijeljena IP adresa i koji imamogucnost prijenosa podataka preko mreže (Slika 1).

Kao što je navedeno, svaki uredaj mora imati svoj ID odnosno adresu. Zbog togaje IPv6 protokol svojim rasponom adresa idealan protokol za ovakve uredaje i opisanje u nastavku (poglavlje 2.1.). Ta velika kolicina uredaja ostvaruje i velik promet, no tonije tema ovog seminara pa se rješavanje tog problema nece dalje provoditi, a za višeinformacija može se istražiti protokol 6LoWPAN.

2.1. IPv6

S obzirom da je IP adresa u verziji IPv4 propisane duljine od 32 bita, lako je izracu-nati da je maksimalni broj razlicitih adresa 232, ili približno 4, 3∗109 odnosno 4,3 milijardeadresa. Iako se taj broj cini prilicno velikim, širenje Interneta i rast potrebe za novimIP adresama doveli su do toga da je taj adresni prostor postao daleko premali za svepotrebe. Rješenje tog problema pronalazi se u novom IPv6 protokolu. Ogromno pove-canje adresnog prostora IPv6 protokola važan je cimbenik u razvoju Interneta stvari.Prema Steveu Leibsonu, koji se identificira kao "povremeni docent u Muzeju povijestiracunala u San Franciscu", širenje adresnog prostora znaci da možemo dodijeliti IPV6adresu svakom atomu na površini zemlje, a još uvijek imamo dovoljno adresa za to još

2

Slika 2: IPv6 revolucija

100 zemlja. "Drugim rijecima, ljudi bi lako mogli dodijeliti IP adresu svakoj "stvari" naplaneti.

Ocekuje se povecanje broja pametnih cvorova, kao i kolicina podataka u uzvodnojgeneraciji cvorova, koji ce izazvati nove probleme vezane uz privatnost, suverenitet isigurnost podataka.

3

3. IoT ranjivosti

U ovome poglavlju opisane su glavne ranjivosti IoT uredaja, ali i popratne opreme.Prvo je opisano zbog cega je sigurnost bitna, nakon toga opisana je lista ranjivosti i nakraju što je povodom toga napravljeno i što je još potrebno napraviti.

3.1. Zašto je sigurnost IoT-a bitna?

Odgovor na pitanje koje se nalazi u naslovu poglavlja najlakše je dati primjerima,a oni su navedeni u nastavku. Nakon što je osoba prijavila da je baby monitor njenogdjeteta hakiran provedeno je istraživanje i u velikoj vecini takvih IoT uredaja pronadenisu sigurnosni propusti koji omogucuju hakerima upravljanje uredajem sa drugog krajasvijeta. To znaci da u bilo kojem trenutku mogu gledati dijete na kameri, slušati zvukovei ovisno o uredaju paliti i gasiti odredene funkcionalnosti[2].

Sljedeci primjer vezan je uz auto industriju. Nedavni nedostatak osnovne tehno-logije šifriranja ostavila je BMW-ova vozila s sigurnosnim nedostatkom koji bi mogaoomoguciti hakerima otkljucavanje vrata do 2.2 milijuna dolara vrijednog Rolls-Roycea,Minia i naravno BMW-ovih vozila. Kod nekih automobila propust je bio dovoljan samoza upravljanje multimedijskim sustavom ili otkljucavanje vrata [5], dok je kod drugih cakbio dovoljan za gašenje vozila u pokretu što može završiti cak i kobno [4].

Propuste imaju i pametni satovi koji mogu otuditi informacije o covjekovom fizickomstanju, lokaciji, pa cak i mogucnost posrednog hakiranja pametnog telefona spojenogsa njim [8]. Još jedan bitan primjer je hakiranje pacemakera, uredaja koji upravljastimulacijom srca kod srcanih bolesnika [3]. Rezultat ovog propusta nije potrebno do-datno komentirati.

Istraživanje firme SophosLabs pokazalo je da cyber-kriminalci sada iskorištavajurazlicite ranjivosti linuksa sa ciljem da pridobiju kontrolu IoT uredaja za pokretanjeDDoS napada[7].

4

3.2. Top 10 IoT ranjivosti

OWASP (Otvoreni projekt web aplikacija za sigurnost) proveo je detaljno istraživa-nje sa ciljem pronalaska 10 najvecih sigurnosnih ranjivosti Interneta stvari. Rezultatiistraživanja 2014. godine [6] rezultirali su sljedecim ranjivostima:

1. Nesigurno web sucelje - ukoliko na primjer web sucelje ima funkcionalnost zabo-ravljene lozinke i nema kontrole blokiranja racuna moguce je pronaci korisnickoime koje postoji u bazi i pronaci lozinku korištenjem grube sile (eng. brute-forcemethod). Takoder postoji i mogucnost XSS napada kojim se može zlouporabitiuredaj

2. Nedovoljna autentifikacija / autorizacija - ukoliko sucelje zahtjeva jednostavne lo-zinke ili se prijenos lozinke preko mreže slabo zaštiti postoji mogucnost pogada-nja ili otkrivanja lozinke

3. Nesigurni mrežni servisi - postoji mogucnost rušenja uredaja pomocu Fuzzy na-pada na servis ili ukoliko postoje otvoreni portovi koji korisniku nisu poznati, amogu se iskoristit za neovlašteni ulazak

4. Nedostatak enkripcije u transportu - ukoliko sucelje koristi samo HTTP ili se koris-nicki podaci prenose nekriptirano preko mreže (npr. u URL-u) dolazi do opasnostiod prisluškivanja lozinke

5. Zabrinutosti u privatnosti - ukoliko se na uredaju nalaze privatni podaci kao što sudatum rodenja, adresa, broj telefona ili pak podaci o bankovnim racunima, hakeriih mogu iskoristiti za kradu identiteta ili racuna

6. Nesigurno cloud sucelje - ukoliko reset lozinke odaje postoji li taj korisnik ili su tipodaci slabo zašticeni tijekom prijenosa na mreži moguce je saznati podatke zaautentifikaciju

7. Nesigurno mobilno sucelje - isti propusti kao i kod cloud sucelja: ukoliko resetlozinke odaje postoji li taj korisnik ili su ti podaci slabo zašticeni tijekom prijenosana mreži moguce je saznati podatke za autentifikaciju

8. Nedovoljna sigurnost konfiguracije - ne mogucnost provodenja jake zaporke ili nemogucnost kriptiranja spremljenih podataka pretstavlja veliki problem sigurnostisustava

9. Nesiguran software/firmware - ažuriranje preko HTTP-a ili slanje nekriptiranih po-dataka za ažuriranje omogucava napadacu prisluškivanje tih podataka koje kas-nije može zlouporabiti

5

10. Loša fizicka sigurnost - ukoliko se uredaj može lagano rastaviti i podatke spremana nekriptiranu SD karticu ili uredaj ima USB portove koji nisu zašticeni postojiopasnost od fizicke krade podataka

Ove ranjivosti prikazuju koliko je IoT "mlada" tehnologija, barem što se tice sigur-nosne strane.

3.3. Što je napravljeno povodom toga

Nakon što je Jeep Cherokee hakiran (poglavlje 3.1.), proizvodac automobila Fiatbrzo je izdao sigurnosnu zakrpu za 1.4 milijuna americkih automobila i kamiona. Cijelaepizoda takoder je služila kao poziv za budenje cijeloj IoT industriji. Sada se sigur-nosna poduzeca i proizvodaci pridružuju pozivu kako bi pomogli u osiguravanju IoT-aprije nego izmakne kontroli. Firma Gemalto, koristeci svoje iskustvo u industriji mo-bilnih placanja, nudi svoju tehnologiju Secure Element proizvodacima u automobilskoji drugoj industriji. Microsoft takoder ulazi u borbu i obecao je da ce dodati BitLockeršifriranje i tehnologiju Secure Boot na Windows 10 IoT, veliki operacijski sustav za IoTuredaje i platforme kao što je Raspberry Pi. Pitanje o predmetu zaštite IoT uredajaizazvalo je nove saveze. Sastanakom vodecih tehnoloških tvrtki, ukljucujuci Vodafone,osnovan je Internet of Things Security Foundation (IoTSF), neprofitno tijelo koje cebiti odgovorno za provjeru IoT uredaja na ranjivosti i nedostatke te ce ponuditi sigur-nosnu pomoc tehnološkim pružateljima sustava te krajnjim korisnicima. IoTSF se nadapodizanju svijesti kroz suradnju medu tvrtkama i poticanju proizvodaca da razmotresigurnost IoT uredaja na razini sklopovlja. Druge tvrtke rade na postavljanju platformikoje ce omoguciti velikim mrežama uredaja zašticenu identifikaciju i autentifikaciju kakobi se osigurala veca sigurnost i sprijecila krada podataka. Takoder se provode istra-živanja kako bi se poboljšala sigurnost IoT-a putem povezivanja uredaja i pametnihtelefona.

3.4. Što još treba napraviti

Iako je napor za rješavanje sigurnosnih pitanja u vezi s IoT uredajima velik, on nijedovoljan da se može sigurno iskoristiti puna snaga ove nove tehnologije u sigurnomokruženju. Kao prvo, pristupnici (eng. gateway) koji povezuju IoT uredaje sa kom-panijama i proizvodacima preko mreže trebaju biti jednako sigurni kao i sami uredaji.IoT uredaji su uvijek povezani i ukljuceni. Za razliku od uredaja upravljanih ljudima,prolaze kroz jednokratni proces provjere autenticnosti, koji ih na taj nacin cini savrše-nim izvorom infiltracije cyber kriminalaca u mrežu kompanija i proizvodaca. Takoder,

6

potrebno je uložiti još više napora kako bi se osigurali IoT podaci vezani uz privatnostpotrošaca i funkcionalnost poduzeca i korporacija. Na meti su i ogromna spremištaIoT podataka koja postaju atraktivni ciljevi korporativnih hakera i industrijskih špijunakoji se oslanjaju na velike kolicine podataka kako bi ostvarili dobit. Tu takoder morapostojati zdravi plan za instaliranje sigurnosnih zakrpa na IoT uredaje. Svaki potrošacuskoro ce vjerojatno imati stotine povezanih uredaja. Ideja rucnog instaliranja zakrpana toliko uredaja definitivno nije dobra, ali njihovo automatsko osvježavanje od straneproizvodaca takoder može biti riskantno. Potrebno je osigurati odgovarajuce zaštitnemjere kako bi se sprijecilo da ažuriranje sustava postane sigurnosni propust.

7

4. Zakljucak

Ocigledno je da ce IoT vrlo brzo postati važan dio našeg života, a njegova je si-gurnost jedno od glavnih pitanja koja moraju biti riješena aktivnim sudjelovanjem cijeleglobalne tehnološke znacajke. Kao što je bitna sigurna samih uredaja, takoder je jed-nako bitna i sigurnost komunikacije sa serverom i proizvodacem.

8

5. Literatura

[1] ABIresearch. The internet of things will drive wireless connected devices to 40.9billion in 2020, 2014. [Online; accessed 22-1-2018].

[2] Arstechnica. Baby monitors wide open to hacks that expose users most privatemoments, 2015. [Online; accessed 21-1-2018].

[3] Itnews. Hacked terminals capable of cousing pacemaker mass murder, 2015.[Online; accessed 21-1-2018].

[4] Latimes. Hackers remotely kill jeep highway, 2015. [Online; accessed 21-1-2018].

[5] Latimes. La fi hy car hacking, 2015. [Online; accessed 21-1-2018].

[6] Owasp. Top 10 iot vulnerabilities, 2014. [Online; accessed 21-1-2018].

[7] Scmagazine. Linux, iot, android and macos expected in 2017 sophoslabs, 2017.[Online; accessed 21-1-2018].

[8] Techworm. Smartwatches vulnerable to hacking says researchers, 2015. [Online;accessed 21-1-2018].

9