Bezpečnost dat v přenosu IoT
Pro sběr dat z logistických center nebo obchodních center je stále ve větším rozsahu používána technologie IoT, kterou představují systémy WACO, SIGFOX, Lora a NB IoT. Tyto technologické sítě se implementují pro sběr dat z měřidel různých senzorů teploty, vlhkosti, záplavových čidel dveřních a okenních kontaktů. Přenos dat je realizován rádiovou cestou a to samozřejmě přináší otázku, jak jsou tato data chráněna proti případným útokům.
Provozování složitých technologických systémů pro řízení a monitoring např. obchodních center by mělo mít z pohledu bezpečnosti určité standardy. Manažeři by měli určit, kdo má přístup k šifrovacím klíčům, kdo systémy servisuje, jaké mají servisní organizace podepsané smlouvy a jak nakládají s citlivými informacemi.
Zabezpečení přenosu dat
Pokud vyjdeme ze zjednodušeného pohledu na IoT systémy, pak můžeme hovořit o aplikačních modulech, sběrných systémech a základnových stanicích, počítačích a aplikacích, kde se data ukládají a zpracovávají.
Aplikační moduly z pohledu funkčností, které typicky tyto moduly poskytují, je možné rozdělit do tří skupin:
- senzory – pouze poskytují měřené hodnoty z reálného světa (teplota, spotřeba vody, apod.)
- aktory – „řídí/nastavují“ hodnoty v reálném světě, například otevírání zámku dveří, regulace teploty, regulace otáček motoru a podobně
- senzory/aktory – obsahují obě výše uvedené funkce
Z pohledu způsobu komunikace je převažující komunikace bezdrátová (rádiová), i když samotné chápání IoT technologie toto restriktivně nepožaduje. Napájení takových modulů je pak většinou bateriové.
Z hlediska bezpečnosti se u takovýchto modulů řeší 2 základní problémy. Je snaha zakrýt obsah zprávy a zabránit útočníkovi dekódovat a přečíst zprávu, případně sestavit vlastní platnou zprávu.
Dále zabránit útočníkovi, aby zasláním již zachycené zprávy nevyvolal nežádoucí efekt, například neodemkl zámek u bytu.
Pro zakrytí obsahu zprávy se standardně používá nějaká metoda šifrování, někdy kombinovaná s digitálním podpisem. U většiny komerčních systémů se jako základní šifrovací metoda používá AES-128, doplněná o nějakou nadstavbu, například CBC, CTR a podobně. Starší systémy ještě používají DES, případně Triple DES. U některých nových se pracuje s variantou AES-256. Jednotlivé systémy se pak hlavně liší použitím šifrovacích klíčů, a způsobem generování tzv. Iniciačních Vektorů (dále jen IV).
Pro úspěšné prolomení šifrování je potřeba znát dvě věci: algoritmus šifrování, včetně použití klíče a generování potřebných dat, například IV. Dále vlastní šifrovaní klíč.
Algoritmy šifrování jsou buď veřejně známé (hlavně u komunikačních standardů), nebo proprietární, případně kombinované tak, že se použije známý algoritmus, ale není znám způsob generování IV. Pro podporu účinnosti algoritmu šifrování je dobré, když zprávy po sobě jdoucí obsahují nějaký element, který se neustále mění, aby zašifrované zprávy za sebou nebyly totožné i po zašifrování.
U šifrovacích klíčů je obzvláště důležité „klíčové hospodářství“, způsob vytváření, spravování a uschovávání klíčů. Typickou výhodou většiny rádiových technologií je to, že se používá tzv. šifrování na aplikační vrstvě. To je princip, kdy se šifrují pouze uživatelská data a dešifrování dat probíhá až na počítačích, kde se data ukládají. Celou přenosovou trasu pak data absolvují v zašifrované podobě. To pak zjednodušuje i ono klíčové hospodářství. Pro ztížení prolomení šifry a nalezení klíče a pro zvýšení ochrany bezpečnosti IoT systémů je dobré dodržovat několik bodů:
- klíče by neměly být tvořeny sekvencí stejných znaků (bytů), v nejhorším případě například samé 0
- klíče by se neměly posílat do modulů rádiovou komunikační cestou bez zašifrování
- ke klíčům by měl mít přístup omezený počet pracovníků
- pokud nějaká organizace provozuje sít IoT zařízení, klíče by neměly být ve všech zařízeních stejné, prolomení jednoho klíče pak znamená odkrytí provozu celé společnosti
- některé technologie (WACO, LoRaWAN) umožnují definovat různé klíče pro různé aplikace v jednom modulu. Tato vlastnost nejenže více chrání provoz daného modulu, například že existuje klíč pro data senzorů a jiný pro dálkovou konfiguraci, ale umožnuje i to, aby správce provozu byla firma, která sice může monitorovat provoz modulů, ale nevidí jejich data, a naopak společnost, která sbírá senzorová data, nemůže daný modul vzdáleně konfigurovat.
Útok prostřednictvím znovu zaslání již zachycené zprávy je z pohledu útočníka daleko snazší, nevyžaduje totiž žádné znalosti konkrétního šifrovacího systému modulu. Výhodou z pohledu obrany je pouze skutečnost, že útočník neví, co danou zprávou způsobí.
Techniky na obranu
Možným způsobem obrany jsou techniky na bázi plovoucích kódů (automobily, zabezpečovací systémy). Další možností je ve zprávě posílat informace, které umožní po dešifrování stanovit, zda se nejedná o opakovanou zprávu například číslo transakce, případně že zpráva přichází ve špatném čase (například časová značka, která umožní definovat platnost zprávy).
Shrnutí běžně používaných bezdrátových technologií
Technologie SIGFOX, LoRa a NB IoT (Narrowband IoT, provozovaná mobilními operátory) mají v České republice národní operátory. Infrastrukturu pro WirelessMBUS, WACO ale i LoRa je nutné nebo možné vybudovat lokálně dle místa použití.
Technologie | Původ | Šifrování | Šifrovací klíče | IV |
NB IoT | Standard | Nedefinováno | – | – |
LoRa | Standard | Na bázi AES128 | Jeden sítový klíč, až 255 aplikačních | |
Sigfox | Standard | Nedefinováno | – | – |
Wireless MBUS | Standard | AES128,DES,AES128-CTR | Jeden na modul | standard |
WACO | Softlink s.r.o | AES128-CBC | Až 256 aplikačních klíčů | proprietární |
Závěrem je nutno poznamenat, že samozřejmě požadavek na bezpečnosti IoT systémů může být různě „silný“. I laicky lze dovodit, že pokud se prolomením šifry a monitorováním přenosu dat nějakého sensoru útočník dozví, že teplota v místnosti „oběti útoku“ je dnes 22.5 °C, pak z hlediska oné oběti útoku je to pravděpodobně menší újma, než schopnost útočníka dálkově odemknout dveře nemovitosti oběti útoku.
Obecně platí, že ovládnutí modulů typu aktor je z pohledu jejich funkce více nebezpečné, než u typu senzor. Zde je zjevně ve hře jednodušší útok pomocí opakování již zachycené zprávy, kdy útočník vůbec nemusí být schopen dešifrovat danou zprávu. Jen ji prostě zopakuje s vidinou nějaké aktivity, kterou modul aktor provede.
Význam IoT systémů sílí. Mechanismy zabezpečení přenosu dat se rozvíjejí a zlepšují. Nicméně u těch současných je třeba respektovat určité zásady tak, abyste měli provoz objektu bezpečný.
TEXT Ing. Petr Volný, SOFTLINK s.r.o.
Leave a Reply
Want to join the discussion?Feel free to contribute!