Bezpečnost dat v přenosu IoT

/0 Komentáře/in , , /by

Pro sběr dat z logistických center nebo obchodních center je stále ve větším rozsahu používána technologie IoT, kterou představují systémy WACO, SIGFOX, Lora a NB IoT. Tyto technologické sítě se implementují pro sběr dat z měřidel různých senzorů teploty, vlhkosti, záplavových čidel dveřních a okenních kontaktů. Přenos dat je realizován rádiovou cestou a to samozřejmě přináší otázku, jak jsou tato data chráněna proti případným útokům.

Provozování složitých technologických systémů pro řízení a monitoring např. obchodních center by mělo mít z pohledu bezpečnosti určité standardy. Manažeři by měli určit, kdo má přístup k šifrovacím klíčům, kdo systémy servisuje, jaké mají servisní organizace podepsané smlouvy a jak nakládají s citlivými informacemi.

 

Zabezpečení přenosu dat

Pokud vyjdeme ze zjednodušeného pohledu na IoT systémy, pak můžeme hovořit o aplikačních modulech, sběrných systémech a základnových stanicích, počítačích a aplikacích, kde se data ukládají a zpracovávají.

Aplikační moduly z pohledu funkčností, které typicky tyto moduly poskytují, je  možné rozdělit do tří skupin:

  • senzory – pouze poskytují měřené hodnoty z reálného světa (teplota, spotřeba vody, apod.)
  • aktory – „řídí/nastavují“ hodnoty v reálném světě, například otevírání zámku dveří, regulace teploty, regulace otáček motoru a podobně
  • senzory/aktory – obsahují obě výše uvedené funkce

Z pohledu způsobu komunikace je převažující komunikace bezdrátová (rádiová), i když samotné chápání IoT technologie toto restriktivně nepožaduje. Napájení takových modulů je pak většinou bateriové.

Z hlediska bezpečnosti se u takovýchto modulů řeší 2 základní problémy. Je snaha zakrýt obsah zprávy a zabránit útočníkovi dekódovat a přečíst zprávu, případně sestavit vlastní platnou zprávu.

Dále zabránit útočníkovi, aby zasláním již zachycené zprávy nevyvolal nežádoucí efekt, například neodemkl zámek u bytu.

Pro zakrytí obsahu zprávy se standardně používá nějaká metoda šifrování, někdy kombinovaná s digitálním podpisem. U většiny komerčních systémů se jako základní šifrovací metoda používá AES-128, doplněná o nějakou nadstavbu, například CBC, CTR a podobně. Starší systémy ještě používají DES, případně Triple DES. U některých nových se pracuje s variantou AES-256. Jednotlivé systémy se pak hlavně liší použitím šifrovacích klíčů, a způsobem generování tzv. Iniciačních Vektorů (dále jen IV).

Pro úspěšné prolomení šifrování je potřeba znát dvě věci: algoritmus šifrování, včetně použití klíče a generování potřebných dat, například IV. Dále vlastní šifrovaní klíč.

Algoritmy šifrování jsou buď veřejně známé (hlavně u komunikačních standardů), nebo proprietární, případně kombinované tak, že se použije známý algoritmus, ale není znám způsob generování IV. Pro podporu účinnosti algoritmu šifrování je dobré, když zprávy po sobě jdoucí obsahují nějaký element, který se neustále mění, aby zašifrované zprávy za sebou nebyly totožné i po zašifrování.

U šifrovacích klíčů je obzvláště důležité „klíčové hospodářství“, způsob vytváření, spravování a uschovávání klíčů. Typickou výhodou většiny rádiových technologií je to, že se používá tzv. šifrování na aplikační vrstvě. To je princip, kdy se šifrují pouze uživatelská data a dešifrování dat probíhá až na počítačích, kde se data ukládají. Celou přenosovou trasu pak data absolvují v zašifrované podobě. To pak zjednodušuje i ono klíčové hospodářství. Pro ztížení prolomení šifry a nalezení klíče a pro zvýšení ochrany bezpečnosti IoT systémů je dobré dodržovat několik bodů:

  • klíče by neměly být tvořeny sekvencí stejných znaků (bytů), v nejhorším případě například samé 0
  • klíče by se neměly posílat do modulů rádiovou komunikační cestou bez zašifrování
  • ke klíčům by měl mít přístup omezený počet pracovníků
  • pokud nějaká organizace provozuje sít IoT zařízení, klíče by neměly být ve všech zařízeních stejné, prolomení jednoho klíče pak znamená odkrytí provozu celé společnosti
  • některé technologie (WACO, LoRaWAN) umožnují definovat různé klíče pro různé aplikace v jednom modulu. Tato vlastnost nejenže více chrání provoz daného modulu, například že existuje klíč pro data senzorů a jiný pro dálkovou konfiguraci, ale umožnuje i to, aby správce provozu byla firma, která sice může monitorovat provoz modulů, ale nevidí jejich data, a naopak společnost, která sbírá senzorová data, nemůže daný modul vzdáleně konfigurovat.

Útok prostřednictvím znovu zaslání již zachycené zprávy je z pohledu útočníka daleko snazší, nevyžaduje totiž žádné znalosti konkrétního šifrovacího systému modulu. Výhodou z pohledu obrany je pouze skutečnost, že útočník neví, co danou zprávou způsobí.

 

Techniky na obranu

Možným způsobem obrany jsou techniky na bázi plovoucích kódů (automobily, zabezpečovací systémy). Další možností je ve zprávě posílat informace, které umožní po dešifrování stanovit, zda se nejedná o opakovanou zprávu například číslo transakce, případně že zpráva přichází ve špatném čase (například časová značka, která umožní definovat platnost zprávy).

 

Shrnutí běžně používaných bezdrátových technologií

Technologie SIGFOX, LoRa a NB IoT (Narrowband IoT, provozovaná mobilními operátory) mají v České republice národní operátory. Infrastrukturu pro WirelessMBUS, WACO ale i LoRa je nutné nebo možné vybudovat lokálně dle místa použití.

 

Technologie Původ Šifrování Šifrovací klíče IV
NB IoT Standard Nedefinováno
LoRa Standard Na bázi AES128 Jeden sítový klíč, až 255 aplikačních  
Sigfox Standard Nedefinováno
Wireless MBUS Standard AES128,DES,AES128-CTR Jeden na modul standard
WACO Softlink s.r.o AES128-CBC Až 256 aplikačních klíčů proprietární

 

 

Závěrem je nutno poznamenat, že samozřejmě požadavek na bezpečnosti IoT systémů může být různě „silný“. I laicky lze dovodit, že pokud se prolomením šifry a monitorováním přenosu dat nějakého sensoru útočník dozví, že teplota v místnosti „oběti útoku“ je dnes 22.5 °C, pak z hlediska oné oběti útoku je to pravděpodobně menší újma, než schopnost útočníka dálkově odemknout dveře nemovitosti oběti útoku.

Obecně platí, že ovládnutí modulů typu aktor je z pohledu jejich funkce více nebezpečné, než u typu senzor. Zde je zjevně ve hře jednodušší útok pomocí opakování již zachycené zprávy, kdy útočník vůbec nemusí být schopen dešifrovat danou zprávu. Jen ji prostě zopakuje s vidinou nějaké aktivity, kterou modul aktor provede.

 

Význam IoT systémů sílí. Mechanismy zabezpečení přenosu dat se rozvíjejí a zlepšují. Nicméně u těch současných je třeba respektovat určité zásady tak, abyste měli provoz objektu bezpečný.

 

TEXT Ing. Petr Volný, SOFTLINK s.r.o.

Výroba betonu ekologicky

/0 Komentáře/in , /by

Společnost TBG METROSTAV je jedním z největších výrobců betonu v pražském regionu a provozuje zde čtyři betonárny.

S ředitelem společnosti TBG METROSTAV Ing. Jakubem Šimáčkem jsme hovořili o aktuální situaci v pražské výstavbě a o budoucnosti betonáren v hlavním městě.

 

Jste jednatelem tří společností: TBG METROSTAV, TBG Pražské malty a Pražské betonpumpy a doprava. Můžete je blíže představit?

Nejdelší historii má TBG METROSTAV, která je jedním z největších výrobců betonu v pražském regionu, kde provozuje čtyři betonárny. TBG Pražské malty a Pražské betonpumpy a doprava jsou její dceřiné společnosti a zabývají se výrobou malt a litých podlahových směsí, respektive čerpáním betonu. Rozdělení do tří společností se v průběhu času ukázalo jako praktické – každá firma se soustředí na to, aby výsledky práce byly na nejvyšší úrovni. Zároveň spolu všechny tři subjekty těsně kooperují a jako celek dodávají zákazníkům profesionální služby a kvalitní produkty.

Loňský rok byl složitý. Jaký byl pro vaše firmy?

Začátek loňského roku se velmi podobal rokům předchozím. Pak ale z ničeho nic přišla první vlna pandemie a výstavba v Praze se pozastavila. Důvodů bylo hned několik. Uzavřely se hranice, na stavbách chyběli zahraniční pracovníci, omezil se provoz úřadů a někteří investoři trochu znejistěli. V Praze navíc v posledních letech není ve výstavbě žádná velká infrastrukturní zakázka, která by pomohla překonat výkyvy v komerčních investicích. Na trhu tak došlo téměř k zastavení výstavby administrativních budov a hotelů a zahájení bytových domů se posunulo řádově o několik měsíců.

 

Jak jste reagovali na náhlý pokles poptávky? Nemuseli jste propouštět?

Propouštět jsme nemuseli. Naším cílem bylo zachovat pracovní místa, protože jsme věděli, že výstavba se opět nastartuje a následně budeme zase zaměstnance potřebovat. Naši lidé jsou vysoce kvalifikovaní a pracovití, nedávalo by smysl jich třetinu propustit a po pár měsících pracně hledat a zaškolovat nové. Podařilo se nám aplikovat úsporná opatření a přiměřeně snížit mzdové a fixní náklady. Tím jsme přes léto udrželi firmu v kondici a připravili jsme se na podzimní zahájení posunutých staveb.

A jak tedy pro vaše firmy rok 2020 dopadl?

Nakonec dobře. Sice už se nám nepodařilo nahradit výpadek výroby z letních měsíců i při vyšší produkci na konci roku, ale naše výsledky zůstaly jen mírně za původním plánem. Jako mimořádně pozitivní vnímám to, že se nám podařilo znovu potvrdit dobré jméno naší firmy a vysokou kvalitu našich služeb, a to zejména díky udržení zkušených zaměstnanců, jejich pracovitosti a nasazení.

 

Jaký bude podle vás tento rok 2021?

Předpokládám, že i nadále budou v Praze vévodit byty. Zájem o pořízení vlastního bytu je, navzdory vysokým cenám, stále mimořádný. Zdá se, že se zahájí také výstavba bytových domů pro nájemní bydlení. Investice do kancelářských budov budou zřejmě v letošním roce ještě trochu stagnovat, ale od příštího roku odhaduji, že se i tento segment začne postupně zase rozbíhat. Podle svých zkušeností si totiž nemyslím, že home office je trvalé řešení, protože dosahovat doma plného pracovního nasazení a vysokého výkonu, zvládne jen málo zaměstnanců – bez sociálních vazeb to prostě nefunguje. Výstavba kancelářských budov bude po dočasném poklesu i nadále pokračovat. Důkazem může být i právě zahájený projekt Masaryk Centre společnosti Penta Investment, kam právě dodáváme betony pro založení stavby kolegům ze Zakládání staveb a Zakládání Group a budeme zásobovat betonáře společnosti Metrostav a.s., kteří zahajují budování monolitické konstrukce. Čekáme, zda bude zahájena další etapa pražského metra. V posledních letech je to jediná velká dopravní zakázka v hlavním městě – a Praha by si už takovou zásadní investici do svého rozvoje zasloužila.

Co nového jste připravili pro vaše zákazníky?

V podstatě každý rok uvádíme na trh nějaký nový produkt. Nechceme ale jen tak bezhlavě „střílet“ nějaké směsi, které nemají na trhu žádné uplatnění, nebo které jen pod honosným názvem propagují standardní výrobek. Každý z našich značkových výrobků přináší zákazníkům nějaké výhody, nebo je součástí nějakého systematizovaného řešení. Příkladem jsou třeba čerstvé malty MALMIX – osvědčené řešení, kdy každý den zavážíme na stavby čerstvou maltu, připravenou k okamžitému zpracování. Bez dalších úprav. Když si zákazník objedná MALMIX, ví, že malta bude kvalitní, jemná a bude na stavbě včas a ve správném množství. Podobně beton PERMACRETE. Tímto produktem jsme reagovali na nesystémové přidávání krystalizačních přísad do čerstvého betonu pod záminkou zlepšení vodotěsnosti bílých van, či dokonce zlepšování ochrany proti radonu, bludným proudů apod. PERMACRETE je speciální beton pro bílé vany, navržený podle německých a rakouských standardů. Vyvíjí minimum hydratačního tepla a díky svému složení zásadně omezuje vznik trhlin. Toto řešení je levnější než za použití krystalizací a bylo vyzkoušeno na desítkách staveb.

 

To jsou osvědčené produkty a co nějaké novinky?

Nad všechno, co děláme, vždycky stavíme zákazníka. Neustále pracujeme na modernizaci a vývoji nových produktů. Pro tento rok plánujeme představit zajímavý výplňový materiál TERRAFLOW, který je vhodný pro zaplnění stavebních jam okolo potrubního vedení či vyplnění spár okolo založení objektu apod. Neustále také zdokonalujeme naše značkové produkty, zejména náš nejodolnější a nejpevnější produkt TOPCRETE, ultravysokohodnotný beton (UHPC), který má neskutečný potenciál pro sanace, mosty, lávky, ale i architektonické použití. A nelze zapomenout ani na ochranu životního prostředí a dlouhodobou udržitelnost. Vyvíjíme také betony z recyklovaného kameniva, ale zatím nelze uvažovat o nějakém masivním použití. Současné předpisy, logistika a dosahované parametry takto vyrobených betonů neumožňují plnohodnotně nahradit běžné kamenivo, ale určité typy konstrukcí se z recyklovaného kameniva vyrobit dají.

A co vaše betonárny? Jak zvládáte stále přísnější ekologické regulace a omezení?

Jak jsem již zmínil, máme čtyři betonárny, které jsou výhodně rozmístěné po celé Praze, na severu máme betonárnu Libeň, na západě Radlice, na jihu Písnici a v centrální, lehce východní oblasti, je betonárna Rohanský ostrov. Tyto lokace jsou výhodné pro naši efektivní logistiku, protože vždy volíme nejbližší provozovnu, která dodá materiál na stavbu, aby autodomíchávače zbytečně v Praze nezahlcovaly již tak komplikovanou dopravu. Samozřejmostí je hospodaření s odpadními vodami, recyklace zbytkových betonů, nakládání s odpady, prachové filtry, skrápění skládek apod. S ekologií ale souvisí i fakt, že dvě z našich provozoven mají přístaviště pro nákladní lodě. V maximální možné míře tak využíváme ekologickou lodní dopravu. Betonárny Libeň a Rohanský ostrov díky tomu zásadně pomáhají snížit množství nákladní kamionové dopravy v metropoli. Díky jejich přímému napojení na řeku byly všechny etapy metra, silniční tunely a železniční koridory postaveny s minimálním dopadem na pražskou dopravu. Lodní zásobování už ušetřilo Praze přes 250 000 nákladních kamionů.

 

Jste propagátory lodní dopravy v Praze. Odkud čerpáte inspiraci?

Lodní doprava kameniva a písku pro naše provozovny funguje už velice dlouho, jenže málokdo si uvědomuje, kolik pozitivních vlivů má na celé město. Inspirací je hned několik: Paříž, Brusel, Vídeň a další města, která jsou podobná Praze, a protéká jimi řeka. Například přímo v Paříži se na březích Seiny nachází devět betonáren a 11 nakládacích míst pro lodní odvoz odpadů a suti. V provozu je tam také několik kompaktních mini překladišť, kam říční lodě přivážejí kontejnery se spotřebním zbožím. Nebo Brusel s kanálem Charleroi, jímž se ročně přepraví až 3 mil. t materiálu. Nakonec i ve Vídni po Dunaji pluje jedna nákladní loď za druhou a převážejí zeminu, suť, dřevo nebo kamenivo.

 

Vidíte tedy budoucnost v zásobování staveb surovinami po řece?

Lodní doprava nemůže být sama o sobě jedinou zásobovací cestou. Nemalá část surovin a zboží se bude vždy vozit po silnici. Jde jen o to maximálně využít možnosti říční nákladní dopravy a nevyužívat ji pouze okrajově. Vždyť v Praze využíváme nákladní lodní dopravu de facto pouze my.

 

Takže když si někdo koupí beton od TBG, znamená to, že přispěl ke snížení počtu náklaďáků. Je to tak?

Vlastně ano, i když bych to až takto úplně nestavěl. Naším cílem je dodávat betony těch nejkvalitnějších parametrů a být zákazníkům spolehlivým obchodním partnerem. A že ten beton vyrábíme šetrně a ohleduplně k okolí, díky lodní dopravě navíc šetříme silnice a občanům ulevíme od škodlivých emisí, to vnímám jako náš malý příspěvek k celosvětovým snahám o zlepšení stavu životního prostředí.

PR

Počet útoků na podnikové sítě roste

/0 Komentáře/in , /by
V roce 2020 došlo k dalšímu 6% nárůstu celkového počtu zranitelností.

GFI Software je dodavatel řešení bezpečnosti v podnikových sítích. Společnost uvedla, že podniky a organizace jsou stále více ohroženy kombinovanými útoky, které využívají mj. i rostoucího počtu zjištěných zranitelností. Podle statistik uvedených v The National Vulnerability Database (NVD) se v roce 2020 objevilo 18 352 zranitelností. Znamená to 6% nárůst oproti roku 2019. Počet zranitelností nepřetržitě roste od roku 2017.

 

Zejména malé a střední společnosti zanedbávají dostatečnou ochranu hned na více místech infrastruktury. Kybernetičtí útočníci využívají této situace ke kombinovaným útokům. V rámci primární fáze např. uživatel klikne na webový odkaz v zaslaném e-mailu. Z rizikové stránky dojde k doručení exploitu, odhalení zranitelností a virovému napadení. V sekundární fázi potom dojde s využitím zjištěné zranitelnosti (např. prohlížeče) a metod sociálního inženýrství ke stažení dalšího malwaru do systému. Více pokusů znamená vyšší pravděpodobnost úspěšného útoku.

Zvyšující se četnost kombinovaných útoků je důsledkem řady rizikových faktorů, jako například:
  • SMB organizace se domnívají, že jsou pro útočníky příliš malé a nedůležité.  Naopak, kyberútočníci jdou tam, kde tuší nejmenší odpor
  • Firmy podceňují fakt, že více bezpečnostních vrstev výrazně snižuje riziko napadení systémů
  • Ne všechny zjištěné softwarové zranitelnosti jsou známy také konkrétním IT administrátorům
  • Liknavý přístup k záplatování vede k tomu, že v některých organizací uplyne až 102 dní od vytvoření záplaty k její instalaci.
  • 57 % případů kompromitace dat se událo v přímém důsledku neaktualizovaného softwaru

 

„Vícevrstvá ochrana firemní sítě je dnes naprostým základem bezpečnostní strategie. Jedinou otázkou je, kolik vrstev je potřeba,“ řekl Jozef Kačala, Sales Engineer pro region EMEA ve společnosti GFI Software. „Pokud vezmeme zmíněný příklad kombinovaného útoku, k těmto vrstvám dnes rozhodně patří skenování zranitelností a automatizovaný patch management, ochrana síťového perimetru (firewall), VPN sítě, filtrování webových stránek, mailový antispam a antivirová ochrana koncových bodů.“

 

Společnost GFI Software nedávno představila sadu Unlimited Network Security, která poskytuje s využitím produktů v rámci modelu GFI Unlimited vícevrstvé zabezpečení IT infrastruktury. Sada využívá funkčnosti produktů GFI LanGuard, Kerio Control a GFI MailEssentials. Sada zajišťuje ochranu síťového perimetru, síťového provozu, koncových bodů a reportování aktuálního stavu zjištěných zranitelností.

 

Red.