26. februar 2019 - Strokovnjaki družbe Kaspersky Lab so ob raziskovanju poskusne oblačne infrastrukture za napredne bionične protetične naprave identificirali več prej nepoznanih varnostnih težav. Te bi lahko omogočile dostop tretji osebi, ta pa bi lahko med drugim manipulirala, ukradla ali celo izbrisala osebne podatke uporabnika naprave. Odkritja, ki so jih danes predstavili na sejmu mobilne telefonije MWC v španski Barceloni, so delili skupaj s proizvajalcem Motorica. Tako lahko to rusko visokotehnološko zagonsko podjetje, ki se ukvarja z razvojem bioničnih protez za roke, naslovi možne varnostne težave.

Internet stvari je presegel področja povezanih pametnih ur in pametnih domov. Danes predstavlja napredne, komplekse in vedno bolj avtomatizirane ekosisteme. Ti vključujejo tudi povezane spletne tehnologije za področje zdravstva. V prihodnosti bi se lahko takšne tehnologije razvile iz podpornih naprav v prevladujoči trend, naprave pa bi uporabljali potrošniki, navdušeni nad širjenjem zmožnosti navadnega človeškega telesa skozi proces »kibernetizacije«. Zato je pomembno z raziskovanjem in obravnavo varnostnih težav trenutnih izdelkov in njihove podporne infrastrukture čim bolj zmanjšati vsa možna varnostna tveganja, ki bi jih lahko zlorabili napadalci.

Raziskovalci odzivnega centra za obravnavo incidentov s področja industrijskih nadzornih sistemov v družbi Kaspersky Lab so se v partnerstvu s podjetjem Motorica lotili ocene spletne varnosti testne rešitve programske opreme za digitalno protetično roko, ki jo je razvilo to rusko zagonsko podjetje. Rešitev predstavlja oddaljen oblačni sistem oz. vmesnik za nadzor stanja vseh registriranih biomehanskih naprav. Hkrati daje ostalim razvijalcem orodje za analizo tehničnega stanja naprav, kot so pametni invalidski vozički, umetne roke in noge.

Začetna raziskava je prepoznala številne varnostne težave. Med njimi so nezaščitena povezava http, nepravilno delovanje računa in nezadostno preverjanje vnesenih podatkov. Pri uporabi namreč protetična roka oddaja podatke v oblačni sistem. Zaradi varnostnih vrzeli bi tako napadalec lahko:
- pridobil dostop do informacij v oblaku o vseh povezanih računih, vključno z imenom za prijavo in geslom, za vse protetične naprave in njihove administratorje v obliki golega besedila;
- manipuliral, dodal ali izbrisal takšne informacije;
- dodal ali izbrisal redne in privilegirane uporabnike naprave z administratorskimi pravicami.

»Motorica je visokotehnološko, zaupanja vredno in družbeno odgovorno podjetje, ki se osredotoča na izzive ljudi z gibalno oviranostjo. Podjetje načrtuje rast poslovanja, zato smo jim želeli pomagati, da pri svojih izdelkih upoštevajo prave varnostne ukrepe. Rezultati naše analize so dober opomnik, da mora biti varnost vključena pri razvoju novih tehnologij od samega začetka. Upamo, da bodo drugi razvijalci naprednih povezanih naprav želeli sodelovati z varnostno industrijo za razumevanje in obravnavo varnostnih vprašanj naprav in sistemov. Hkrati si želimo, da bodo gledali na varnost naprav kot sestavni in bistven del njihovega razvoja,« izpostavlja Vladimir Dashchenko, varnostni raziskovalec odzivnega centra za obravnavo incidentov s področja industrijskih nadzornih sistemov v družbi Kaspersky Lab.

»Nove tehnologije za področje bioničnih naprav odpirajo nov svet. Tako je ključnega pomena, da razvijalci takšnih tehnologij sodelujejo s prodajalci spletnih varnostnih rešitev. To nam bo omogočilo, da bodo celo teoretični primeri napadov na človeško telo nemogoči,« je dodala Ilya Chekh, generalna direktorica družbe Motorica.

Kaspersky Lab podjetjem za zaščito naprav svetuje:
- Preverite modele groženj in klasifikacije ranljivosti za relevantne spletne tehnologije in tehnologije s področja interneta stvari, ki jih nudijo strokovnjaki iz industrije kibernetske varnosti, kot je denimo projekt OWASP IoT.
- Uvedite varne načine razvoja programske opreme, ki temeljijo na ustreznem življenjskem ciklu naprave. Za oceno obstoječih varnostnih praks programske opreme uporabite sistematičen pristop, kot je na primer OWASP OpenSAMM.
- Vzpostavite postopek za pridobitev informacij o pomembnih grožnjah in ranljivostih, da zagotovite pravilen in časovno ustrezen odgovor na možne incidente.
- Redno posodabljajte operacijski sistem, aplikacije, programsko opremo naprave in varnostne rešitve.
- Vpeljite rešitve za spletno varnost, ki omogočajo analizo omrežnega prometa ter zaznajo in preprečijo napade tako na ravni omrežja organizacije kot na ravni omrežja operacijske tehnologije.
- Za ugotovitev odstopanja v vedenju naprav interneta stvari uporabite varnostno rešitev, ki vsebuje tehnologijo za strojno učečo zaznavo anomalij (angl. MLAD). Tako lahko hitro zaznate napade, okvare ali poškodbe naprave.

Pri razvoju bioničnih tehnologij je pomembno, da odkrivamo njihove možne varnostne težave in jih ustrezno rešimo. Za boljše razumevanje, kaj lahko obeta prihodnost, je družba Kaspersky Lab  zasnovala spletno mesto Earth 2050 z zbirko futurističnih napovedi.

Celotno poročilo si lahko preberete na spletnem mestu Securelist.

Foto: Festo AG & Co. KG