Autor: Aleksander Orłowski
Na wstępie kilka słów o tym jak rozumiem bezpieczeństwo – otóż w moim odbiorze to stan braku zagrożenia. By zapewnić sobie bezpieczeństwo, staramy się zatem wyeliminować elementy, które powodują poczucie zagrożenia lub niepewności. W cyberprzestrzeni jesteśmy zależni od techniki i na tym poziomie postaram podzielić się kilkoma moimi ostatnimi spostrzeżeniami.
Jak może już gdzieś czytaliście – ważne urządzenia, bez których nie działa nasz cyberświat to routery i switche. Bez nich ruch internetowy nie istnieje i ten kto je kontroluje lub wpływa na nie, trzyma nas za przysłowiowe gardło.
Na pierwszy ogień artykułów cyklu o bezpieczeństwie technicznym pójdą właśnie te urządzenia. Przyjrzyjmy się zatem doniesieniom, które burzą nasze poczucie bezpieczeństwa. Wszystko zaczęło się od analizy ustawodawstwa z lat 2015 i 2017 Chińskiej Republiki Ludowej (tak to o nich też będzie ten artykuł), które w oparciu o ustawę o bezpieczeństwie narodowym i bezpieczeństwie cybernetycznym nakłada na firmy działające na terenie Chin obowiązek udostępniania danych takich jak:
- Dane użytkowników – informacje osobowe takie jak: imię, nazwisko, adres, numer telefonu, oraz dane dotyczące korzystania z usług.
- Dane techniczne – informacje o urządzeniach, z których korzystają użytkownicy, w tym adresy IP, lokalizacja, oraz logi aktywności.
- Dane finansowe – transakcje finansowe, płatności, oraz inne informacje związane z działalnością finansową firmy.
- Dane operacyjne – informacje dotyczące działalności operacyjnej firmy, w tym dane o pracownikach, strukturze organizacyjnej, oraz wewnętrznych procedurach bezpieczeństwa
Jak widać, zakres jest szeroki, szczególnie że udostępnia się dane użytkowników (sic!).
Właśnie z obawy o przekazywanie takich danych rozpoczęły się dochodzenia w sprawie chińskich producentów. W ich efekcie z rynku amerykańskiego zostały wykluczone urządzenia marki Huawei, a z rynku europejskiego mają zniknąć w najbliższym czasie. ZTE ma ograniczenia w dostępnie do amerykańskich technologii.
To już się stało.
Czeka nas w najbliższym czasie nowy rozdział, na celowniku znalazł się TP-Link. TP-Link jest dostawcą dużej części urządzeń na rynek SOHO (zastosowania domowe, małe biura), dostarcza routery, switche, access pointy. Właśnie o zbadanie TP-Linka poproszono administrację Joe Bidena (przynajmniej tak donosi Reuters).
Zastanówmy się zatem jakie to rodzi konsekwencje dla nas.
W Polsce urządzenia Huawei stanowią lwią część rynku telekomunikacyjnego i sieciowego. TP-Link w urządzeniach sieciowych SOHO ma według niektórych badań nawet 50% rynku (różne źródła przedstawiają różne informacje, ale niezaprzeczalnie TP-Link posiada dużą część rynku). W przypadku TP-Linka to urządzenia w domach i biurach gdzie nie dokonuje się zwykle zaawansowanych konfiguracji, wyciąga urządzenie z pudełka, wpisuje co konieczne i jeśli działa zostawia tak aż coś nie przestanie działać lub się zepsuje. O aktualizacjach praktycznie nikt nie pamięta, zresztą producenci tego segmentu nie dostarczają ich zbyt często.
Widzimy zatem obraz, na którym zarówno na urządzeniach w szkielecie sieci jak i końcówkach w domach i biurach mamy urządzenia, co do których nie możemy mieć pewności, że nie udostępniają naszych danych lub nie można przejąć nad nimi kontroli, bądź wskutek celowego zostawienia luk i podatności, bądź wskutek kodu o niskiej jakości i niewystarczającej kontroli jakości.
Przedstawię poniżej pewien scenariusz, nad jego prawdopodobieństwem niech każdy z czytelników zastanowi się indywidualnie…
…no to zakładamy foliową czapeczkę…
Mamy budynek, do którego z jakiegoś powodu chcemy wejść, a nie jesteśmy do tego upoważnieni. Okazuje się, że jego infrastruktura sieciowa została zakupiona w firmach z ChRL (tak, byli najtańsi) i na tych urządzeniach zostało zainstalowane przez producenta oprogramowanie pozwalające zdalnie wdrażać najnowsze wersje zabezpieczające przed złem informatycznym tego świata. Załóżmy, że działamy w interesie ChRL, więc mamy dostęp do firmy produkującej sprzęt i potrafimy dzięki temu wgrać aktualizację, która daje nam dostęp. Monitoring w budynku, który jest naszym celem to kamery IP, ich część w mocno oddalonej części budynku właśnie przestała działać, ochrona idzie to sprawdzić. Jak już są prawie przy najdalszych kamerach, wszystkie kamery przestają działać. Nie można się nigdzie dodzwonić, bo mamy telefonię w technologii VoIP. Telefony komórkowe coś właśnie nie działają. Tak, na wieżach telekomunikacyjnych sprzęt firmy Huawei właśnie robi reboot po ważnej aktualizacji i przez 5 minut no nie działa. W tym czasie przez rampę wchodzą Ci źli i robią to co chcą, będąc niezarejestrowani.
… ściągamy…
Scenariusz ma wiele uproszczeń, ale nie mamy tu tyle miejsca, by go dokładnie rozpisywać.
Czas na podsumowanie, cytując klasyka „co robić, jak żyć?”
- Wybieramy do naszych sieci sprawdzone pod względem bezpieczeństwa urządzenia nie kierując się wyłącznie ceną!
- Sprawdzamy czy producent dostarcza poprawki w dłuższym okresie czasu, czy jest bardziej znany z porzucania swoich linii produktowych.
- Sprawdzamy czy z udziałem producenta wystąpiły ostatnio jakieś incydenty bezpieczeństwa.
- Aktualizujemy, ale po przeczytaniu opinii tych co zaktualizowali – fajnie jest być pionierem, ale niefajnie jak nie działa.
- Jak coś jest super tanie, to może ceną są Twoje dane.
- Jeżeli masz już u siebie urządzenia o wątpliwej reputacji wymień te, które są w najbardziej krytycznych miejscach, a w mniej krytycznych przynajmniej zaplanuj i zabudżetuj wymianę.
- Jeśli to możliwe wybierajmy Open Source. Pamiętajmy, że bezpieczeństwo technologiczne jest tak mocne jak ludzie którzy je tworzą i programują. Gdy można przejrzeć kod to daje pewną rękojmię, że jest OK, w końcu badacze namierzą jeżeli coś ma dodatkowe „funkcjonalności”.
Zapraszam na kolejny artykuł z cyklu.