Kiedy mówimy o Internecie rzeczy (ekosystemach IoT), mamy na myśli rozległą sieć różnych gadżetów i urządzeń, które ze sobą rozmawiają. Wyobraź sobie, że Twoja inteligentna lodówka wysyła wiadomość na Twój smartfon, informując Cię, że skończyło się mleko, lub inteligentny termostat dostosowujący temperaturę w pomieszczeniu w oparciu o Twoje preferencje. Brzmi futurystycznie, prawda?
Ale tutaj jest haczyk: te urządzenia, choć mogą się wydawać zaawansowane, nie są tak wydajne i zaradne jak komputery, z których korzystamy na co dzień. Są jak mali posłańcy z ograniczoną energią, zawsze w ruchu.
Dlaczego urządzenia IoT różnią się od zwykłego komputera?
- Ograniczone zasoby: W przeciwieństwie do dużych, wydajnych serwerów lub komputerów, do których jesteśmy przyzwyczajeni, urządzenia IoT często mają tylko niewielką ilość pamięci i mocy obliczeniowej.
- Różne kanały komunikacji: Zamiast bezpieczniejszych kanałów, z których korzystają nasze komputery, urządzenia IoT często komunikują się za pośrednictwem mniej bezpiecznych kanałów bezprzewodowych, takich jak ZigBee lub LoRa. Pomyśl o tym jak o wyborze słabego zapięcia rowerowego zamiast solidnego.
- Unikalny język i funkcje: Każde urządzenie IoT jest jak wyjątkowa jednostka. Mają swoje funkcje i komunikują się na swój sposób. To tak, jakby wielu ludzi z różnych krajów, każdy mówiący w swoim języku, próbowało rozmawiać. To sprawia, że trudno jest opracować dla nich uniwersalny protokół bezpieczeństwa.
Dlaczego to jest problem?
Cóż, ze względu na te wyjątkowe wyzwania urządzenia IoT mogą być łatwym celem cyberataków. To trochę jak miasto. Im większe miasto, tym większe ryzyko, że coś pójdzie nie tak. I podobnie jak w dużym mieście, w którym żyje wiele różnych typów ludzi, urządzenia IoT różnych firm muszą znaleźć sposoby, aby ze sobą rozmawiać. Czasami wymaga to pośrednika, zaufanej strony trzeciej, aby pomóc im się zrozumieć.
Co więcej, ponieważ urządzenia te mają ograniczoną moc, nie są wystarczająco przygotowane do obrony przed wyrafinowanymi zagrożeniami cybernetycznymi. To jakby wysłać kogoś z procą, aby odeprzeł nowoczesną armię.
Łamanie luk w zabezpieczeniach
Luki w zabezpieczeniach IoT można podzielić na dwie główne kategorie
- Luki specyficzne dla IoT: Należą do nich takie problemy, jak ataki związane z drenażem baterii, wyzwania związane ze standaryzacją lub problemy z zaufaniem. Pomyśl o nich jak o problemach, z którymi borykają się tylko te urządzenia.
- Typowe luki w zabezpieczeniach: Są to problemy odziedziczone po szerszym świecie Internetu. Typowe problemy, z którymi boryka się większość urządzeń online.
Zrozumienie zagrożeń bezpieczeństwa w IoT
Nurkując w świecie cyberbezpieczeństwa, zwłaszcza w dziedzinie IoT (Internetu rzeczy), często słyszy się o triadzie CIA. Nie odnosi się to do tajnej agencji, ale zamiast tego oznacza poufność, integralność i dostępność. Są to trzy zasady leżące u podstaw większości cyberbezpieczeństwa.
Pierwsza, Poufność, polega na zapewnieniu, że Twoje prywatne dane pozostaną właśnie takie: prywatne. Pomyśl o tym jak o pamiętniku, który trzymasz pod łóżkiem. Tylko Ty (i być może kilka zaufanych osób) powinieneś mieć klucz. W cyfrowym świecie przekłada się to na dane osobowe, zdjęcia, a nawet czat, który prowadzisz ze znajomym za pośrednictwem urządzenia inteligentnego.
Z drugiej strony uczciwość oznacza, że wszystko, co napisałeś w pamiętniku, pozostanie tak, jak to zostawiłeś. Oznacza to, że Twoje dane, niezależnie od tego, czy jest to wiadomość, film czy dokument, nie zostaną zmienione przez kogoś innego bez Twojej wiedzy.
Wreszcie jest dostępność. Zasada ta przypomina trzymanie pamiętnika zawsze pod ręką, gdy chcesz zapisać swoje myśli. W świecie cyfrowym może to oznaczać dostęp do strony internetowej w razie potrzeby lub pobranie ustawień inteligentnego domu z chmury.
Mając na uwadze te zasady, przyjrzyjmy się bliżej zagrożeniom stojącym przed IoT. Jeśli chodzi o IoT, nasze urządzenia codziennego użytku, takie jak lodówki, termostaty, a nawet samochody, są ze sobą połączone. I chociaż ta wzajemna łączność zapewnia wygodę, niesie ze sobą także wyjątkowe luki w zabezpieczeniach.
Częstym zagrożeniem jest atak typu Denial of Service (DoS). Wyobraź sobie taką sytuację: jesteś na koncercie i próbujesz przedostać się przez drzwi, ale grupa dowcipnisiów blokuje ci drogę, nie przepuszczając nikogo. Oto, co DoS robi z sieciami. Przytłacza ich fałszywymi żądaniami, przez co prawdziwi użytkownicy, tacy jak ty i ja, nie mogą się dostać. Bardziej groźną wersją jest rozproszony DoS (DDoS), w którym nie tylko jedna grupa blokuje drzwi, ale wiele grup blokuje kilka drzwi jednocześnie .
Kolejnym podstępnym zagrożeniem jest atak Man-in-the-Middle (MiTM). Przypomina to sytuację, w której ktoś potajemnie podsłuchuje Twoją rozmowę telefoniczną, a czasem nawet udaje osobę, z którą myślisz, że rozmawiasz. W przestrzeni cyfrowej napastnicy potajemnie przekazują komunikację między dwiema stronami, a nawet mogą ją zmienić.
Następnie mamy złośliwe oprogramowanie, cyfrowy odpowiednik wirusa wywołującego przeziębienie, ale często o bardziej szkodliwych zamiarach. Jest to oprogramowanie stworzone w celu infiltracji i czasami uszkadzania naszych urządzeń. W miarę jak nasz świat zapełnia się coraz większą liczbą inteligentnych urządzeń, rośnie ryzyko infekcji złośliwym oprogramowaniem.
Ale oto dobra wiadomość: niezależnie od tego, jak liczne są te zagrożenia, eksperci na całym świecie niestrudzenie pracują nad ich zwalczaniem. Do wykrywania takich ataków i przeciwdziałania im stosują zaawansowane techniki, takie jak sztuczna inteligencja. Udoskonalają także sposób, w jaki nasze urządzenia komunikują się, aby zapewnić sobie wzajemne rozpoznawanie się i wzajemne zaufanie. Tak więc, chociaż era cyfrowa niesie ze sobą wyzwania, nie będziemy poruszać się po nich z zawiązanymi oczami.
Prywatności
Oprócz wyżej wymienionych zagrożeń bezpieczeństwa, urządzenia IoT i dane, które obsługują, są narażone na zagrożenia związane z prywatnością, w tym wąchanie danych, demaskowanie anonimowych danych (deanonimizacja) i wyciąganie wniosków na ich podstawie (ataki polegające na wnioskowaniu). Ataki te mają na celu przede wszystkim poufność danych, niezależnie od tego, czy są one przechowywane, czy przesyłane. W tej sekcji szczegółowo omówiono te zagrożenia prywatności.
MiTM w kontekście prywatności
Sugeruje się, że ataki MiTM można podzielić na dwie kategorie: aktywne ataki MiTM (AMA) i pasywne ataki MiTM (PMA). Pasywne ataki MiTM polegają na dyskretnym monitorowaniu wymiany danych pomiędzy urządzeniami. Ataki te nie mogą naruszać danych, ale mogą zagrozić prywatności. Weź pod uwagę osobę, która może potajemnie monitorować urządzenie; mogliby to robić przez dłuższy czas przed rozpoczęciem ataku. Biorąc pod uwagę powszechność kamer w urządzeniach IoT, od zabawek po smartfony i urządzenia do noszenia, potencjalne konsekwencje ataków pasywnych, takich jak podsłuchiwanie lub wąchanie danych, są znaczne. Z drugiej strony aktywne ataki MiTM odgrywają bardziej bezpośrednią rolę, wykorzystując pozyskane dane do oszukańczego nawiązania kontaktu z użytkownikiem lub uzyskując dostęp do profili użytkowników bez pozwolenia.
Prywatność danych i związane z nią obawy
Podobnie jak w przypadku MiTM, zagrożenia prywatności danych można również podzielić na aktywne ataki na prywatność danych (ADPA) i pasywne ataki na prywatność danych (PDPA). Obawy związane z prywatnością danych dotyczą takich kwestii, jak wyciek danych, nieuprawnione zmiany danych (sfałszowanie danych), kradzież tożsamości i proces demaskowania pozornie anonimowych danych (ponowna identyfikacja). W szczególności ataki polegające na ponownej identyfikacji, czasami nazywane atakami na podstawie wniosków, opierają się na metodach takich jak deanonimizacja, określanie lokalizacji i gromadzenie danych z różnych źródeł. Głównym celem takich ataków jest gromadzenie danych z różnych miejsc w celu odkrycia tożsamości danej osoby. Te zbiorcze dane można następnie wykorzystać do udawania osoby docelowej. Ataki bezpośrednio modyfikujące dane, takie jak manipulowanie danymi, zaliczają się do kategorii ADPA, natomiast ataki związane z ponowną identyfikacją lub wyciekiem danych zaliczają się do PDPA.
Blockchain jako potencjalne rozwiązanie
Blockchain, powszechnie w skrócie BC, to odporna sieć charakteryzująca się przejrzystością, odpornością na błędy oraz możliwością weryfikacji i audytu. Często opisywany takimi terminami jak zdecentralizowany, peer-to-peer (P2P), przejrzysty, pozbawiony zaufania i niezmienny, blockchain wyróżnia się jako niezawodna alternatywa w porównaniu z tradycyjnymi scentralizowanymi modelami klient-serwer. Godną uwagi cechą łańcucha bloków jest „inteligentna umowa”, samowykonująca się umowa, w której warunki umowy są zapisane w kodzie. Nieodłączna konstrukcja łańcucha bloków zapewnia integralność i autentyczność danych, stanowiąc silną ochronę przed manipulowaniem danymi w urządzeniach IoT.
Wysiłki na rzecz wzmocnienia bezpieczeństwa
Zaproponowano różne strategie oparte na blockchain dla różnych sektorów, takich jak łańcuchy dostaw, zarządzanie tożsamością i dostępem, a w szczególności IoT. Niektóre istniejące modele nie uwzględniają jednak ograniczeń czasowych i nie są zoptymalizowane pod kątem urządzeń IoT o ograniczonych zasobach. Z drugiej strony, niektóre badania skupiały się przede wszystkim na wydłużeniu czasu reakcji urządzeń IoT, zaniedbując względy bezpieczeństwa i prywatności. Badanie przeprowadzone przez Machado i współpracowników wprowadziło architekturę blockchain podzieloną na trzy segmenty: IoT, Fog i Cloud. Struktura ta kładła nacisk na budowanie zaufania między urządzeniami IoT wykorzystującymi protokoły oparte na metodach dowodowych, co prowadzi do integralności danych i środków bezpieczeństwa, takich jak zarządzanie kluczami. Jednak badania te nie dotyczyły bezpośrednio obaw związanych z prywatnością użytkowników.
W innym badaniu analizowano koncepcję „DroneChain”, która skupiała się na integralności danych w przypadku dronów poprzez zabezpieczanie danych za pomocą publicznego łańcucha bloków. Chociaż metoda ta zapewniała solidny i odpowiedzialny system, wykorzystywała dowód pracy (PoW), co może nie być idealne w przypadku zastosowań IoT działających w czasie rzeczywistym, zwłaszcza dronów. Ponadto w modelu brakowało funkcji gwarantujących pochodzenie danych i ogólne bezpieczeństwo użytkowników.
Blockchain jako tarcza dla urządzeń IoT
Wraz z postępem technologii zwiększa się podatność systemów na ataki, takie jak ataki typu „odmowa usługi” (DoS). Wraz z rozprzestrzenianiem się niedrogich urządzeń IoT osoby atakujące mogą kontrolować wiele urządzeń w celu przeprowadzania potężnych cyberataków. Sieć definiowana programowo (SDN), choć rewolucyjna, może zostać naruszona przez złośliwe oprogramowanie, przez co jest podatna na różne ataki. Niektórzy badacze opowiadają się za wykorzystaniem blockchainu do ochrony urządzeń IoT przed tymi zagrożeniami, powołując się na jego zdecentralizowany i odporny na manipulacje charakter. Warto jednak zauważyć, że wiele z tych rozwiązań ma charakter teoretyczny i brakuje praktycznego wdrożenia.
Dalsze badania miały na celu zajęcie się lukami w zabezpieczeniach w różnych sektorach korzystających z blockchain. Na przykład, aby przeciwdziałać potencjalnym manipulacjom w systemie inteligentnych sieci, w jednym z badań zaproponowano zastosowanie kryptograficznej transmisji danych w połączeniu z blockchainem. W innym badaniu opowiedziano się za systemem potwierdzenia dostawy wykorzystującym technologię blockchain, usprawniającym proces logistyczny. System ten okazał się odporny na typowe ataki, takie jak MiTM i DoS, ale miał niedociągnięcia w zarządzaniu tożsamością użytkowników i prywatnością danych.
Rozproszona architektura chmury
Oprócz rozwiązywania znanych problemów związanych z bezpieczeństwem, takich jak integralność danych, MiTM i DoS, w ramach kilku badań badano wieloaspektowe rozwiązania. Na przykład w artykule badawczym Sharmy i zespołu przedstawiono opłacalną, bezpieczną i zawsze dostępną technikę blockchain dla rozproszonej architektury chmury, kładąc nacisk na bezpieczeństwo i zmniejszone opóźnienia transmisji. Istniały jednak obszary nadzoru, w tym prywatność danych i zarządzanie kluczami.
Powtarzającym się tematem w tych badaniach jest powszechne wykorzystanie PoW jako mechanizmu konsensusu, który może nie być najbardziej wydajny w zastosowaniach IoT czasu rzeczywistego ze względu na jego energochłonny charakter. Co więcej, w znacznej liczbie tych rozwiązań pominięto istotne aspekty, takie jak anonimowość użytkownika i kompleksowa integralność danych.
Wyzwania związane z wdrażaniem Blockchain w IoT
Opóźnienie i wydajność
Chociaż technologia blockchain (BC) istnieje już od ponad dziesięciu lat, jej prawdziwe zalety doceniono dopiero niedawno. Podejmowane są liczne inicjatywy mające na celu integrację BC w obszarach takich jak logistyka, żywność, inteligentne sieci, VANET, 5G, opieka zdrowotna i wykrywanie tłumu. Niemniej jednak dominujące rozwiązania nie rozwiązują problemu nieodłącznego opóźnienia BC i nie są odpowiednie dla urządzeń IoT o ograniczonych zasobach. Dominującym mechanizmem konsensusu w BC jest Proof-of-Work (PoW). PoW, pomimo jego powszechnego stosowania, jest stosunkowo powolny (przetwarza zaledwie siedem transakcji na sekundę w porównaniu ze średnią Visy wynoszącą dwa tysiące na sekundę) i jest energochłonny.
Obliczenia, przetwarzanie i przechowywanie danych
Prowadzenie BC wymaga znacznych zasobów obliczeniowych, energii i pamięci, zwłaszcza gdy jest rozproszone w rozległej sieci równorzędnej. Jak podkreślili Song i in., do maja 2018 r. rozmiar księgi Bitcoinów przekroczył 196 GB. Takie ograniczenia budzą obawy dotyczące skalowalności i szybkości transakcji w przypadku urządzeń IoT. Jednym z potencjalnych rozwiązań może być delegowanie zadań obliczeniowych do scentralizowanych chmur lub częściowo zdecentralizowanych serwerów mgły, ale powoduje to dodatkowe opóźnienia w sieci.
Jednolitość i standaryzacja
Podobnie jak wszystkie powstające technologie, standaryzacja BC jest wyzwaniem, które może wymagać dostosowań legislacyjnych. Cyberbezpieczeństwo pozostaje ogromnym wyzwaniem i zbyt optymistycznym nastawieniem jest oczekiwanie w najbliższej przyszłości jednolitego standardu, który może złagodzić wszelkie ryzyko zagrożeń cybernetycznych dla urządzeń IoT. Jednak standard bezpieczeństwa może zagwarantować, że urządzenia będą spełniać pewne akceptowalne standardy bezpieczeństwa i prywatności. Każde urządzenie IoT powinno obejmować szereg niezbędnych funkcji bezpieczeństwa i prywatności.
Obawy dotyczące bezpieczeństwa
Mimo że BC charakteryzuje się niezmiennością, brakiem zaufania, zdecentralizowaną i odporną na manipulacje, bezpieczeństwo konfiguracji opartej na blockchain jest tak solidne, jak jej punkt wejścia. W systemach zbudowanych na publicznym BC każdy może uzyskać dostęp do danych i je analizować. Chociaż prywatne łańcuchy bloków mogą być na to lekarstwem, wprowadzają nowe wyzwania, takie jak poleganie na zaufanym pośredniku, centralizacja i kwestie prawne dotyczące kontroli dostępu. Zasadniczo rozwiązania IoT oparte na technologii blockchain muszą spełniać kryteria bezpieczeństwa i prywatności. Obejmują one zapewnienie zgodności przechowywania danych z potrzebami w zakresie poufności i integralności; zapewnienie bezpiecznej transmisji danych; ułatwianie przejrzystego, bezpiecznego i odpowiedzialnego udostępniania danych; zachowanie autentyczności i bezdyskusyjności; zapewnienie platformy umożliwiającej selektywne udostępnianie danych; i zawsze uzyskując wyraźną zgodę na udostępnianie od uczestniczących podmiotów.
Wnioski
Blockchain, technologia o ogromnym potencjale i obietnicy, została ogłoszona narzędziem transformacyjnym dla różnych sektorów, w tym rozległego i stale rozwijającego się krajobrazu Internetu rzeczy (IoT). Dzięki zdecentralizowanemu charakterowi blockchain może zapewnić zwiększone bezpieczeństwo, przejrzystość i identyfikowalność – funkcje bardzo pożądane we wdrożeniach IoT. Jednak, jak w przypadku każdej fuzji technologicznej, połączenie blockchain z IoT nie jest pozbawione wyzwań. Od kwestii związanych z szybkością, obliczeniami i pamięcią masową po pilną potrzebę standaryzacji i eliminowania luk w zabezpieczeniach – istnieje wiele aspektów wymagających uwagi. Dla interesariuszy zarówno ekosystemu blockchain, jak i IoT istotne jest, aby wspólnie i innowacyjnie stawić czoła tym wyzwaniom, aby w pełni wykorzystać synergiczny potencjał tej unii.
Źródło: https://www.cryptopolitan.com/blockchain-can-build-trust-in-iot-ecosystems/