Pomanjkljivost odpravijo, ko nastopi problem!
Marjan Kodelja 5. maja 2016 ob 15:01

Potrošniki ne moremo popolnoma zaupati izdelovalcem pametnih in povezanih naprav, da so zadosti poskrbeli za varnost.

Pametne igrače, ki se povežejo v splet in se namesto nas pogovarjajo z otroki. Otroški alarmi, s katerimi nadziramo otroka z drugega konca sveta. Skoraj vsak mesec nove ideje, kaj vse bomo povezali v internet in kako si bomo olajšali življenje. Kaj bi sploh lahko šlo narobe? Veliko. V želji po čim preprostejši namestitvi in uporabi, takojšnem začetku prodaje in zanimivosti izdelka v očeh kupcev mnogokrat zanemarijo najpomembnejše. Varnost!

Izvirni greh

Povezati na primer otroški alarm v splet ni od včeraj. Spremenilo se je le, da za namestitev ni treba imeti znanja in veščin. Ni treba znati nastavljati usmerjevalnika, se ukvarjati z varnostnimi nastavitvami omrežja in s spletnimi naslovi. Izdelek prinesemo domov, namestimo aplikacijo, povežemo telefon z njim in zadeva deluje. Ko smo doma ali od doma. Ni pomembno, le da imamo dostop v internet.

To je mogoče, ker se tako aplikacija kot naprava po domačem omrežju povežeta s strežnikom izdelovalca, ki deluje kot vmesni člen. Prek njega gre vse. Pri otroškem alarmu video tok kamere in avdio tok mikrofona. Slaba stran ureditve pa je, da če strežnik ni dovolj varovan, tok podatkov ni šifriran ali sami ustrezno ne varujemo svojega računa, lahko uspešen napadalec, preprosto rečeno, vidi in sliši enako kot mi. Podobno velja še za celo vrsto »elektronskih igrač«.

Barbie vohunka

Punčka Hello Barbie, deluje podobno kot Applova osebna pomočnica Siri ali Microsoftova Cortana. Po brezžičnem omrežju je povezana v internet in ima vgrajen mikrofon. Posluša otoka, ko ji ta odgovori, in se primerno odzove. Zvoke posname in jih pošilja v strežnik podjetja Toytalk. Torej ne Mattela, ki lutko izdeluje, temveč njegovega partnerja. Zvoke program analizira in določi, kako se bo lutka odzvala, naravno in otroku razumljivo. Z govorom, odgovarjanjem na vprašanja. Starši pa imajo nekaj časa le zase, saj se jim ni treba ves čas pogovarjati z njim.

Konec lanskega leta pa so varnostni strokovnjaki podjetja Bluebox našli mogoče slabosti. V najslabšem primeru lahko napadalec posluša, kar lutka posname in pošlje v strežnik. Toytalk se je odzval, zatrdil, da jim je varnost najpomembnejša, in odpravil pomanjkljivosti. A bi to moral narediti že prej, preden so jo začeli prodajati, saj ni šlo za nič novega. Način vdora je bil odkrit leta 2014 pri lutki Cayla. Pomanjkljivost je bila poznana, rešitev tudi, v čem je težava? Težko je reči, a res je tudi, da ta način vdora ni preprost in ga lahko izvede izkušen heker. Morda je odgovor naslednji: »Zakaj bi se trudili, absolutne varnostni ni, močnejši mehanizmi varovanja pa le več stanejo. Če bo kdo pokazal na problem, ga bomo reševali naknadno.«

Varnost čez palec

Ne gre le za Barbie. Zaradi jezikovne ovire je pri nas manj igrač, ki delujejo le s povezavo v splet, v tujini pa jih je veliko. Vse se zanašajo na strežnik v internetu in tam hranijo raznovrstne podatke, med njimi tudi zasebne. Najcenejše, ki so zato tudi najzanimivejše, so kitajske, tam so tudi strežniki. Kombinacija poceni igrače in poceni dodatkov zanje pa je recept za katastrofo, saj za varnost ne ostane dovolj denarja. Primer takšnega podjetja je izdelovalec otroških prenosnikov in telefonov Vtech, ki so mu dokazali, da ni težko vdreti v strežnike. Napadalec pa bi pridobil osebne podatke vseh uporabnikov, njihovih izdelkov, med temi tudi fotografije otrok, podatke o rojstnih dnevih, naslove in še nekaj drugih, ki so jih zbrale njihove storitve.

Pri sorazmerno poceni igračah pa moramo upoštevati še nekaj. Podatki so denar. Lastniki podatkov so sicer uporabniki, a upravljavec spletne zbirke jih lahko v neosebni obliki prodaja. Do tod vse lepo in prav, vendar anonimnosti v spletu ni in tudi iz neosebnih zbirk lahko s kombinacijo z drugimi dostopnimi zbirkami anonimneže spremenijo v ljudi z imeni in priimki, naslovi. To je tudi odgovor na vprašanje, kako lahko podjetje sploh preživi, ko prodaja poceni napravo, storitev pa je brezplačna.

Razumljivo je, da so v internet povezani otroški alarmi za večino staršev mamljivi, saj obljubljajo dostop od povsod, in to je nekaj, kar nas prepriča, čeprav ga ne potrebujemo. Otroški alarmi niso dosti drugačni od nadzornih kamer, z njimi pa si delijo tudi varnostne pomanjkljivosti. Ko je video tok kamere dosegljiv po internetu, je na voljo vsem, če ni ustrezno varovan. Najti kamere, ki so priključene v internet, tudi ni večja umetnost, dovolj je v iskalnik naprav interneta stvari Shodan vpisati izraz »webcam«. Zato je skrb vzbujajoče, da so strokovnjaki za varnost našli niz pomanjkljivosti tudi v izdelkih znanih izdelovalcev, kot so Philips, Ibaby, Trendnet, ki bi nas morali navdajati z zaupanjem.

Avtor Marjan Kodelja
mm
Marjan se s tehnološkim novinarstvom ukvarja od leta 1997 in v tem času je videl že mnogo stvari, ki se nikoli niso uveljavile ali pa so imele kratek čas trajanja. Začel je pri računalniški reviji Moj mikro in ter 2000 postal njen urednik. Veliko kasneje je bil urednik naprej tednika Stop in nato še tednika Vklop, trenutno pa kruh služi s pisanjem tehnoloških člankov.
Marjan Kodelja - prispevki
Brez komentarjev

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja