Czy urządzenie Internetu Rzeczy jest bezpieczne? Sprawdzisz dzięki bazie informacji VARIoT

Baza informacji o podatnościach urządzeń Internetu Rzeczy powstała w ramach projektu VARIoT, który był koordynowany przez Państwowy Instytut Badawczy NASK. Dzięki pracy naukowców każdy może w łatwy sposób sprawdzić, czy używany przez niego sprzęt jest podatny na ataki cyberprzestępców.

Internet Rzeczy (z ang. Internet of Things, IoT) to koncepcja bazująca na tworzeniu sieci urządzeń, wymieniających między sobą dane. Rozwijający się rynek IoT oznacza nie tylko wygodę dla końcowego użytkownika, ale niesie za sobą też wiele korzyści dla gospodarki, kreując nowe obszary zastosowań urządzeń, a co więcej – ma potencjał rozwoju właściwie we wszystkich jej sektorach, od energetyki przez telekomunikację aż po ochronę zdrowia. Coraz większa liczba urządzeń podłączonych do Internetu Rzeczy – m.in. sprzętu RTV i AGD, urządzeń medycznych, samochodów - i znaczący wzrost ruchu sieciowego nie pozostanie jednak bez wpływu na cyberbezpieczeństwo.

Projekt VARIoT („Vulnerability and Attack Repository for IoT”) realizowany był przez konsorcjum pięciu instytucji: NASK – PIB (koordynator), Stichting The Shadowserver Foundation Europe (Shadowserver, Holandia), Security Made In Letzebuerg G.I.E. (SMILE, Luksemburg), Institut Mines-Télécom (IMT, Francja), Mondragon Goi Eskola Politeknikoa Jose Maria Arizmendiarrieta S COOP (MGEP, Hiszpania).

Uniwersalna baza danych o urządzeniach IoT

Głównym zadaniem specjalistów NASK w projekcie było utworzenie uniwersalnej bazy informacji o podatnościach i eksploitach urządzeń IoT. Wymagało to pozyskania jak największej liczby wysokiej jakości źródeł informacji. Mnogość nawet wysokiej jakości źródeł informacji wymaga rozwiązania problemu selekcji i agregacji danych w celu pozyskania przydatnych informacji. Wprawdzie istnieje kilka bardzo popularnych (także narodowych) baz podatności i eksploitów, jednakże większość z nich nie jest zbyt przydatna w kontekście urządzeń Internetu Rzeczy, gdyż zawierają przede wszystkim informacje o produktach spoza IoT.

Wiele informacji dotyczących podatności i eksploitów urządzeń Internetu Rzeczy można znaleźć m.in. na stronach internetowych, w raportach dostępnych w internecie, czy zwykłych wpisach na różnorodnych blogach. Dlatego też zespół stworzył narzędzie – wyszukiwarkę, pozwalającą na przeszukiwanie internetu pod kątem informacji o podatnościach i eksploitach oraz dodawanie tych informacji do bazy danych. Wykorzystano do tego metody uczenia maszynowego oraz przetwarzania języka naturalnego. 

Zrobiono więcej, niż zakładano

Dane na temat podatności w założeniu miały być publicznie dostępne poprzez europejski portal danych. Okazało się, że naukowcom z NASK-u udało się zrobić nawet więcej.

– Z naszej strony udało się to z nawiązką, bo zrobiliśmy również rzeczy, które z naszej perspektywy są bardziej wartościowe z punktu widzenia kraju. Mieliśmy udostępnić dane tylko za pośrednictwem europejskiego portalu otwartych danych, ale przecież w Polsce też mamy portal z takimi danymi. Postanowiliśmy to powiązać. Przysporzyło nam to wprawdzie sporo pracy i było dość stresujące, gdyż okazało się, że europejski portal otwartych danych nie pobiera tych informacji z polskiego odpowiednika we właściwy sposób. Finalnie jednak się udało – podkreśla koordynatorka projektu dr Anna Felkner, kierowniczka Pionu Systemów Cyberbezpieczeństwa i Zakładu Systemów Bezpieczeństwa Informacji.

Ponadto powstał portal, na którym można nie tylko wyszukiwać i przeglądać informacje ale również pobrać je przez API. Dane z projektu VARIoT są też zaciągane do rozproszonej platformy do wymiany i analizy informacji o zagrożeniach (threat intelligence) MISP.

Jak podkreśla dr Felkner, również konsorcjanci zrealizowali swoje zamierzenia projektowe.

Korzyści z VARIoT-a

Efekty pracy ekspertów zaangażowanych w projekt przydadzą się właścicielom sieci, specjalistom, którzy zajmują się badaniem cyberbezpieczeństwa czy zespołom CSIRT.

– Mamy nadzieję, że nasza baza informacji o podatnościach przysłuży się do zwiększenia świadomości na temat zagrożeń związanych z urządzeniami Internetu Rzeczy. Jeśli ktoś będzie chciał kupić jakieś urządzenie, może wejść na stronę i wyszukać np. producenta czy rodzinę urządzeń i sprawdzić, czy mają jakieś podatności krytyczne. Są tam też informacje o tym, jak szybko takie podatności są łatane, czy producent przejmuje się takimi sytuacjami i czy w ogóle na to reaguje – mówi koordynatorka projektu.

Projekt był realizowany w ramach dofinansowania z programu Connecting Europe Facility (CEF). Po zakończeniu otrzymał pozytywną recenzję Komisji Europejskiej. Eksperci NASK chcą go kontynuować, dlatego prowadzą starania o nowe źródło finansowania projektu.