Проблемы безопасности Интернета вещей Е. А. Верещагина И. О. Капецкий А. С. Ярмонов
 Скачать 3.32 Mb.
|
|
Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 57 система недостаточно устойчива к мошенничеству, число случаев ненадлежащего использования ее сервисов может возрасти, угрожая нормальному функционированию системы. Международный уровень взаимодействия невозможен без высокого уровня сотрудничества между правительствами разных стран. Принудительные меры в отношении тех, кто нарушает стандартные процедуры, также должны быть возможными на международном уровне. Региональные различия ИТС достаточно распространены в развитых странах, но все еще редко встречаются на дорогах стран с развивающейся экономикой. Это представляет собой неблагоприятную тенденцию в отношении сглаживания региональных различий в развитии международной транспортной системы. Безопасность и конфиденциальность Новые инструменты ИТС должны учитывать проблемы конфиденциальности и требовать разумного минимального уровня безопасности при обмене данными, транзакциях и т.д. Человеческий фактор Почти все случаи смерти и травм в результате дорожно-транспортных происшествий можно предотвратить: в большинстве случаев к ним приводит безрассудное поведение и нарушение правил дорожного движения водителем. Если человек управляет транспортным средством со скоростью, соответствующей текущим дорожным условиям, пристегивается ремнем безопасности и использует правильно подогнанные детские удерживающие устройства, количество смертей и травм в результате дорожно-транспортных происшествий значительно уменьшается. Внедрение новых технологий и развертывание ИТС в дорожном движении направлено на снижение негативного влияния человеческого фактора и, соответственно, человеческих ошибок на безопасность в этой сфере. Как пример подобного негативного влияния можно привести довольно часто повторяющуюся ситуацию, когда человек, перед глазами которого происходит авария, теряет бдительность и сам попадает в аварию. ИТС помогают избежать подобных аварий. Цель экономического обоснования развития транспортных средств и дорог – решение комплексной транспортной задачи, в том числе и устранение как можно большего количества непредсказуемых факторов. Таким образом, в транспортных средствах и на дорогах создаются предсказуемые условия, в которых водитель вряд ли столкнется с неожиданными событиями без предварительного предупреждения. В результате водители все чаще работают в расслабленном состоянии и могут не справиться с неожиданно возникшей нестандартной ситуацией или отвлекающим фактором. В любом случае даже самые передовые технологические дорожные условия не могут полностью исключить непредсказуемые ситуации. Очевидно, что водители вносят определенный фактор риска в дорожную среду, когда считают ситуацию безопасной: они начинают ездить более безрассудно. Они изменяют свой подход к вождению в ответ на повышение уровня безопасности, вызванное новой технической и технологической средой. Технический прогресс имеет свои ограничения в преодолении факторов риска, связанных с человеческой ошибкой. Более того, автоматизированные средства и умные технологии не всегда согласуются в дорожных ситуациях. Технологический фактор В настоящее время проводится множество исследований, цель которых – определить, Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 58 как усовершенствования физической инфраструктуры при ограниченном внедрении новых технологий могут повысить безопасность. Например, количество аварий может быть уменьшено благодаря инженерным технологиям, которые включают улучшенный геометрический дизайн, более прочную дорожную разметку, дорожные знаки с повышенной видимостью и дорожные поверхности с повышенной устойчивостью к скольжению. Одной из мер по предотвращению дорожно-транспортных происшествий, вызванных непреднамеренным выездом водителей из внутренней или внешней полосы движения, является установка полос грохота, которые создают шум и вибрацию, когда водитель съезжает с дороги. Системы предупреждения о выезде с полосы движения, установленные на современных транспортных средствах, не дают никаких преимуществ на дорогах, где отсутствует соответствующая дорожная разметка. Следовательно, плохое обслуживание дорожного полотна (отсутствие разметки) может быть фатальным для водителей, которые полагаются на это новое устройство, неэффективное в подобных случаях. Подобные проблемы связаны и с тормозными устройствами. Другие недостатки связаны с интеллектуальными системами автомобиля, которые предназначены для защиты пассажиров. Растущее число бортовых предупреждающих сигналов в итоге вступает в противоречие с ограниченными способностями водителей воспринимать и устанавливать приоритеты этих предупреждений. Защита от лобового или бокового удара обеспечивается благодаря подушкам безопасности. Они были разработаны и испытаны на основе тестов с манекенами в стандартизированных положениях. Чтобы получить максимальный эффект от этих защитных устройств, пассажиры должны сидеть в такой же позе, что и испытательные манекены. А если у водителя рука лежит посередине рулевого колеса или у пассажира, сидящего рядом с водителем, голова или другие части тела находятся слишком близко к панели, где расположена подушка безопасности, ее развертывание может стать причиной серьезной травмы или даже смерти. Поэтому целостная стратегия развертывания ИТС должна включать образовательные программы, направленные на адаптацию пользователей к транспортному средству и дорожной среде будущего. Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 59 3.3. Элементы методологии цифровой экспертизы В этом разделе проводится анализ проблем IoT-криминалистики (англ. IoT- Forensics). [68]. Первоначальный подход к проведению цифровых экспертиз создавал риски нарушения конфиденциальности информации. Эти риски приведены в таблице 4 вместе с некоторыми механизмами их снижения. Из таблицы 4 также видно, что механизмы снижения рисков могут применяться на разных этапах решения для цифрового свидетеля (ЦС), соответствующего требованиям цифровой экспертизы с учетом конфиденциальности данных. Таблица 4. Риски нарушения конфиденциальности и механизмы их снижения для цифрового свидетеля Риск нарушения конфиденциальности для ЦС Механизм снижения риска Фазы цифровой экспертизы с учетом конфиденциальности данных П КК АК РИ Пр О Устройства поблизости могут знать, когда ЦС отстранен от выполнения своих обязанностей Прямое анонимное подтверждение Подтвердить получение цифровых доказательств без доступа подписанта к их содержимому Слепые подписи + цепочка подписей Свидетели могут неохотно делиться с другими участниками своей версией происшествия Гомоморфное шифрование или безопасное вычисление Личность свидетеля идентифицирована Анонимное цифровое свидетельство Личность участников процесса раскрыта Анонимное обнаружение маршрута Система может выставить других пользователей частью среды Согласие стороннего пользователя Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 60 Операции могут показать конфиденциальную информацию Умный контракт с учетом конфиденциальности П р и м е ч а н и е : П – подготовка; КК – контекстный сбор данных; AК – анализ и корреляция; РИ – распространение информации; Пр – презентация; О – обзор. Другими словами, ЦС, отвечающий требованиям цифровой экспертизы с учетом конфиденциальности данных, соответствует стандарту ISO/IEC.29100:2011 в отношении соблюдения конфиденциальности. ЦС позволяет реализовать следующие механизмы снижения рисков нарушения конфиденциальности: 1. Прямое анонимное подтверждение. Позволяет верификатору проверить, использует ли платформа сертифицированный программный модуль безопасности без раскрытия личности пользователя платформы. 2. Слепые подписи плюс цепочка подписей. Эти механизмы могут быть использованы для подтверждения того, что данное доказательство существовало в определенный момент времени, без раскрытия его действительного содержания подписывающему лицу. 3. Гомоморфное шифрование или безопасное вычисление. Свидетели могут совместно делиться заявлениями других участников и оперировать ими, не зная о вкладе друг друга. 4. Анонимное цифровое свидетельство. Это решение упрощает определение ЦС, чтобы передавать цифровые доказательства без раскрытия реальной личности источника. Например, группа ЦС может использовать анонимную систему связи с использованием протокола Crowds (с англ. «толпа»), чтобы передавать цифровые доказательства без точного указания ЦС, потребовавшего проведения расследования. Это решение не обеспечивает полной анонимности – она не допускается из-за требования к отслеживаемости. Вместо этого предлагается решение, в котором 1) обеспечивается анонимность источника данных (концепция проверки происхождения данных широко обсуждается в работе [69]), 2) звенья в цепочке поставок могут выбрать вариант анонимности, только если он может быть отменен конечным пунктом сбора доказательств. 5. Анонимное раскрытие маршрута. Позволяет раскрывать путь передачи доказательств в официальное устройство для сбора доказательств, не раскрывая личность инициатора. Это может быть достигнуто путем адаптации протоколов, таких как аутентифицированная анонимная безопасная маршрутизация (AASR), к решению для ЦС. 6. Согласие стороннего пользователя. Не только пользователь ЦС, но и все свидетели, участвующие в совместной работе, соглашаются с политикой в определенном контексте. 7. Умный контракт с учетом конфиденциальности. Необходимо избегать невозможность отказа от операций при сохранении конфиденциальности. 8. Гарантии отчуждения. Верификатор может проверить с помощью доказательства безопасного стирания, стерла ли третья сторона определенные фрагменты памяти. Механизмы 1–4 должны быть рассмотрены на этапе подготовки, поскольку они требуют, чтобы ЦС были готовы к выполнению этих операций (например, имели подходящий криптографический материал). Механизм 4 влияет также на фазу анализа и корреляции, поскольку используемый подход должен гарантировать, что личность свидетелей источника не будет известна после сопоставления данных. То же самое происходит с механизмом 5: раскрытие пути передачи данных может привести к утечке информации о третьих лицах, если Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 61 анонимность не учитывается в процессе передачи. В этом случае может произойти утечка информации об участниках, которые были вовлечены в данную ситуацию, но не участвовали в операции. Более того, решение должно запрашивать согласие стороннего пользователя (механизм 6) во время контекстного сбора данных, поскольку это согласие необходимо проверять на остальных этапах разными способами. Это означает не только информировать пользователя, но также иметь возможность получить согласие остальных участников (то есть свидетелей). Разрешения должны проверяться на протяжении всего процесса. Механизм 7 обеспечивает не только гарантированную невозможность отказа при операциях с данными, но и соблюдение конфиденциальности во время проведения этих операций. Следовательно, этот механизм может применяться не только на этапе сбора данных, но и в процессе обмена информацией между различными объектами и на этапе проверки правильности выполнения операций. Кроме того, обратите внимание, что в таблице 4 все механизмы снижения рисков влияют на этап сбора контекстной информации. Происходит так потому, что на этом этапе цифровой свидетель впервые сталкивается с данными третьих лиц. Таким образом, это важная характеристика, которая влияет на принципы конфиденциальности в данном решении. Наконец, гарантии отчуждения (механизм 8) должны быть предоставлены всем пользователям на этапе сбора данных и реализованы после завершения этапа рассмотрения. Важно уточнить, что список механизмов снижения рисков, представленный в этом разделе, не является исчерпывающим. Наша цель – продемонстрировать уже существующие механизмы, которые могут справиться с проблемами конфиденциальности, возникающими в контексте цифрового свидетельства, и варианты их использования на различных этапах. Очевидно, что существует много технологий и в будущем их появится еще больше, их выбор будет зависеть от функций и требований платформы на момент реализации конкретного механизма снижения рисков. Социальная вредоносная программа Рассмотрим вариант расследования хакерской атаки, в котором используется ЦС, чтобы проиллюстрировать, как применяется цифровая экспертиза на этапах, следующих за подготовительным. Данный вариант представляет сценарий заражения вредоносным ПО. На его примере покажем, как в цифровой экспертизе можно добиться идеального баланса между расследованием и конфиденциальностью данных. У Марка есть ЦС, соответствующий требованиям цифровой экспертизы с учетом конфиденциальности данных. Марк находится в известном ресторане «Тарелка и ложка», в котором используется ряд инновационных технологий для создания эксклюзивной обстановки, контроля поставок ингредиентов и напитков, повышения безопасности и контроля различных зон ресторана, а также улучшения управления запросами клиентов. Ресторан предлагает своим клиентам приложение iSpoon для получения информации о бронировании столика и желательной обстановке на вечер. Приложение iSpoon использует технологию Bluetooth для предоставления клиенту соответствующей информации (например, имя официанта, обслуживающего столик, наличие любимых вин, время подачи и т. д.). Все это сделало ресторан одним из самых популярных в городе. В ресторане сосуществуют как персональные, так и неперсональные устройства IoT. Ответственный за работу устройств в ресторане – метрдотель (то есть старший официант и менеджер). Он следит за правильной работой устройств, чтобы гарантировать клиентам Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 62 наилучшие впечатления во время ужина. Во время ужина цифровой свидетель Марка (ЦС1) обнаруживает попытку заражения, инициированную устройством, находящимся рядом. Это заставляет ЦС1 сохранить всю связанную с ним информацию (например, дамп памяти, сетевые подключения, доступ к файлам и запуск приложений) в последние минуты. Кроме того, ЦС вычисляет криптографический хэш из только что собранных цифровых доказательств и оповещает Марка, который решает запросить расследование. С этой целью Марк отправляет доказательства, сохраненные (и подписанные) в ЦС1 к следователю – специалисту по цифровой экспертизе, таким образом инициируя цифровое судебное расследование (фаза 2, рисунок 3.7). Рисунок 3.7 – Запрос на начало цифрового расследования Назначается эксперт-криминалист, который анализирует предоставленные данные (фаза 3) и подтверждает, что это локально запущенная атака. В данном случае похоже, что устройство, находящееся в ресторане, заражено и пытается распространить червя, используя уязвимость в приложении iSpoon, которая кроется в модуле Bluetooth, используемом приложением. Однако эксперту этого недостаточно для раскрытия дела, и он предлагает ЦС1 собрать новые данные от других устройств, находящихся рядом и желающих сотрудничать (возврат к фазе 2). Следуя методологии цифровой экспертизы, ЦС1 сначала запрашивает неперсональные устройства и ищет ответственного за них. В данном сценарии таким ответственным является метрдотель, который приносит другого цифрового свидетеля (ЦС2). Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 63 ЦС1 инициирует диалог с ЦС2, чтобы получить разрешение от метрдотеля на получение любых данных, относящихся к данной цифровой экспертизе. Рисунок 3.8 показывает этапы описанной части процесса. Рисунок 3.8 – Сбор соответствующей информации от свидетелей (третьих лиц) Когда ЦС1 просит ЦС2 о сотрудничестве, он прикрепляет соответствующую информацию, которая может помочь ЦС2 решить: сотрудничать или нет, при этом ЦС2 основывается на своей политике конфиденциальности. Запрос на сотрудничество включает информацию о возможностях устройства Марка и краткое изложение предварительного анализа, проведенного следователем-экспертом. В частности, ЦС1 подтверждает, что он является цифровым свидетелем, соответствующим стандарту цифровой экспертизы с учетом конфиденциальности. Это означает, что платформа основана на защищенном от взлома аппаратном ядре доверия и гарантирует конфиденциальность внешних цифровых свидетелей. Анализ показывает, что в сети существует угроза распространения вредоносного ПО, которое распространяется с помощью уязвимости в Bluetooth. После проверки учетных данных, отправленных ЦС1 (например, учетных данных и сертификата отчета, выданных следователем-экспертом, и разрешений, предоставленных метрдотелем), ЦС2 соглашается сотрудничать, но только при соблюдении следующих условий: • поделиться информацией могут только устройства, находившиеся в пределах 100 м от Марка (максимальный радиус действия Bluetooth составляет около 100 м) во время инцидента; Проблемы безопасности Интернета вещей Е.А. Верещагина И.О. Капецкий А.С. Ярмонов http://izd-mn.com/ 64 • при этом исключаются устройства, содержащие личные данные или финансовую информацию (например, кассовые аппараты); • передаваемые данные будут использоваться только для этого расследования, и как только они будут удалены, ресторан и метрдотель будут сразу поставлены в известность; • собранные цифровые доказательства будут отправлены с помощью ЦС1 в качестве посредника. Данные, предоставленные устройствами ресторана, шифруются, подписываются и отправляются в ЦС1, который, в свою очередь, отправляет данные эксперту-криминалисту. Кроме того, метрдотель получает цифровую квитанцию, подтверждающую, что цифровые доказательства были отправлены удаленному эксперту-криминалисту. Метрдотель может использовать эту квитанцию для создания запроса, чтобы эксперт-криминалист проверил содержание данных, предоставленных ЦС1, и/или отказаться от своих показаний и потребовать их удаления. При этом способ сбора данных зависит от политики конфиденциальности, определенной владельцами или лицом, ответственным за внешнего цифрового свидетеля. Таким образом, этот процесс может быть очень сложным в зависимости от контекста. После получения экспертом-криминалистом новых цифровых доказательств, предоставленных метрдотелем (этап 3), результаты исследования позволяют предположить, что одно из устройств в ресторане (например, умный винный погреб) заражено той же вредоносной программой, которая пыталась контролировать устройство Марка (ЦС1). |