FAKULTETA ZA INFORMACIJSKE ŠTUDIJE V NOVEM MESTU D I P L O M S K A N A L O G A UNIVERZITETNEGA ŠTUDIJSKEGA PROGRAMA PRVE STOPNJE MARTIN VRŠČAJ
FAKULTETA ZA INFORMACIJSKE ŠTUDIJE
V NOVEM MESTU
D I P L O M S K A N A L O G A
UNIVERZITETNEGA ŠTUDIJSKEGA PROGRAMA PRVE STOPNJE
MARTIN VRŠČAJ
FAKULTETA ZA INFORMACIJSKE ŠTUDIJE
V NOVEM MESTU
DIPLOMSKA NALOGA
VARNOST IN VARNOSTNE LUKNJE V
INTERNETU STVARI
Mentor: izr. prof. dr. Blaž Rodič
Novo mesto, februar 2018 Martin Vrščaj
IV
IZJAVA O AVTORSTVU
Podpisani Martin Vrščaj, študent FIŠ Novo mesto, izjavljam:
- da sem diplomsko nalogo pripravljal samostojno na podlagi virov, ki so navedeni v
diplomski nalogi,
- da dovoljujem objavo diplomske naloge v polnem tekstu, in sicer v prostem dostopu
na spletni strani FIŠ oz. v elektronski knjižnici FIŠ,
- da je diplomska naloga, ki sem jo oddal v elektronski obliki, identična tiskani verziji,
- da je diplomska naloga lektorirana.
V Novem mestu, dne ____________ Podpis avtorja___________________
ZAHVALA
Predvsem bi se rad zahvalil mentorju izr. prof. dr. Blažu Rodiču za strokovno pomoč in
podporo pri izdelavi diplomske naloge.
Iskrena hvala tudi vsem ostalim, ki so mi ves čas stali ob strani in tako prispevali k nastanku
tega diplomskega dela.
POVZETEK
Namen našega diplomskega dela je bil proučiti varnostne luknje v internetu stvari in na ta
način prispevati k tovrstni izobrazbi povprečnega uporabnika. V začetnem delu smo opredelili
zgodovino interneta stvari in bistvene pojme le-tega. V nadaljevanju smo opisali najbolj
pomembne komunikacijske povezave, kot sta Wi-Fi in Bluetooth. Posebno pozornost smo
namenili možnostim povezav v omrežjih med seboj in raziskali, kako napredna ter energetsko
varčna so. Predstavili smo tudi popolne rešitve interneta stvari, ki jih ponujata podjetji ZigBee
in Z-Wave. Naslednja poglavja smo namenili programski in strojni opremi v internetu stvari.
Posebno poglavje smo namenili tudi varnosti in varnostnim luknjam v pametnem omrežju. Na
koncu pa smo sestavili tudi priporočila za uporabo interneta stvari, ki bodo v pomoč malim
uporabnikom pri spoznavanju in uporabi le-tega.
KLJUČNE BESEDE: omrežje, splet, varnost, varnostne luknje, naprave, internet stvari
ABSTRACT
The purpose of the thesis was to study security holes in the Internet of Things and thus
contribute to the education of the average user. In the first part, the history of the Internet of
Things and its essential concepts are described. Next, we focused on the most important
communication links, such as Wi-Fi and Bluetooth. We paid special attention to the
possibilities of connections among networks, and explored how advanced and energy efficient
they are. We also introduced the complete Internet-enabled solutions offered by ZigBee and
Z-Wave. In the following chapters we focused on software and hardware in the Internet of
Things. A special chapter was dedicated to security and security holes in the smart web. In the
end, we also made recommendations for using the Internet of Things to help individual users
learn and use it.
KEY WORDS: network, web, security, security holes, devices, the Internet of things
IX
KAZALO
1 UVOD ................................................................................................................................. 1
1.1 Cilji .............................................................................................................................. 2
1.2 Definicije in ključni pojmi ........................................................................................... 3
1.2.1 Lokalno računalniško omrežje.............................................................................. 3
1.3 Raziskovalna vprašanja ................................................................................................ 3
1.4 Metodologija ................................................................................................................ 3
2 INFORMACIJSKA VARNOST ........................................................................................ 4
2.1 Osnovni pojmi in koncepti ........................................................................................... 4
2.2 Standardi na področju informacijske varnosti ............................................................. 6
2.2.1 Standard ISO/IEC 27001 ...................................................................................... 7
2.2.2 Standard ISO/IEC 27005 ...................................................................................... 8
3 INTERNET STVARI IN ZGODOVINA ........................................................................... 8
3.1 Zgodovina interneta ..................................................................................................... 8
3.2 Pametno omrežje .......................................................................................................... 9
3.3 Inteligentna hiša ali gospodinjstvo .............................................................................. 9
3.4 Varnost v LAN ........................................................................................................... 10
3.5 Kaj je internet stvari? ................................................................................................. 10
3.6 Varnost v internetu stvari ........................................................................................... 11
3.7 Kakšne tehnologije so povezane v internet stvari? .................................................... 11
3.8 Varnost otežuje pomanjkanje in nezrelost standardov............................................... 11
4 KOMUNIKACIJE V INTERNETU STVARI ................................................................. 12
4.1 Wi-Fi .......................................................................................................................... 13
4.2 Light-Fidelity (Li-Fi) ................................................................................................. 14
4.2.1 Razvijanje Li-Fi v sedanjem času ....................................................................... 15
4.2.2 Prednosti in slabosti ............................................................................................ 15
XI
4.3 QR kode in barkode ................................................................................................... 16
4.4 Bluetooth .................................................................................................................... 17
4.4.1 Ranljivosti Bluetootha 5 ..................................................................................... 18
4.4.2 Specifične ranljivosti za IoT ............................................................................... 19
4.4.3 »Napad s človekom v sredini« (Man in the middle attack ali MITM) ............... 19
4.4.4 Pasivno prisluškovanje v Bluetooth-u ................................................................ 20
4.4.5 Šifriranje na Bluetooth-u .................................................................................... 20
4.4.6 Šifriranje nizkoenergijskega Bluetooth-a .......................................................... 20
4.4.7 Seznanjenje in povezovanje pri nizkoenergijskem Bluetooth-u......................... 21
4.5 Zigbee in Z-Wave ...................................................................................................... 24
4.5.1 Zigbee ................................................................................................................. 25
4.5.2 Zigbee varnostni pregled .................................................................................... 25
4.5.3 Z-Wave varnostni pregled .................................................................................. 29
4.6 RFID .......................................................................................................................... 31
4.6.1 Varnostni problemi ............................................................................................. 32
4.7 NFC ali Near Field Communication .......................................................................... 32
4.7.1 Razlike med RFID in NFC ................................................................................. 33
4.8 EnOcean ..................................................................................................................... 34
4.8.1 Fizična plast ........................................................................................................ 35
4.9 Nwave ........................................................................................................................ 36
4.10 RPMA..................................................................................................................... 36
4.11 Thread..................................................................................................................... 38
4.11.1 Naprave uporabljene v Thread-u ........................................................................ 39
4.11.2 Dobre lastnosti .................................................................................................... 40
4.11.3 Realnost pri varnosti Thread-a ........................................................................... 40
5 HRBTENICA INTERNETA STVARI ............................................................................ 40
5.1 IPv4 in IPv6 ............................................................................................................... 40
XIII
5.2 UDP ali USER DATAGRAM PROTOCOL ............................................................. 41
5.3 TCP ali Transmission control protocol ...................................................................... 41
5.4 6LoWPAN ................................................................................................................. 41
6 PROGRAMSKA OPREMA ZA INTERNET STVARI .................................................. 42
6.1 RIOT OS .................................................................................................................... 42
6.2 Thingsquare Mist ....................................................................................................... 42
6.3 Sapphire OS ............................................................................................................... 42
6.4 Nimbits ....................................................................................................................... 44
6.5 ThingSpeak ................................................................................................................ 44
6.6 Protokoli v uporabi pri IoT ........................................................................................ 45
7 STROJNA OPREMA V IOT ........................................................................................... 46
7.1 Google Nest ............................................................................................................... 46
7.1.1 Varnost Google Nest termostata ......................................................................... 47
7.1.2 Varnost Google Nest varnostne kamere ............................................................. 48
7.2 Raspberry PI .............................................................................................................. 48
7.2.1 Varnost RasPi in kaj narediti .............................................................................. 50
7.3 Arduino ...................................................................................................................... 52
7.3.1 Varnost pri Arduino-u ........................................................................................ 53
7.4 SparkFun izumiteljski komplet za Photon ................................................................. 54
7.5 SparkFun ESP8266 Wi-Fi/mikrokontroler sistem na čipu ........................................ 56
7.6 SparkFun Blynk plošča .............................................................................................. 56
8 VARNOST IN VARNOSTNE LUKNJE ......................................................................... 57
8.1 Press in njegovih 6 idej za bolj varen IoT.................................................................. 57
8.2 Uporabniški ID in gesla ............................................................................................. 59
8.3 Načini za dostop do funkcij ali podatkov .................................................................. 59
8.4 Pomembne točke za zavarovanje IoT podatkovja pri mirovanju ali pri gibanju ....... 59
9 REZULTATI .................................................................................................................... 62
9.1 Odgovori na raziskovalna vprašanja .......................................................................... 62
XV
10 ZAKLJUČEK ................................................................................................................... 63
10.1 Zaključne misli ....................................................................................................... 63
11 PRIPOROČILA ZA UPORABO INTERNETA STVARI ............................................... 65
12 LITERATURA IN VIRI .................................................................................................. 68
XVII
KAZALO SLIK IN TABEL
Slika 2.1: Grožnja Venn diagram ............................................................................................... 5
Slika 2.2: Diagram vpliva IT napada .......................................................................................... 6
Slika 4.1: Standardi v uporabi pri IoT ...................................................................................... 12
Slika 4.2: Barkoda na kartonski embalaži ................................................................................ 17
Slika 4.3: Povezovanje BLE naprav ......................................................................................... 22
Slika 4.4: Povezovanje pri BLE ............................................................................................... 23
Slika 4.5: Varnost seznanjanja BLE naprav ............................................................................. 23
Slika 4.6: RFID proti NFC ....................................................................................................... 34
Slika 4.7: RPMA ...................................................................................................................... 37
Slika 4.8: Thread ...................................................................................................................... 38
Slika 6.1: Sapphire .................................................................................................................... 43
Slika 7.1: Raspberry PI ............................................................................................................. 48
Slika 7.2: Arduino .................................................................................................................... 53
Slika 7.3: AVR naprave ............................................................................................................ 54
Slika 7.4: SparkFun Photon ...................................................................................................... 55
Tabela 4.1: RFID proti NFC ..................................................................................................... 34
1
1 UVOD
Povečanje tempa vsakdanjega življenja, intenziven tehnološki razvoj in globalizacija trga
silijo družbo k hitremu prilagajanju tem spremembam. Zaradi le-teh ljudem primanjkuje
prostega časa, kar jih posledično sili v iskanje pomoči na vseh področjih njihovega delovanja.
S tem namenom se je razvil tudi trg pametnih naprav, ki nam pomagajo pri vsakdanjih
opravilih. Te naprave pa vsebujejo delce informacij o nas in našem privatnem življenju. Vse
naprave, ki so povezane z internetom, so lahko tudi nevarne, saj so informacije na njih lahko
prestrežene s strani tretjih oseb, ki jih lahko tudi zlorabijo. Zato je pomembno biti podučen
tako o prednostih takih tehnološko dovršenih naprav kot tudi pasteh pri njihovi uporabi. Pasti
se skrivajo že v tako majhnih napravah kot so na primer senzorji premikanja. Tretje osebe
lahko iz senzorjev razberejo naše vsakdanje premikanje in na ta način ugotovijo časovno
sosledje prihodov in odhodov iz hiše, kar ima lahko za posledico povečano možnost vdora v
našo zasebno lastnino. Gre le za enega izmed primerov kršenja zasebnosti in kraje podatkov,
ki za hekerje ne predstavlja posebne ovire. Zato želimo poleg prednosti uporabe pametnih
naprav izpostaviti predvsem nevarne strani uporabe le-teh in na ta način ozavestiti ljudi o
pametnem nakupu in čim varnejši uporabi takih naprav.
Reševanje problemov pri domačih pametnih napravah mi je vedno predstavljalo izziv, ki sem
se ga z veseljem lotil. Tako sem pri vseh napravah v našem domu videl, da so zaradi
neprilagojenih standardov in nepovezljivosti med seboj to zelo »neumne« naprave. Pri
vgradnji nove peči za ogrevanje in na njenih nadzornih ploščah sem videl polno možnih
izboljšav in potencialnih novih rešitev. Ta tema mi je vedno bila blizu, saj rad spremljam
razvoj novih pametnih naprav, ki lahko izboljšajo kakovost življenja posameznika. Vedno
sem verjel, da nova tehnologija rešuje vsakdanje probleme na enostavne načine in tako
pomaga uporabnikom.
Na trgu se nenehno povečuje ponudba pametnih naprav, ki lahko med drugim tudi zbirajo in
shranjujejo multimedijske in druge podatke o nas. Varnost teh podatkov pa ni popolnoma
zagotovljena. S tem problemom smo se v naših gospodinjstvih srečali že pri prvih pametnih
napravah, kot je na primer televizija. Ta je imela povezavo z internetom in začela so se nam
porajati vprašanja, kdo še ima v tem trenutku dostop do podatkov o naših nastavitvah in
1 UVOD
2
povezavah. Po večini je varovanje teh podatkov omejeno le na naša tehnološka znanja, ki pa
so največkrat pomanjkljiva, kar ima lahko za posledico krajo le-teh.
V našem diplomskem delu bomo raziskali teoretične definicije in ključne pojme na temo
pametnih naprav, povezanih v internet stvari. Dotaknili se bomo zgodovine razvoja interneta
in pametnih hiš ter predstavili glavne točke interneta stvari in njegove varnosti. Naše
diplomsko delo bo govorilo o varnosti v internetu stvari, zato bomo to temo razdelili na
komunikacijski del, hrbtenico interneta stvari in strojni del. V vseh treh delih bomo našteli
najbolj znane tehnologije, jih opisali in raziskali glede varnosti in možnih varnostnih lukenj.
V komunikacijskem delu bomo opisali že nekaj bolj znanih povezav, kot so Wi-Fi, Bluetooth,
ZigBee in Z-Wave ter tudi nekaj manj znanih. Vse te povezave slonijo na različnih
tehnologijah, ki niso enako osredotočene na varnost, hitrost in porabo energije, zato bomo le-
te razdelili in jih podrobneje opisali. Pri poglavju o hrbtenici interneta stvari se bomo
osredotočili na protokole, ki se uporabljajo za povezovanje in prenašanje podatkov, ter opisali
njihove prednosti in slabosti.
S tem diplomskim delom želimo ozavestiti ljudi o varni uporabi pametnih gospodinjskih
naprav in o vseh možnih varnostnih luknjah ter na ta način zagotoviti pametno in optimalno
izbiro naprav v hitro rastoči ponudbi na trgu.
1.1 Cilji
Cilji diplomske naloge so prikazati in preučiti varnostne luknje pri internetu stvari in tako
izobraziti povprečnega uporabnika. Preučili bomo različne načine povezave v naprednem
lokalnem omrežju, izpostavili, kje so šibke točke, in predlagali izboljšave. Opisali bomo tudi
nekaj naprav, ki se redno uporabljajo pri hobi postavitvi ali profesionalni rabi. Pri opisu teh
naprav bomo izpostavili njihove ranljive točke in vdore, ki so znani na internetu za te naprave.
Na koncu želimo dobiti okvirni načrt za postavitev naprednega lokalnega omrežja in nakup
naprav, ki bodo čim manj vplivale na tveganje vdora in krajo informacij.
1 UVOD
3
1.2 Definicije in ključni pojmi
1.2.1 Lokalno računalniško omrežje
Lokalno računalniško omrežje ali LAN je glavni povezovalni del vseh elektronskih naprav, ki
komunicirajo s spletom ali med seboj. Preko LAN povezav se prenašajo različne podatkovne
vsebine, in sicer od glasbe, videa do bolj pomembnih podatkov. Osnovni strukturni del LAN
omrežja je strežnik, v katerem se shranjujejo podatki in povezave. LAN omrežje je največkrat
hrbtenica manjših domačih internetov stvari. (Metaling, 2015)
1.3 Raziskovalna vprašanja
V okviru dela smo si zastavili naslednji dve raziskovalni vprašanji:
1. So pametna omrežja in pametne naprave v internetu stvari dovolj varne, da jim
prepustimo tudi naše osebne podatke in druge informacije? Namreč znano je, da so
tako zaupni podatki in informacije lahko zlorabljene s strani tretjih oseb, ki tako
vdirajo v našo zasebnost.
2. Lahko nizkocenovne pametne rešitve za v internet stvari, z že vnaprej vgrajenimi
varovali, ter varovala, ki jih lahko postavimo sami (močna gesla in varni vstopni
koraki), ponujajo dovolj varne rešitve za vsakodnevno uporabo?
1.4 Metodologija
Kvalitativna raziskovalna metodologija - Analiza dokumentov
Analizirali bomo članke, brošure in knjige in tako raziskali različne postavitve interneta stvari
in njihove varnostne ukrepe in slabosti, ki bi bile možne v našem pogledu. To metodo bomo
izbrali zaradi večjega števila različnih metod postavitev in uporabljenih pametnih naprav, ki
vplivajo na varnost sedaj in varnost v prihodnosti.
Kvantitativna raziskovalna metodologija
V drugem delu diplomske naloge bomo izdelali priporočila za uporabo interneta stvari in lažjo
postavitev. Podatke bomo pridobili iz že napisanih brošur, člankov in knjig ter jih obdelali, da
4
bodo lažje berljivi za vse uporabnike ali tiste, ki jih to zanima. Osredotočili se bomo le na
pomembnejše podatke in informacije, manj pomembne pa bomo zavrgli, saj bodo samo
zmedle uporabnike. Cilj izdelave navodila je na osnovi že napisanih člankov pomagati novim
uporabnikom in jim razjasniti varnost pri internetu stvari, hkrati pa pokazati njegovo
uporabnost.
2 INFORMACIJSKA VARNOST
2.1 Osnovni pojmi in koncepti
Zagotavljanje zaupnosti je koncept, pri katerem s certifikati in standardi poskušamo
prepričati uporabnike, da so varni pred krajo in javnim objavljanjem zasebnih podatkov.
Zaupnost je potrebna pri uporabniški zasebnosti in verjetju napravam in programom, da so
zmožni varovati naše podatke in informacije pred vdori in krajo. (Tršelič, 2014)
Zagotavljanje celovitosti je proces, pri katerem zagotavljamo uporabnikom, da se njihovi
podatki ali informacije ne bodo spreminjale ali brisale s strani nepooblaščenega ali
nezaželenega uporabnika. Ta dva načina lahko pomenita s strani uporabnika, ki pride v sistem
nepooblaščeno, ali pa uporabnika, ki si je zagotovil pooblastilo z dovoljenjem ali brez in ima
tako nezaželen dostop s strani lastnikov. (Tršelič, 2014)
Zagotavljanje razpoložljivosti je proces, pri katerem uporabnikom ponujamo stalen 24/7
dostop do njihovih podatkov in informacij in jim zagotavljamo, da ga bodo imeli brez izpadov
elektrike, programja, omrežja ali drugega. (Tršelič, 2014)
Zagotavljanje verodostojnosti je proces, pri katerem zagotavljamo, da elektronski ali fizični
dokumenti in podatki niso ponarejeni in lahko verjamemo v njihovo poreklo. (Wikipedija,
2017)
Zagotavljanje nezatajljivosti je koncept, pri katerem mora neka oseba izpolniti obvezo do
druge osebe, kar pomeni, da mora biti na obeh straneh ponujena elektronska zaupnost in
potrebne overovitve za dostop do izmenjanih podatkov in informacij. Pri obeh straneh mora
biti elektronska sled brez možnosti ponarejanja. (Wikipedija, 15. januar 2018)
2 INFORMACIJSKA VARNOST
5
Identifikacija je proces, ki ponuja prepoznavo osebe ali naprave. Pri tem je potrebno
poskrbeti za zaupanje v to prepoznavo in jo preverjati. (Wikipedija, 15. januar 2018)
Avtentikacija ali overovitev je sigurna prepoznavnost osebe ali naprave s certifikatom ali
drugim kriptografskim procesom, brez suma ponareditve. (Wikipedija, 15. januar 2018)
Sistem je skupek naprav, ki delujejo v končno dobro in je lahko bolj kompleksen ali manj.
Peč za ogrevanje je le ena naprava v sistemu za ogrevanje. V njem so še druge naprave, ki
skrbijo, da cel sistem deluje pravilno. (Tršelič, 2014)
Grožnja v informacijskem sistemu je dogodek ali dejavnost, ki jo izvaja računalnik ali
oseba in z njo naredi škodo sistemu in posledično izgubo zaupanju v sistem in celovitosti le-
tega. (Wikipedija, 15. januar 2018) Primer grožnje z Venn diagramom je prikazan na Sliki
2.1. Uspešen napad v informacijski sistem je možen takrat, ko je sistem občutljiv in ko je
prisotna grožnja dostopnosti in zmožnosti napada.
Slika 2.1: Grožnja Venn diagram (Proactiverisk, 18. oktober 2017)
Kriptografija ali šifriranje je proces, pri katerem se podatke in informacije predrugači v
drugo obliko, ki jo je nemogoče dešifrirati brez šifrirnega ključa. (Wikipedija, 15. januar
2018)
Kibernetski kriminal so oblike kriminala, ki so izvedene preko elektronskega
komunikacijskega omrežja in informacijskih sistemov in vsebujejo objavo ilegalne vsebine s
pomočjo elektronskih medijev ter posebno vrsto kriminala, ki je izveden le na elektronskih
2 INFORMACIJSKA VARNOST
6
omrežjih, kot so na primer DDoS napadi (ang. Distributed Denial of Service ali ohromitev
storitve), napadanje sistema IT in vdori ali hekanje. (Tršelič, 2014) Shematski prikaz
kibernetskega kriminala vidimo na Sliki 2.2.
Slika 2.2: Diagram vpliva IT napada (Dcps.instructure.com, 18. oktober 2017)
2.2 Standardi na področju informacijske varnosti
»Organizacijam, ki se srečujejo s področjem ureditve problematike obvladovanja tveganj, so
na voljo različni mednarodni standardi, modeli ter različna orodja, in sicer z istim ciljem, da
organizacijam ob predpisanem in striktnem izvajanju pomagajo k reševanju perečega
vprašanja obvladovanja tveganj v organizaciji. Tudi za obravnavano področje IT tveganj
obstajajo in se stalno razvijajo in dopolnjujejo različni mednarodni standardi ter veliko
število različnih modelov in orodij, ki so večinoma nastali kot posledica dolgoletnih dobrih
praks na tem področju.« (Škedelj, 2014)
S področjem informacijske varnosti se ukvarja skupina standardov ISO/IEC 27000, ki jih v
sodelovanju z Mednarodno komisijo za elektrotehniko (IEC) pripravlja, ažurira in objavlja
Mednarodna organizacija za standardizacijo (ISO), medtem ko v Sloveniji te standarde
ažurira in objavlja Slovenski inštitut za standardizacijo (SIST). Ta družina standardov vsebuje
priporočila in navodila za pomoč pri upravljanju informacijske (IT) varnosti, predvsem pri
2 INFORMACIJSKA VARNOST
7
zaščiti zaupnosti, integritete in varne dostopnosti raznih občutljivih informacij, kot so bančni
računi, osebni podatki, zdravstveni podatki, overitveni podatki ipd.
»Poleg standardov, ki so že v celoti predhodno definirani, so organizacijam na voljo še razni
modeli, metodologije in orodja, ki nastajajo s strani različnih institucij in so se z leti uporabe
v različnih organizacijah po svetu pokazali kot primeri dobre prakse. Organizacije lahko te
modele in orodja za ocenjevanje in obvladovanje tveganj v celoti prevzamejo ali pa jih
preoblikujejo glede na svojo specifiko okolja in uporabo.« (Škedelj, 2014)
Standarda ISO/IEC 27001 in ISO/IEC 27005 se zgledujeta po standardu ISO 9000 in tako
vsebujeta strokovno izrazoslovje, osnovne principe in definicije po celotnem opisu. Taka
standardizacija je nujna, saj če je ne bi bilo, bi pojmi vodili v zmedo in razvrednotenje
uradnih ocen in uradnega certificiranja. (Košćak, 2011)
2.2.1 Standard ISO/IEC 27001
Standard je narejen za podajanje napotkov za zgrajevanje, upravljanje, vzdrževanje in
izboljševanje celotnega sistema za upravljanje varovanja informacij. (Košćak, 2011)
Nepooblaščeno uporabo, spreminjanje in zaščito pred krajo in uničenjem se zajema v
standardu ISO/IEC 27001, ki skrbi za to, da sistem za varovanje informacij uspe zagotoviti
zadostno zaščito informacij in sistemov, ki delujejo s temi informacijami. S tem standardom
želijo doseči varno in neprekinjeno poslovanje in tako zmanjšati na minimum poslovno
škodo, če se zgodi morebiten vdor ali digitalna kraja podatkov in informacij. SIST ali
Slovenski inštitut za standardizacijo je vpeljal in objavil ta standard 1. novembra 2013.
(Škedelj, 2014)
»Standard ISO/IEC 27001 je pisan v obliki zahtev, ki jih morajo organizacije izpolnjevati. Te
zahteve pa so v 11 poglavjih v obliki kontrol zapisane v standardu ISO/IEC 27002, ki ponuja
nabor možnih ukrepov za nadzor prepoznanih tveganj. Oba standarda sta enovita v smislu
informacijske varnosti, kar pomeni, da ne obravnavata le informacijske tehnologije in
informacij v elektronski obliki, temveč informacije v vseh možnih oblikah in medijih.«
(Škedelj, 2014)
8
Poslovne koristi uporabe standarda ISO/IEC 27001:
- Prepoznavanje in zmanjševanje tveganj na varnostnem področju na dogovorjeno raven
- Izboljšave med poslovnimi partnerstvi (boljše zaupanje v izmenjane informacije na
obeh straneh) Strokovno izobraževanje in obvladovanje procesov za varovanje
informacij.
(SIQ, 2015)
2.2.2 Standard ISO/IEC 27005
Informacijsko varnost, opisovanje procesa upravljanja in priporočene aktivnosti le-tega
zajema standard ISO/IEC 27005. Ta standard je podporni steber standardu ISO/IEC 27001 in
oba skupaj zagotavljata organizaciji splošno informacijsko varnost. Organizacija, ki uporablja
omenjeni standard, je možna prenesti ga na celotno podjetje ali samo del, ki potrebuje
informacijsko varnost. Standard ISO/IEC 27005 lahko uporabljajo različne organizacije, od
neprofitnih pa do državnih, trgovskih ali industrijskih. (Škedelj, 2014)
»Ob vedno večji odvisnosti od informacijskih tehnologij, odprtosti organizacij in povečanju
pomena informacij v sodobnem poslovanju je iz potrebe po ureditvi in poenotenju razmer v
organizaciji na področju informacijskih tveganj nastal standard za upravljanje informacijskih
tveganj ISO/IEC 27005.« (Škedelj, 2014)
3 INTERNET STVARI IN ZGODOVINA
3.1 Zgodovina interneta
Internet se je razvil popolnoma naključno iz omrežja Arpanet (angl. Advanced Research
Projects Agency Network – Omrežje agencije za napredne projekte). Njegove korenine segajo
v leto 1964 na raziskovalni inštitut MIT. Sprva je bil mišljen za komunikacijo med napravami
in med človekom. Snovalci niso niti pomislili na kakšne druge možne aplikacije. Sedaj
internet uporabljamo večinsko za komunikacijo med ljudmi na kratke in dolge razdalje.
(Fröhlich, 2013)
3 INTERNET STVARI IN ZGODOVINA
9
Veliko zaslug za internetna omrežja gre tudi v igričarske vode, saj so vsi, ki so radi igrali
igrice, tudi želeli povezati se med seboj in igrati proti svojim prijateljem v isti sobi. Tako so se
gradile majhne mreže računalnikov na osnovi LAN povezave, pri katerih so med seboj
tekmovali v igricah ali ustvarjali P2P omrežja za bolj enostaven prenos večjih datotek.
Igričarji in drugi računalniški zanesenjaki so uživali v LAN in P2P zabavah in vedno našli
nove načine in hitrejše možnosti povezave. (Vurušič & Vurušič, 2006)
3.2 Pametno omrežje
Pametno omrežje je tisto omrežje, ki deluje samostojno, vendar še vedno dovoljuje nadzor s
strani uporabnika in administratorjev. Omrežje, ki povezuje pametne naprave s toliko bolj
naprednimi povezavami, mora imeti stalen dostop do interneta za sprotno posodabljanje in
opozarjanje na slabše varovane točke v samem sebi in s stalno analizo vseh točk. Pametno
omrežje poskrbi tudi za čim boljšo energetsko učinkovitost, saj lahko z informacijami, ki vam
jih posreduje, ugotovite najboljše možne načine za ogrevanje, razsvetljevanje in druge možne
porabnike električne energije. Pametno omrežje ne bi smelo biti samo nekaj strojne opreme,
povezane v skupek, vendar mora ponujati brezstresno upravljanje z vašim domom in nadzor,
od koder ga želite vi. Takega omrežja se morajo lotiti profesionalna podjetja, ki vnaprej
načrtujejo in vam podajo strokovno obrazložitev, zakaj so nekateri varnostni ukrepi nujni.
(Fröhlich, 2013)
3.3 Inteligentna hiša ali gospodinjstvo
Strokovnjak za energetsko svetovanje Bojan Žnidaršič je pojasnil tako: »Centralno
(komandno) enoto, na kateri se določijo vsi parametri (to je mogoče pognati tudi z mobilnim
telefonom), različna tipala (senzorji) za dim, toploto, svetlobo..., odvisno od namena, in
včasih elektromotorčki, da nekaj premaknejo«. (Dom in vrt.si, 8.november 2017)
Inteligentna ali pametna hiša je hiša, ki je delno avtomatizirana in vam sproti ponuja neko
raven udobja in sprostitve. Z dotikom na ekran preprosto upravljate z razsvetljavo, dvigate in
spuščate rolete, nastavljate toploto v sobah, izbirate med kabelsko ali satelitsko TV, upravljate
z namakalnim sistemom, nadzirate vašo okolico ali notranjost ter druge dejavnosti, ki nam
zelo olajšajo vsakdanje življenje. Zaradi tako nizkih cen elektronike in elektronskih naprav je
skoraj za vsakogar postalo samoumevno, da ima nekaj pametnih naprav, ki mu olajšujejo že
3 INTERNET STVARI IN ZGODOVINA
10
tako stresno življenje. Globalizacija se veča iz leta v leto in tako dobivamo vedno več
različnih naprav iz oddaljenih delov sveta za zadovoljive cene. (Fröhlich, 2013)
3.4 Varnost v LAN
Poleg zanesljivosti je pri načrtovanju in izvedbi omrežij izjemno pomembna tudi varnost pred
zunanjimi vdori in virusi, hkrati pa velik pomen dajemo tudi načrtovanju varnostne politike
ter preprečevanju varnostnih incidentov, ki izvirajo zunaj ali znotraj podjetja.
Večinoma uporabniki interneta pomislijo le na požarni zid v domačem omrežju in se jim niti
približno ne sanja, kakšne nevarnosti še obstajajo. Vse naprave imajo neko programsko
opremo. Njeno varnost vsi sprejmemo za samoumevno, vendar se nihče ne vpraša, koliko
časa je bilo namenjenega za razvijanje, testiranje in ugotavljanje varnosti. Pri vseh pametnih
napravah in aplikacijah bo potrebno veliko več skepticizma, saj izpostavljamo svoje privatno
življenje in informacije, ki jih pred internetom ni mogel dobiti nihče drug. (Fröhlich, 2013)
3.5 Kaj je internet stvari?
Internet stvari je mreža naprav, ki imajo dodeljen svoj IP in imajo zmožnost deljenja podatkov
in informacij. Internet stvari omogoča komuniciranje naprav med seboj brez stalnega
človeškega nadzora. Naprave v našem domu so že dolgo pred internetom stvari imele senzorje
in so za svoje delovanje odčitavale in shranjevale različne informacije. V internetu stvari je
vse to enako, le da se te informacije in podatki delijo med napravami in so dostopni tudi
uporabnikom za prebiranje ali spreminjanje. Internet stvari je tu zato, da naš dom deluje bolj
skladno in nam ni potrebno za vse skrbeti sami. Tako lahko naprave delujejo avtonomno, brez
naše prisotnosti. Internet stvari niso samo naprave v našem domu, vendar so vse naprave v
naši lasti, ki tako ali drugače oddajajo informacije preko zasebne mreže ali interneta za našo
manipulacijo ali vpogled. Te naprave so lahko vsadki za spremljanje življenjskih znakov,
biočipi za živali na kmetiji (oddajajo gps in življenjske znake), IP kamere zunaj in znotraj
naših objektov, navidezne elektrarne za uravnavanje porabe našega doma, pametni avtomobili
ali druge možne naprave za transportacijo in naprave za analize DNA ali druge biokemične
snovi v naših prostorih, hrani ali vodi. (Wikipedia, 2017)
3 INTERNET STVARI IN ZGODOVINA
11
3.6 Varnost v internetu stvari
Varnost je pomembna kjerkoli se pretakajo pomembne informacije o osebah in lastništvu.
Dokler hekerji s svojimi napadi škodujejo le s krajo in vdori v digitalnem svetu, bodo ljudje še
dokaj mirni, saj še ne vedo, kaj vse se da storiti z njimi. Šele ko bodo hekerji lahko ugasnili
pomembno življenje s pritiskom na gumb, se bodo stvari začele spreminjati na drastičen način.
Že sedaj vemo, da lahko hekerji napadejo spodbujevalnik srca, napravo za uravnavanje
krvnega sladkorja ali novejše pametne avtomobile. Že to je dovolj drastično, vendar kaj bo, ko
se bodo lotili majhnih elektronskih pripomočkov v naših domovih, žepih ali zapestjih in tako
narisali tarčo vsaki osebi s pametnimi napravami. Pametni elektronski pripomočki lahko izdajo
zelo zanimive informacije o našem gibanju čez dan, kje so vrednejše stvari, kdaj je kdo doma
in tudi stvari, ki so bolj intimne narave. Internet stvari je zelo bogat vir informacij, ki je za
sedaj v naših domovih, z na široko odprtimi vrati. Leta 2015 je bila ustanovljena Varnostna
Ustanova Interneta Stvari (IoTSF), katere glavna naloga je prikazovati in spominjati
uporabnike na vse možne izrabe IoT. V vsakem domu morajo uporabniki sami poskrbeti za
varnost svojih naprav s stalnimi nadgradnjami programske opreme in spreminjanjem gesel.
(Wikipedia, 2017)
3.7 Kakšne tehnologije so povezane v internet stvari?
Vse se je začelo že nekaj desetletij nazaj z RFID oznakami in pametno idejo, da bi informacije
odčitavali kar z napravo, saj bi bilo veliko hitreje. Nato so začeli razvijati tudi Wi-Fi in
Bluetooth in seveda GSM omrežje. Kmalu se je pojavil tudi NFC za prenašanje in povezovanje
pri majhnih razdaljah. Novejše pa so Weightless, EnOcean, 3G, 4G LTE, ANT, Dash7,
Ethernet, GPRS, PLC / Powerline, QR Codes, EPC, WiMax, X-10, 802.15.4, Z-Wave, Zigbee.
(Postscapes.com, 2017)
3.8 Varnost otežuje pomanjkanje in nezrelost standardov
V našem času je ogromno podjetij, ki izdelujejo veliko različnih senzorjev, vezij in drugih
naprav. Tako kmalu ugotoviš, da vseh ni možno nadzirati in standardizirati. Povezljivost
naprav je pomembna, vendar so tukaj še protokoli za izmenjavo podatkov, standardi pri
arhitekturi različne programske opreme, pri varnosti omrežja ter zasebnosti. Vsekakor se
12
moramo zavedati, da internet stvari potrebuje še nekaj časa, da bo dozorel in se bo pokazala
neka skupnost, ki bo nadzirala in ugotavljala, kako so naprave pripravljene na sodelovanje v
skupnosti drugih naprav. Potrebno bo določiti stroga pravila in standarde izdelave na
programski in strojni ravni in tako omejiti poplavo naprav, za katere ne vemo, kdo jih je
naredil in s kakšnim namenom. (Wikipedia, 2017)
4 KOMUNIKACIJE V INTERNETU STVARI
Internet stvari je pametno omrežje, ki ga sestavljajo pametne naprave, povezane med seboj in
z internetom. Naprave delijo različne uporabne podatke med seboj in z internetom ter tako
olajšajo uporabniku dostop do podatkov. V spodnji Sliki 4.1 je predstavljenih nekaj
standardov za povezave IoT.
Slika 4.1: Standardi v uporabi pri IoT (Networkworld, 2017)
4 KOMUNIKACIJE V INTERNETU STVARI
13
4.1 Wi-Fi
Brezžično omrežje Wi-Fi je ena izmed glavnih infrastruktur vsem napravam, ki si sedaj delijo
podatke v našem domu. Glavni del pametnega omrežja je Wi-Fi povezava, ki jo uporabniki
primarno uporabljajo za pretakanje multimedijskih vsebin, brskanje po spletu in druge
postopke, ki terjajo veliko podatkov.
Do pred kratkim se je veliko podjetij izogibalo uporabi Wi-Fi v svojih napravah, ker je velik
porabnik električne energije, in zato bi morale biti naprave povezane v električno mrežo.
Dejstvo je, da naprave z Wi-Fi povezavo ne morejo biti brezžične dolgo časa, kar je bil velik
minus pri izdelovalcih pametnih naprav. (Networkworld, 2017)
Varnost Wi-Fi povezav v IoT
Wi-Fi je najbolj popularen brezžični prenos informacij in podatkov v vsakem domu. 802.11
brezžični protokol ali Wi-Fi je bil ustvarjen za zelo enostavno uporabo in priključitev, naj bi
primarno deloval na računalnikih s stalno električno povezavo in ni bil mišljen, da bi porabil
malo elektrike. Vendar to ni vedno najboljša izbira za vsako brezžično povezavo, saj nekatere
naprave nimajo stalnega dostopa do električne energije. Varnost pri Wi-Fi je odvisna od
standardov IEEE. Letos se pojavljata dva nova, in sicer 802.11ah in 802.11ax. Ena bolj
pomembnih stvari pri IoT napravah je poraba električne energije, saj morajo nekatere naprave
delovati več let z eno gumb baterijo. (Networkworld, 2017)
Do sedaj se je uporabljalo brezžične standarde 802.11a/b/g/n/ac za IoT. V spodnji
razpredelnici je nekaj prednosti in slabosti, ki se pojavljajo pri delovanju:
Prednosti Slabosti
- Nizka cena naprav in dodatkov - Velika poraba električne energije
- Hitra in enostavna nastavitev - Zadovoljiv domet
- Točke prisotnosti - Natrpanost frekvenčnega pasu
Zaradi teh slabosti so začeli razvijati standarde 802.11ah in 802.11ax, ki jih bom opisal v
spodnjih odstavkih.
4 KOMUNIKACIJE V INTERNETU STVARI
14
Predstavitev dveh novih Wi-Fi standardov:
− Wi-Fi HaLow (802.11ah): Standard je bil predstavljen oktobra 2016. Njegova
prioriteta je bila na dometu in porabi elektrike v IoT. Za standard IEEE 802.11ah so
uporabili 900 MHz ISM, ki ima oproščeno licenco za javno uporabo. Zaradi te
frekvence bo ta verzija malo počasnejša, vendar bo imela boljšo penetracijo čez
fizične objekte, kot so drevesa, zidovi in tako dalje. Za porabo električne energije so
poskrbeli še z dodatno zbudi/zadremaj funkcijo, ki podaljša dobo baterije in zaradi
drugih optimizacij poveča doseg na en kilometer. Tako lahko z združevanjem postaj
zmanjšamo spore in postaje za vnovično oddajanje povečamo doseg. Je pa dobro
opomniti, da HaLow standard potrebuje posebne WAP-e (ali radie v dostopnih točkah)
in posebno strojno opremo za odjemalce, kar pa ni poželo veliko zanimanja pri
izdelovalcih elektronskih čipov s tem standardom. Z novim protokolom pridejo tudi
nove težave, ki bodo vidne pri ogromno različnih implementacijah protokola v veliko
različnih naprav. Zaradi toliko implementacij se pojavijo vedno nove varnostne
težave, ki ponujajo drugačne načine za vdore. Hekerji zaradi daljšega dosega Wi-Fi
signala lahko izvršijo napade z daljše razdalje od centra signala. (Networkworld,
2017)
− Wi-Fi HEW (802.11ax): HEW – High Efficiency Wireless standard (visoko učinkovit
brezžični standard) je odlična izbira za IoT, saj k visoki učinkovitosti doda tudi nekaj
uporabnikom prijaznih lastnosti. Iz standarda HaLow obdrži zbudi/zadremaj opcijo in
tudi opcijo skupinskega združevanja ter tako poskrbi za manjšo električno porabo in se
izogne trkom med prenosi. Dodatno ponuja tudi izboljšano večuporabniško povezavo
za prenos MIMO (multiple-input and multiple-output) in poskrbi za manjši razmak (s
frekvenčnim razponom 78.125 kHz) podnosilcev (podizvajalcev ali uporabnikov).
Tako lahko 18 uporabnikov istočasno pošilja podatke po kanalu frekvenčne širine 40
MHz. (Networkworld, 2017)
4.2 Light-Fidelity (Li-Fi)
Je brezžična povezava, ki temelji na svetlobnih žarkih (IR, vidljiva svetloba in tudi ultra-
vijolična (400 THz do 800THz). Wi-Fi deluje na radio signalih, Li-Fi pa se povezuje s
svetlobnimi signali. Li-Fi izhaja iz koncepta VLC (Visible Light Communication –
komunikacija z vidno svetlobo), ki je nastal leta 2003 na Japonskem. Leta 2010 je IEEE
4 KOMUNIKACIJE V INTERNETU STVARI
15
priredil standard 802.15.7 za kratke brezžične optične komunikacije prek vidne svetlobe. Do
leta 2015 je bila tehnologija še v povojih, vendar se je hitro začela razvijati po predstavitvi in
demonstraciji prvega prenosa podatkov preko Li-Fi s hitrostjo 1Gbps, ali drugače povedano
stokrat hitreje, kot je bil takrat zmožen Wi-Fi. Po tej demonstraciji so v Indiji naredili trojni
Li-Fi (Triplet Li-Fi ali T-Li-Fi). Pri tem poskusu so uporabili tri različne barve svetlobnih
snopov in tako potrojili hitrost navadne Li-Fi na hitrost 100Gbps. Obenem so na Oxford
University prišli z uporabo Li-Fi na hitrost 224Gbps. Li-Fi Consortium je neprofitna
organizacija, ki deluje na razvijanju Li-Fi ponavljalcev za lažje prenose čez zidove. Vsi, ki bi
radi sami doma razvijali aplikacije in programsko opremo, lahko uporabijo OpenVLC. (IoT
Agenda, 2016)
4.2.1 Razvijanje Li-Fi v sedanjem času
Profesor Haas z edinburške univerze je ustanovil podjetje, ki se ukvarja z izdelavo prvega
sistema z Li-Fi tehnologijo za prodajo. Sistem ima modulator in USB ključek. Modulator
povežemo z lučjo ali drugo svetlobno napravo in vtaknemo USB ključek v PC ali televizijo.
Podjetje se je povezalo tudi z Apple-om, s katerim nameravajo prirediti programsko opremo
kamere na iPhone, da bo sprejemala svetlobne signale iz Li-Fi. V Dubaju je neko podjetje
začelo dogovore in načrte z mestom, da bi opremili vse ulične luči z Li-Fi. Druga velika
podjetja, kot so Samsung, LG, Philips, Toshiba, Sharp, Panasonic, Cisco, Rolls Royce in
Airbus, pa delujejo na razvoju tako imenovane IoL ali Internet Of Lights (internet luči). (IoT
Agenda, 2016)
4.2.2 Prednosti in slabosti
Li-Fi napreduje proti temu, da bo nekoč naslednik Wi-Fi, vendar je sproti odkritih tudi kar
nekaj slabosti. Največja slabost do sedaj je, da vedno potrebuje vidno polje svetlobe, kar je
največkrat okoli 10 metrov. Teh 10 metrov je za sedaj optimističnih, saj to vidno polje lahko
hitro zmoti kaka druga umetna svetloba ali močna sončna svetloba. Druga slabost je, da Li-Fi
direktno brez posrednikov ne more prodreti skozi zidove. Zaenkrat se uporabljajo naprave,
poimenovane ponavljalci, ki preberejo svetlobni signal v eni sobi in ga na novo oddajo v
drugi. Nekje so se začeli uporabljati tudi optični filtri, tako da lahko izboljšajo delovanje v
sončni svetlobi in zunaj čez dan. Za zunanjo uporabo je narejen standard IEEE 802.15.7, ki
4 KOMUNIKACIJE V INTERNETU STVARI
16
ima narejeno fizično plast 1, ampak se zmanjša hitrost prenosa na 267.6 kbit/s, kar pa je zelo
slabo. Velika prednost Li-Fi je, da kot signal ni zmožen uiti skozi zidove nekih prostorov,
česar pa ne moremo reči za Wi-Fi in druge radio signale. Če jih uporabljamo na pametnih
napravah, lahko signal hitro blokiramo s samim kritjem svetlobnega snopa s prstom ali pa
skritjem naprave v žep. Svetlobni signali lahko delujejo tudi v prostorih, kjer je velika
elektromagnetna onesnaženost in drugi radio signali ne delujejo. Različne teorije že govorijo
o tem, kako bi lahko svetlobni snop bolj izkoristili in ga naredili bolj linearnega. Tak snop bi
bil bolj točkoven in bi prinesel Li-Fi omrežju skoraj neomejeno hitrost podatkov. To bi bilo
možno zato, ker bi vsak usmerjevalnik lahko uporabil več možnih signalov, kar pa je pri Wi-
Fi skoraj nemogoče, saj se usmerjevalniki med seboj motijo. Li-Fi se izkazuje tudi pri porabi
električne energije, saj naj bi sčasoma postal veliko bolj energijsko učinkovit kot Bluetooth
LE. To učinkovitost pri električni porabi bi zelo potrebovale vse mobilne naprave, saj bi
porabile manj elektrike in bi baterije zdržale dlje. Pojavljajo se tudi študije, da bi se preko
svetlobnega signala lahko prenašala tudi električna energija in tako omogočala polnjenje na
daljavo. Li-Fi signali so odlični tudi za vsa področja kjer elektromagnetno sevanje ni
zaželeno, kar je lahko pri nekaterih uporabnikih doma ali pa tudi pri specialističnih napravah
v ambulantah, kot je MRI (magnetna resonanca). Čez nekaj let bo Li-Fi imel še veliko več
možnih adaptacij. Uporaben bo za ustvarjanje novih računalniških platform, saj se bo lahko
namesto kablov uporabilo kar svetlobne signale. Za sedaj je ena od omejitev velikost LED
diode in senzorja za sprejem, vendar tudi to se lahko sčasoma zmanjša ali spremeni. Potem bo
lahko vsaka naprava, ki bo še tako majhna, imela prenos s svetlobno hitrostjo. (IoT Agenda,
2016)
4.3 QR kode in barkode
Že kar nekaj časa se QR kode in barkode uporablja na izdelkih v trgovinah. Še posebno
uporabne so QR kode, saj lahko v njih skriješ informacije in kakšno povezavo do internetne
strani. To je odlična reklama za proizvajalce, saj ima vse več strank pametni telefon pri sebi in
lahko skenirajo kodo. Barkode z eno dimenzijo so stvar preteklosti, saj na njih lahko shraniš
največ 85 znakov. Tako jih prehitevajo barkode z dvema dimenzijama, ki lahko hranijo preko
7000 znakov. Zaradi dvodimenzionalnih barkod bo tudi optično prebiranje le-teh veliko lažje
in hitrejše. Ponekod se za prebiranje izdelkov že uporabljajo tuneli, v katerih ni pomembno,
kako je izdelek postavljen, saj bo vedno pravilno prebran. Še boljša verzija skeniranja
4 KOMUNIKACIJE V INTERNETU STVARI
17
izdelkov pa je slikovna barkoda, ki bo omogočala optično prebrati in prepoznati izdelek glede
na logo in izgled. Podobno slikovno barkodo uporablja tudi Digimarc Barcodes, pri katerih je
UPC in EAN številka neopazno vgrajena čez celotno embalažo. Tako barkodo se veliko
hitreje prebere, kot pa če zaposleni na blagajni išče barkodo po celi embalaži. (Wasp Buzz,
2017). Na spodnji Sliki 4.2 je embalaža z vgrajeno barkodo.
Slika 4.2: Barkoda na kartonski embalaži (Wasp Buzz, 2015)
V IoT na domu so QR kode lahko zelo uporabne za vnašanje različnih gesel in s tem hitrejše
povezovanje. Vsaka naprava ima lahko že neko tovarniško varnostno geslo za vnos pri
priklopu ali vnosu v omrežje ali za povezavo z drugo napravo. Tako natisnjena je bolj varna,
kot pa če se uporabi na novo generirano, ki jo lahko heker uporabi, če pozna postopek. QR
kodo se lahko uporablja tudi za manj varne dostope gostov do Wi-Fi ali do drugih brezžičnih
povezav. (Wasp Buzz, 2017)
4.4 Bluetooth
Zaradi velike električne porabe Wi-Fi-ja so tehnična podjetja izbirala še med drugimi
cenejšimi alternativami, kot je Bluetooth. Pri povezovanju Bluetooth naprav je glavno, da so
naprave v bližini. Že od začetka je bil Bluetooth narejen kot majhno osebno omrežje, ki ga
4 KOMUNIKACIJE V INTERNETU STVARI
18
lahko prenašaš s seboj naokoli. V pametnem domačem omrežju se Bluetooth pojavi v
produktih, ki potrebujejo neposredno fizično bližino do naprave. Ker Bluetooth uporablja
skakanje med frekvencami in zelo močno šifriranje, je primeren tudi za naprave, ki delujejo
kot osebna izkaznica ali ključ. Bluetooth ima široko pasovno širino in tako lahko z njim delate
več kot le prižigate ali ugašate naprave. Najnovejša verzija Bluetootha je Bluetooth 5 in je
osredotočen na razvoj IoT tehnologij. Bluetooth 5 zagotavlja dvakratno hitrost (50Mbit/s),
štirikrat večji domet in osemkrat večjo zmogljivosti prenosa podatkov. Povečanje v
zmogljivosti prenosa bo zelo pomembno za IoT naprave, pri katerih se v celi hiši povezuje
veliko število vozlišč. Bluetooth 5 je doprinesel tudi zelo pomembno funkcionalnost pri
storitvah brez povezave, kot je lokacijsko pomembna navigacija nizko-energetskih Bluetooth
povezav. Vse te izboljšave pa brez varnosti pomenijo le, da heker lahko vdre v omrežje še z
večje razdalje in to naredi veliko hitreje kot pred Bluetooth 5. Glede varnosti Bluetootha so v
zadnjih letih naredili veliko, vendar se je še vedno izkazalo, da ima nekatere ranljivosti.
Spodaj smo opisali štiri največje ranljivosti Bluetootha 5. (Simform, 2017)
4.4.1 Ranljivosti Bluetootha 5
Nekaj ranljivosti:
- Ni uporabniške avtentikacije. Bluetooth, kakršen je sedaj, ne zna prepoznati ali overiti.
Overjanje je izvedeno le v sami napravi. (Simform, 2017)
- Nikakršne točka-do-točka varnosti. Za dodatno varnost lahko poskrbijo dodane
varnostne plasti. V sedanji izvedbi Bluetootha je šifriranje izvedeno samo na
posameznih povezavah. To pomeni, da so Bluetooth sporočila na vmesnih točkah
nešifrirana in ranljiva. (Simform, 2017)
- Naprave, ki so odkrite, so bolj izpostavljene napadom, zato bi morale biti vidne samo
takrat, ko je res potrebno, in ne ves čas, ko je Bluetooth prižgan. (Simform, 2017)
- Ključi za sklepanje povezav imajo možnost, da so dokaj ne varno shranjeni. Taki
ključi bi morali biti zelo dobro shranjeni in šifrirani, tako da jih ne morejo prebrati ali
spremeniti med napadom. (Simform, 2017)
4 KOMUNIKACIJE V INTERNETU STVARI
19
4.4.2 Specifične ranljivosti za IoT
Nekaj ranljivosti:
- Pomembne informacije so prenesene med dvema napravama s precej nizko stopnjo
kriptografskega šifriranja, ki jo je dokaj enostavno dešifrirati. Takemu napadu se pravi
»Napad s človekom v sredini« (Man in the middle attack ali MITM). (Simform, 2017)
- Zaradi slabe ali neprimerne povezave se lahko informacije in podatki uničijo ali
pokvarijo. (Simform, 2017)
- Podatke se lahko pridobi iz veliko pametnih telefonov brez vedenja lastnikov ali same
naprave. (Simform, 2017)
- Veliko majhnih naprav v IoT se lahko hitro fizično ukrade in tako pridobi pomembne
podatke ali informacije o osebah ali o samem IoT. (Simform, 2017)
4.4.3 »Napad s človekom v sredini« (Man in the middle attack ali MITM)
Največkrat se Bluetooth uporablja za zelo enostavne povezave, recimo med avtoradiem in
pametnim telefonom, kar pa lahko prestreže tretja oseba, pridobi spoznavni ključ in ga
zamenja za svojega. Tako nobena od naprav ne ve, kaj se je zgodilo in delujejo normalno
naprej. (Simform, 2017)
Poznamo 3 stopnje varovanja pri BT za MITM napad:
- Brez varovanja. Ta opcija uporablja ključ z vrednostjo 0. To pomeni, da lahko heker
sledi vaši povezavi, če ujame paketke med povezovanjem dveh naprav. (Simform,
2017)
- Nizka stopnja varovanja je stopnja, pri kateri uporabnik določi geslo, ki je manjše od
števila 1,000,000. Pri tej opciji mora heker preizkusiti 1 milijon kombinacij, da
ugotovi pravo. (Simform, 2017)
- Visoka stopnja varovanja je opcija, pri kateri naprava uporablja geslo, ki je
posredovano po drugačni poti, ki naj bi veljala za bolj varno (enostavna razlaga bi
bila, da se osebi, ki bi se radi povezali, dobita v realnem času, si povesta geslo z
govorom, nato pa se to geslo uporabi za povezavo prek Bluetooth-a). (Simform, 2017)
4 KOMUNIKACIJE V INTERNETU STVARI
20
4.4.4 Pasivno prisluškovanje v Bluetooth-u
Kot smo ugotovili v prejšnji točki, se lahko proti MITM napadu uporablja dovolj močno
geslo, da se obvarujemo. Vendar v podjetju SecuRing opozarjajo, da močno geslo ne obvaruje
povezave ali podatkov pred pasivnim prisluškovanjem. (Simform, 2017)
Pasivno prisluškovanje se razlikuje od MITM v tem, da nima namena spreminjanja podatkov
ali lažnega predstavljanja napravam ali osebam, temveč le pridno prisluškuje, opazuje in zbira
informacije. (Simform, 2017)
V podjetju SecuRing so tudi opozorili, da 80 odstotkov vseh Bluetooth naprav lahko podleže
napadu MITM, saj podjetja, ki izdelujejo pametne naprave, ne pomislijo na vgradnjo šifrirnih
standardov za boljšo varnost povezovanja. (Simform, 2017)
4.4.5 Šifriranje na Bluetooth-u
Bluetooth ima že sam po sebi od verzije 2.1 šifriranje, vendar takrat še ni bilo toliko naprav
brez zaslona in nisi mogel preveriti, če se povezuješ na pravo napravo. Edina opcija
preverjanja bi bila, da se pregleda MAC naslov povezane naprave, vendar tudi ta je lahko
poneverjen. (Simform, 2017)
Bluetooth uporablja Secure And Fast Encryption Routine+ (SAFER+) s 128 bitnim ključem.
Ta celoten algoritem se uporablja za avtentikacijo in izdelavo ključa v Bluetooth-u do verzije
3.0+HS (visoka hitrost). Pri Bluetooth-u 4.0 se algoritem zamenja za 128 bitni Advanced
Encryption Standard (AES). AES je zelo varen in za naprave zelo hiter in kompakten sistem
(velikost okoli 1kB), kar je odlično za vse majhne pametne naprave s slabšimi procesorskimi
močmi. (Simform, 2017)
4.4.6 Šifriranje nizkoenergijskega Bluetooth-a
Pri nizkoenergijskem Bluetoothu v verziji 5 se za šifriranje prenosa podatkov uporablja AES-
CCM, ki se izvede v Bluetooth kontrolerju. (Simform, 2017)
4 KOMUNIKACIJE V INTERNETU STVARI
21
Pri Bluetooth LE poznamo tudi 2 varnostni opciji, ki sta:
- LE Security Mode 1
V varnostni opciji 1 obstajajo štiri plasti:
Brez varnosti
Neavtentizirano povezovanje s šifriranjem
Avtentizirano povezovanje s šifriranjem
Nizkoenergijsko avtentizirano povezovanje s 128 bitnim šifriranjem
(Simform, 2017)
- LE Security Mode 2
V varnostni opciji 2 obstajata dve plasti:
Neavtentizirano povezovanje s podatkovnim podpisovanjem
Avtentizirano povezovanje s podatkovnim podpisovanjem
(Simform, 2017)
4.4.7 Seznanjenje in povezovanje pri nizkoenergijskem Bluetooth-u
Seznanjenje pri nizkoenergijskem Bluetooth-u
Seznanjenje je proces, pri katerem uporabnikova naprava poišče in izmenja začasni ključ z
napravo, s katero se želi uporabnik povezati. Začasni ključ se nato uporabi za šifriranje
povezave, če se seveda uporabnik odloči za vzpostavitev le-te. Uporabnikova naprava v tem
procesu seznanjenja začne z izmenjavo varnostnih funkcij, pri katerih še vpraša napravo, s
katero se želi povezati, kaj tista naprava lahko počne (ali ima kakšno možnost vnosa ali
prikaza informacij in podatkov). Poznamo več možnosti za seznanjenje dveh naprav z
nizkoenergijsko Bluetooth povezavo. Če naprava, s katero se želiš povezati, ne podpira
nobenih vhodov ali izhodov (BLE žarnica, naprava, ki pozna le prižig in izključitev), potem
se uporabi povezavo Just Works. (Simform, 2017) V spodnji Sliki 4.3 si lahko ogledate
shematski prikaz seznanjanja in povezovanja pri BLE napravah.
4 KOMUNIKACIJE V INTERNETU STVARI
22
Slika 4.3: Povezovanje BLE naprav (Simform, 2017)
Ko se napravi spoznata ter izmenjata nabor funkcij, si delita začasne šifrirne ključe, ki pa se
ne hranijo za povezovanje in seznavanje z drugimi napravami. Med to povezavo se ustvarijo
tudi šifrirni ključi, ki bodo uporabljeni za dlje časa in za nadaljnje povezave med tema
napravama. Taki povezavi s ključi za dlje časa pravimo tudi povezovanje (bonding).
(Simform, 2017)
Povezovanje pri nizkoenergetskem Bluetooth-u
Bluetooth povezovanje je proces, ki bo uporabljen za dolgotrajno povezavo med napravami,
ki so se že spoznale. Pri tej povezavi si napravi delita dolgotrajne šifrirne ključe, ki jih bosta
uporabili za vsa nadaljnja seznanjenja. Tako obema napravama ni potrebno na novo ustvarjati
začasnih ključev, ko se bodo na novo seznanile. Ta opcija je zelo zaželena, ker preprečuje
možnost prisluškovanja napravam in povezavi. (Simform, 2017)
V spodnji Sliki 4.4 je diagram prikaza seznanjanja in povezovanja pri BLE napravah.
4 KOMUNIKACIJE V INTERNETU STVARI
23
Slika 4.4: Povezovanje pri BLE (Simform, 2017)
Varnost seznanjanja nizkoenergijskih Bluetooth naprav
Pri seznanjanju nizkoenergijskih Bluetooth povezav se za šifriranje uporabi Diffie-Hellman
kriptografija, ki jo uporabljamo za kreiranje in izmenjavo skritega ključa po javnem omrežju.
Taka kriptografija pomaga pri pasivnem prisluškovanju, vendar nepridipravi še vedno lahko
izkoristijo MTM (oseba v sredini – Man in the middle) napad. Za čim manjšo možnost vdora
je priporočljivo, da se enako geslo za vstop ne uporablja večkrat. Najboljša možnost je kakšna
aplikacija za generiranje naključnega gesla. (Simform, 2017) V spodnji Sliki 4.5 si lahko
ogledate prikaz varnostne avtentikacijske izmenjave pri BLE napravah.
Slika 4.5: Varnost seznanjanja BLE naprav (Simform, 2017)
4 KOMUNIKACIJE V INTERNETU STVARI
24
Vnos vstopnega gesla Bluetooth
Pri napravah brez vhoda in izhoda ni bilo možnosti izbiranja vstopnega gesla, sedaj, ko
imamo naprave z možnostmi vhoda in izhoda, pa bo naprava, ki je začela povezovanje,
pokazala šestmestno število od 000000 do 999999. To število bo uporabnik vnesel v
povezujočo napravo. To šestmestno število se imenuje začasni ključ (Temporary Key ali TK).
Poleg TK gesla vsaka od naprav naredi naključno 128 bitno število. (Simform, 2017)
Številčna primerjava Bluetooth
Od verzije 4.2 naprej obstaja pri nizkoenergijskem Bluetooth-u številčna primerjava, ki
pomeni, da se na obeh napravah pokaže enako šestmestno število, šele potem uporabnik
preveri in potrdi, ali sta obe enaki. Za to možnost je na vsaki napravi predpogoj zaslon in
možnost potrditve s strani uporabnika. Ta možnost zavaruje pred napadom MITM (oseba v
sredini), če seveda naprava ponuja možnost sprejetja/zavrnitve in če obenem uporabnik naredi
pravilno primerjavo. (Simform, 2017)
Out of Band Legacy seznanjenje
Out of Band možnost je zelo uporabna za zmanjševanje tveganja, ki smo ga navajeni pri
opciji vstopnega gesla, vendar je ta možnost odvisna od začetnega razvijalca, katero metodo
seznanjenja bo uporabil, kar pa je odvisno od tehnologije v napravi. Najbolj uporabna in
znana možnost Out of Band povezovanja je NFC (Near Field Communication – bližinsko
sporazumevanje), ki ima možnost, da se dve NFC napravi povežeta, ko se dotakneta. Vsaka
naprava mora v sebi imeti nastavljeno opcijo Out of Band, ki nato deluje podobno kot vstopno
geslo, kjer si obe strani izmenjata neko naključno vrednost in jo potrdita. (Simform, 2017)
4.5 Zigbee in Z-Wave
To sta dva brezžična jezika, ki se v našem domu uporabljata v nekaterih pametnih napravah
za povezovanje v brezžična osebna omrežja (WPAN). Oba koncepta uporabljata mesh
omrežje, torej zelo nizko energetsko omrežje. Naprave v teh omrežjih lahko več let delujejo
na majhnih baterijah, ki se ponavadi uporabljajo v zapestnih urah. (Sparkfun, 5. oktober 2017)
4 KOMUNIKACIJE V INTERNETU STVARI
25
4.5.1 Zigbee
Deluje na medpovezovanju vozlišč v mesh omrežje. Povezave med vozlišči so v mesh
omrežju dinamično posodobljene in optimizirane preko že vgrajene usmerjevalne tabele.
Zigbee omogoča širok spekter brezžičnih povezav z nizkimi stroški in nizko električno
porabo. Zagotavlja sposobnost delovanja leta in leta na nizkocenovnih baterijah. (Sparkfun, 5.
oktober 2017)
4.5.2 Zigbee varnostni pregled
Zigbee varnostna shema je vedno enaka in je sestavljena iz treh naprav, ki so hierarhično
povezane. Te naprave so koordinator, ki je na najvišjem mestu, nato ruter ali usmerjevalnik in
potem še končna IoT naprava. Končne naprave so lahko povezane na ruter ali direktno na
koordinator. Za varnost pri Zigbee je poskrbljeno z osnovnim varnostnim okvirjem,
definiranim v IEEE 802.15.4. Ta osnovni varnostni okvir je dovolj za zagotavljanje visoke
varnosti. Zigbee uporablja 128-bit AES šifriranje za vse varnostne povezave. Zigbee
brezžično osebno omrežje deluje na frekvencah 2.4GHz, 900 MHz in 868 MHz. (Rouse,
2017)
Koordinator
To je naprava, ki ji lahko rečemo osrednji kontrolni center in skrbi za kontrolo varnosti v
celotnem omrežju. Naloga koordinatorja je vzpostavitev omrežne povezave in odločitev,
kateri kanal bo za komunikacijo med napravami. Po tej končani nalogi koordinator odloči in
poda dovoljenje napravam, da se pridružijo ali odcepijo od omrežja. Skrbi tudi za varnost med
napravami in uredi varnost od enega konca do drugega (celotno pot podatkov). Koordinator je
naprava, ki mora delovati 24/7 in imeti elektriko ves čas, zato je najbolje, da je priključena
direktno v električno omrežje. (Sparkfun, 5. oktober 2017)
Usmerjevalnik ali ruter
Je posrednik v celotnem omrežju, ki uravnava in razpošilja celoten promet po omrežju med
napravami. Pridruži se lahko le z dovoljenjem koordinatorja. Usmerjevalnik živi med končno
4 KOMUNIKACIJE V INTERNETU STVARI
26
napravo in koordinatorjem. Sam usmerjevalnik lahko tudi dovoli dostop novim
usmerjevalnikom ali novim končnim napravam. Usmerjevalnik nima dovoljenja za ugasnitev
ali mirovanje, dokler je omrežje vzpostavljeno in aktivno. (Sparkfun, 5. oktober 2017)
Končna naprava
Končna naprava v omrežju Zigbee je najbolj enostavna naprava, ki ponavadi ni priključena na
električno omrežje. Lahko jo vzpostavljajo manjše baterije ali zelo šibek električni tok.
Končne naprave so lahko senzorji svetlobe, senzorji premika ali pametne LED žarnice.
Končne naprave nimajo dovoljenja za dodajanje drugih naprav in ne usmerjajo prometa po
omrežju, zato so to končne naprave, ki le sprejemajo in oddajajo signale. Končne naprave
lahko komunicirajo samo s starševsko napravo, ki je največkrat usmerjevalnik, lahko pa tudi
koordinator. Končne naprave lahko preidejo v mirovanje ali opcijo zelo majhne električne
porabe za zmanjšanje električne porabe. (Sparkfun, 5. oktober 2017)
Zigbee varnostni koraki
Omrežje Zigbee naj bi bilo eno najvarnejših omrežij za IoT, saj tako pravijo njegovi
izdelovalci. Kriptografija, ki se uporablja za izdelavo varnostnih ključev, je simetrični ključ,
pri katerem morata obe napravi, ki se povezujeta, imeti enako geslo. Zigbee uporablja za
šifriranje močen 128 bit AES napreden šifrirni standard. Pri Zigbee so za brezžično povezavo
izbrali IEEE 802.15.4, ki pa je sestavljen iz fizične plasti (PHY) in srednje plasti (MAC).
Zigbee naprava nato sama naredi omrežno plast (NWK) in aplikacijo plast (APL) nad fizično
in srednjo plastjo. Med plastmi velja odprto zaupanje, pri katerem si plasti zaupajo glede
varnosti in podatkov. Prej omenjena kriptografija za šifriranje deluje samo med napravami,
vendar ne med plastmi v napravi, kar ni najbolje za varnost naprave, je pa seveda bolj
enostavno za delovanje naprave. Ker med plastmi ni šifriranja, se med njimi uporablja en in
isti ključ, kar pa tudi ne vzbuja zaupanja v uporabnikih. (Fan, Susan, Long & Li, 2017)
Varnostni model v Zigbee napravah
Zigbee ponuja v svoji liniji naprav dva varnostna modela, ki se razlikujeta zaradi cenovnega
ranga. Ta modela sta razdeljeni in centralizirani, ki se razlikujeta po tem, kako dodajata
4 KOMUNIKACIJE V INTERNETU STVARI
27
nove naprave in kako skrbita za varnost informacij in podatkov, ki potujejo po omrežju. (Fan,
Susan, Long & Li, 2017)
Razdeljeni model je manj varen in narejen na bolj enostaven način. V tem sklopu ponujajo
dva modela naprav, in sicer usmerjevalnik in končno napravo, kjer usmerjevalnik naredi
razdeljeno varnostno omrežje, če seveda ne najde že kakšnega vzpostavljenega omrežja. Vsak
usmerjevalnik ima nalogo, da v tem omrežju izdaja omrežne ključe. Ko se pridružijo novi
usmerjevalniki in končne naprave, jim že obstoječi usmerjevalnik, ki so se mu pridružili, doda
ključ. (Fan, Susan, Long & Li, 2017)
Centralizirani model je narejen za tiste, ki želijo bolj tesno in strožjo varnost v omrežju.
Omrežje je malo bolj zahtevno in zapleteno, saj se pridruži še skrbniški center (Trust Center),
ki se tudi izdaja za koordinatorja omrežja. Skrbniški center poskrbi za dobro sestavljeno
centralizirano omrežje, konfiguracijo usmerjevalnikov ter naprav in skrbi za overjanje novih
naprav. Skrbniški center dodeli vsaki napravi edinstven ključ, vsakemu paru pa napravi
skupni ključ, ki povezuje tisti dve napravi. (Fan, Susan, Long & Li, 2017)
Varnostne predpostavke:
- Hramba simetričnih ključev je ena od predpostavk pri Zigbee-ju, kjer se
predpostavlja, da tajni ključi niso dostopni zunaj naprave v nevarovanem načinu, kar
pomeni, da mora biti vsako potovanje ključev šifrirano. Izjemoma lahko povemo, da
se to zgodi le enkrat, in sicer takrat, ko se napravo postavlja na novo v pred
konfiguracijskem obdobju, v katerem se pošlje en sam nezavarovan ključ. Ključe se
lahko pridobi, če ima heker fizični dostop do naprave. Zigbee zaradi nizkih cen naprav
na trgu že v začetku nima poskrbljeno za izrabo strojne opreme. (Fan, Susan, Long &
Li, 2017)
- Zaščita uporabljenega mehanizma bi se morala uporabljati pri usmerjevalnikih in
končnih napravah. To pomeni, da bi morali usmerjevalniki in končne naprave povzeti
že uporabljeni varnostni načrt, v katerem sta centralizirani model in razdeljeni model
varnostnega omrežja. (Fan, Susan, Long & Li, 2017)
- Izvajati bi bilo potrebno pravilno adaptacijo kriptografije in druge, s tem povezane
varnostne strategije. (Fan, Susan, Long & Li, 2017)
4 KOMUNIKACIJE V INTERNETU STVARI
28
Priporočila za izboljšavo:
- Izvenpasovne metode nalaganja ključa: pri uporabi tovarniških in že dodanih
ključev je veliko večja varnostna grožnja, da bodo tisti, ki želijo izrabiti to grožnjo,
obratno konstruirali ključ. Z uporabo nalaganja ključa z izvenpasovno metodo lahko to
grožnjo popolnoma izničimo v procesu deljenja, nadgrajevanja in odvzemanja ali
preklica ključa. Da bi se izognili vsem tem grožnjam, bi lahko uporabili drugačno
dostavo ključev. Dostava bi lahko bila preko serijskega vhoda ali kake druge vmesne
naprave, za katero bi vedeli, da je varna in jo uporabljamo samo mi ali overjene osebe.
(Fan, Susan, Long & Li, 2017)
- Sprejem v varno omrežje: v ZigBee omrežju je za sprejem odgovoren skrbniški
center. Boljša možnost bi bila, da se v vsako napravo, ki jo želimo povezati v omrežje,
doda že poznan mrežni varnostni ključ, še preden se naprava poveže v omrežje. Tako
se vsaka naprava, ki nima v sebi dodanega ključa, ne more priključiti v omrežje. (Fan,
Susan, Long & Li, 2017)
- Dinamično spreminjanje identifikacijske številke: odkritje identifikacijske številke
v ZigBee omrežju se pokaže kot grožnja za varnost omrežja glede na to, da napravam
lahko sledimo in slepimo uporabnike (spoofing) z njihovo identifikacijsko številko.
Tega se lahko rešimo s tabelo kratkotrajnih identifikatorjev, ki bi dovoljevala samo
overjenim napravam ali osebam, da prepoznajo naprave. Ta korak bi poskrbel, da
izničimo grožnje sledenja in pri tem ohranimo praktičnost naprav. (Fan, Susan, Long
& Li, 2017)
Zaključek o ZigBee varnosti omrežja
Kot smo ugotovili, ima ZigBee dobre varnostne rešitve že implementirane (AES za šifriranje
podatkov in overitve). Vendar je pri ZigBee omrežju glavno pravilo, da šifrirni ključ ostane
skrivnost, možno pa je, da ga hekerji pridobijo pri uvedbi ključa za napravo in pri
razdeljevanju ključev. Na MIT so uporabili tistih nekaj funkcij, da bi čim bolj izničili to
grožnjo, vendar so tudi po teh korakih vseeno lahko prišli do mrežnega ključa, v prihodnosti
pa bi lahko naredili še več škode. ZigBee varnostni protokol ne bi smel sloneti samo na
privatnosti ključev, ampak bi morali poskrbeti za še boljše varovanje naprav in omrežja. V
zgornjih točkah je opisanih nekaj korakov za izboljšavo varnosti. (Fan, Susan, Long & Li,
2017)
4 KOMUNIKACIJE V INTERNETU STVARI
29
4.5.3 Z-Wave varnostni pregled
Ponuja šifriranje paketov v omrežju, celotno zaščito in overitev naprav ter hitro zmanjšuje
prednost ZigBee-ja za uporabo v IoT. To prednost pridobiva zaradi splošne boljše zasnove
naprav, ki so se zmožne prilagajati na različne sisteme. Še ena od prednosti Z-Wave je
prenašanje motenj signala v celotnem omrežju. ZigBee je tukaj precej na slabšem, saj
uporablja zelo popularno in že nasičeno 2.4 GHz področje, ki ga uporabljata tudi Wi-fi in
Bluetooth. Oba sta zelo popularna in se vsakodnevno uporabljata, zato je veliko možnosti za
motnje. Sam protokol in tudi razvojni komplet (SDK) sta dosegljiva samo določenim
podjetjem, ki podpišejo sporazum o tajnosti s Sigma Designes Inc. (Fouladi & Ghanoun,
2013)
Z-Wave protokol
Ponuja šifriranje paketov v omrežju, celotno zaščito in overitev naprav ter hitro zmanjšuje
prednost ZigBee-ja za uporabo v IoT. To prednost pridobiva zaradi splošne boljše zasnove
naprav, ki so se zmožne prilagajati na različne sisteme. Še ena od prednosti Z-Wave je
prenašanje motenj signala v celotnem omrežju. ZigBee je tukaj precej na slabšem, saj
uporablja zelo popularno in že nasičeno 2.4 GHz področje, ki ga uporabljata tudi Wi-fi in
Bluetooth. Oba sta zelo popularna in se vsakodnevno uporabljata, zato je veliko možnosti za
motnje. Sam protokol in tudi razvojni komplet (SDK) sta dosegljiva samo določenim
podjetjem, ki podpišejo sporazum o tajnosti s Sigma Designes Inc. (Fouladi & Ghanoun,
2013)
Analiza protokola
Protokol deluje na zelo specifičnem radiofrekvenčnem pasu. Ta pas se uporablja za
industrijske, znanstvene in medicinske namene in ga s tujo kratico imenujemo ISM
(Industrial, Scientific and Medical Radio Frequency). ISM pas deluje na frekvencah 868.42
MHz (v EU) in 908.42 MHz (v USA). Ta frekvenčni pas se uporablja za ozkopasovne
podatkovne komunikacije v različnih varnostnih senzorjih, alarmnih napravah in v IoT
nadzornih napravah. Obstaja tudi odprtokodni open-zwave, ki ga bomo v nadaljevanju na
kratko opisali. (Fouladi & Ghanoun, 2013)
4 KOMUNIKACIJE V INTERNETU STVARI
30
Open-zwave uporablja Z-Wave kontrolno napravo kot radijski modem. Tako se pogovarja s
točkami v mreži. Kontrolna naprava je zmožna obdelati le eno Z-Wave mrežo v določenem
času. Z-Wave omrežje je prepoznano z edinstveno 32 bitno domačo identifikacijsko številko.
Ta številka je vpisana ob izdelavi naprave in je ni možno spreminjati, kar preprečuje kontrolni
napravi, da bi se pridružila sosednjim Z-Wave mrežam. (Fouladi & Ghanoun, 2013)
Analiza možnih napadov ali izkoriščevanj
Za odkrivanje največjih ranljivosti je potrebno podrobno pregledati šifriranje omrežja in
overitvene algoritme, ki se uporabijo pri dodajanju novih naprav. (Fouladi & Ghanoun, 2013)
Primeri možnih napadov in izkoriščanj:
- Prva vključitev ključavnice vrat v Z-Wave mrežo, kjer se šifrirni ključ izmenja med
napravo uporabnika in vratno ključavnico in tako ustvari simetrični ključ. (Fouladi &
Ghanoun, 2013)
- Pošiljanje ukazov za odklenitev in zaklenitev vratne ključavnice se zgodi tako, da se
ukaz šifrira s shranjenim šifrirnim ključem in se doda overitvena vrednost. (Fouladi &
Ghanoun, 2013)
- Vključitev ključavnice, po tem ko se naredi reset uporabnikove naprave. Takrat se
resetira tudi ključ v napravi, vendar ne v ključavnici. (Fouladi & Ghanoun, 2013)
Šifrirni ključ se ne izmenja v navadnem besedilu ali črkah, temveč se naredi s pomočjo
strojnega naključnega psevdo generatorja števil (PRNG). Ta generator domuje na čipu, ki je
šifriran s trdo kodiranim začasnim ključem. Trdo kodirani ključ je po skrbnem pregledu bil 16
bajtov števila 0. Heker bi lahko ta ključ prestregel v času izmenjave in ga dešifriral s trdo
kodiranim ključem. (Fouladi & Ghanoun, 2013)
S skrbno narejenim orodjem je prikazano, da ima Z-Wave napake pri izmenjavi ključa. Tako
lahko pride do celotne kontrole ključavnice, če se ve domačo identifikacijsko številko in id
številko vozla. Te napake so bile dostavljene k Sigma Designs, podjetje pa naj bi že ukrepalo
v smeri rešitev. (Fouladi & Ghanoun, 2013)
4 KOMUNIKACIJE V INTERNETU STVARI
31
Z-Wave S2
S2 predstavlja nov varnostni okvir, ki je zamenjal staro šifriranje AES z novejšo tehnologijo
in veliko boljšo neprepustnostjo. S2 bo letos standard za vse njihove naprave, sčasoma pa bo
prišel tudi v vse stare naprave. Varnostna tehnologija S2 je inovativna tehnologija, ki stremi k
pametnim domovom brez hekerskih vdorov. Nova pridobitev bo s pomočjo QR kode ali PIN-
a doprinesla k veliko bolj varnemu procesu dodajanja naprav v omrežje. S takim postopkom
se izniči ranljivost pri postopku pridruževanja naprav. S2 overitev bo izničila dva najbolj
uporabljena načina s strani hekerjev, ki napadajo IoT domove. Prvi način je MITM (oseba v
sredini), pri katerem heker skrivno posreduje informacije ali spremeni komunikacijski kanal
med dvema napravama. Drugi napad je »surova sila«, pri kateri so potrebni uspešni in
neuspešni poskusi, dokler se s surovo silo ne dokoplješ do gesla. Večina napadov na IoT pride
s strani vsemogočnega interneta, zato so pri Z-Wave dodali Z/IP Gateway. Ta »prehod« se
uporablja za bolj varne oblačne storitve. Z/IP Gateway pošlje ves komunikacijski promet prek
TLS 1.1, kar velja tudi za naprave, ki niso del Z-Wave mreže. Poenostavljeno rečeno, S2
kriptira ves promet med IoT in širnim internetom. (Zwavealliance, 2017)
4.6 RFID
Radiofrekvenčna identifikacija se uporablja že dolgo za identifikacijo različnih naprav ali
različnih stvari z RFID oznako, za katere želimo imeti digitalno identifikacijo. Dvosmerni
radio oddajniki ali sprejemniki, ki jim rečemo izpraševalci ali po domače kar bralne naprave,
pošljejo signal na RFID oznako in potem preberejo nazaj poslan odgovor. Največkrat so
izpraševalci neke vrste računalniki (pametni telefoni, različni čitalci, povezani na PC), ki
imajo naložen programski paket ali RFID posrednik med operacijskim sistemom ali bazo
podatkov in aplikacijo. (RFID Insider, 2013)
RFID oznake so lahko pasivne, aktivne ali pasivne s pomočjo baterije. Aktivna oznaka ima že
tovarniško vgrajeno baterijo in periodično pošilja svoj identifikacijski signal. Pasivna RFID
oznaka ima poleg vgrajeno baterijo in se vključi le, če zazna čitalca RFID. (RFID Insider,
2013)
4 KOMUNIKACIJE V INTERNETU STVARI
32
Frekvence v uporabi: 120-150 kHz (LF), 13.56 MHz (HF), 433 MHz (UHF), 865-868 MHz
(Evropa) 902-928 MHz (Severna Amerika) UHF, 2450-5800 MHz (mikrovalovi), 3.1-10 GHz
(mikrovalovi)
Obseg delovanja: 10 cm in tudi do 200 m
Primeri uporabe: kartice za identifikacijo, popis blaga, lociranje blaga na velikih površinah,
ključi za odpiranje vrat... (RFID Insider, 2013)
4.6.1 Varnostni problemi
Posnemanje in prisluškovanje sta največja problema pri uporabi RFID, ki ju je velikokrat
težko ugotoviti. Posnemanje je proces, pri katerem kradljivec uporabi RFID bralnik in preleti
ali presname podatke z našega čipa, ne da mi to opazimo. Prisluškovanje pa pomeni, da
kradljivec prebere frekvence, ki se oddajajo, ko lastnik plačuje ali prebira druge RFID čipe in
izmenjuje podatke ali informacije. (RFID Insider, 2013)
Danes obstaja veliko pametnih bančnih kartic z RFID čipom za hitrejše in lažje plačevanje
manjših vsot. Lastnik takih kartic se v trgovini lahko s kartico samo dotakne skenerja in tako
plača po navadi do 15 € brez kode. Če imate tako kartico, je možno, da kradljivec brez vaše
vednosti prebere vašo kartico, ko jo imate v žepu in vam vzame toliko denarja, kolikor imate
nastavljen limit za enkratno plačevanje. Nekatere denarnice imajo vgrajeno posebno kovinsko
tkanino ali mrežico in s tem zavarujejo RFID čipe v karticah, da jih kradljivci ne preberejo.
Ameriški potni listi so tudi znani po tem, da vsebujejo RFID čip za lažjo identifikacijo.
Oddelek za domačo varnost zagotavlja, da so ti potni listi varni pred prisluškovanjem in
posnemanjem. Potni listi naj bi vsebovali kovinsko antiposnemalno napravo. To naj bi
pomagalo, da čipa ni možno prebrati, ko je potni list zaprt, ko pa je odprt, ga je možno
prebrati le na razdalji do 10cm. Bralnike na mejnih prehodih so zavarovali tako, da se nihče
ne more približati potnemu listu v krogu 10 cm. (RFID Insider, 2013)
4.7 NFC ali Near Field Communication
Je protokol, ki izvira iz radiofrekvenčne tehnologije. Uvrščamo jo v podkategorijo RFID
protokola in zato tudi deluje na podoben način, vendar ima nekaj razlik. NFC je postal zelo
popularen pri uporabi v pametnih telefonih, ki se tako povezujejo z drugimi napravami z NFC
4 KOMUNIKACIJE V INTERNETU STVARI
33
zmožnostmi. Velika pridobitev pri uporabi NFC je tudi plačevanje in uporaba Apple Pay in
Google Wallet. Pri pametnih telefonih, ki so opremljeni z NFC tehnologijo, lahko dva taka
telefona le približaš, ju rahlo dotakneš, pri čemer se spoznata in povežeta in sta tako
pripravljena na prenos podatkov. Pri Android telefonih obstaja Google aplikacija Android
Beam, ki poskrbi za različne prenose informacij in podatkov prek NFC. Pri Apple telefonih pa
je preko NFC možno uporabljati le Apple Pay. (Sparkfun, 5. oktober 2017)
NFC se uporablja še v veliko različnih vsakodnevnih aplikacijah. BMW avto proizvajalec
uporablja NFC za odpiranje avtomobilskih vrat s ključem, ki ima NFC vgrajen v sebi.
Povečuje se tudi število reklam in reklamnih panojev, pri katerih zasledite QR kode ali NFC
oznako, ki vam ponuja, da se dotaknete reklame s telefonom in vam odpre povezavo do
spletne strani ali kataloga. (Sparkfun, 5. oktober 2017)
NFC je narejen za uporabo na zelo majhni razdalji nekaj centimetrov. Velja za enega najmanj
energetsko potratnega. NFC uporablja za komunikacijo 13.56 MHz frekvenco, ki se uporablja
tudi pri drugih visokofrekvenčnih RFID tehnologijah. Zato lahko NFC prebira tudi visoko
frekvenčne RFID oznake. (Sparkfun, 5. oktober 2017)
NFC za delovanje potrebuje dve napravi (NFC je lahko obenem ena ali druga naprava):
- Pobudnik: naprava, ki zahteva izmenjavo informacij. Ko zahteva to komunikacijo,
naredi radiofrekvenčno polje, ki napaja tudi ciljno napravo. (Sparkfun, 2017)
- Ciljna naprava: naprava, ki jo pobudnik kontaktira in je lahko pasivna ali aktivna.
Pasivna je samo oznaka, aktivna je lahko pametni telefon. (Sparkfun, 5. oktober 2017)
4.7.1 Razlike med RFID in NFC
Ker NFC izhaja iz RFID tehnologije, pride velikokrat do zmede in vprašanj glede razlike. Obe
tehnologiji sta vsesplošno uporabljani v vsakdanjem življenju in tako zelo uporabni za v IoT.
Ti tehnologiji nista samo za prebiranje oznak in povezovanje pametnih naprav, ampak se
uporabljata tudi za povezovanje v internet. (Sparkfun, 5. oktober 2017)
Na spodnji Sliki 4.6 ter v spodnji Tabeli 4.1 so bistvene razlike med RFID in NFC.
4 KOMUNIKACIJE V INTERNETU STVARI
34
Slika 4.6: RFID proti NFC (Sparkfun, 5. oktober 2017)
Tabela 4.1: RFID proti NFC (Sparkfun, 5. oktober 2017)
RFID NFC
Frekvence od 125 kHz do 960 MHz Frekvenca le 13.56 MHz
Deluje na razdaljah do 100 m Deluje le na nekaj centimetrov
Odličen za lociranje na velikih površinah Boljši za prenos podatkov in plačevanje
4.8 EnOcean
Ta tehnologija se uporablja za brezžično polnjenje ali brezžično prenašanje električne
energije. Veliko se uporablja v sistemih za avtomatizacijo zgradb. Lahko se uporablja v
novejših zgradbah, zaželjena pa je tudi v starejših, kjer bi bilo potrebno preveč dela z novo
infrastrukturo v zidovih. Tako EnOcean poskrbi za hitrejšo in manj invazivno infrastrukturo.
4 KOMUNIKACIJE V INTERNETU STVARI
35
Uporablja se lahko tudi v zelo starih zgradbah, kjer so zaradi spomeniško varstvene zaščite
zaželjeni čim manjši posegi v fizično zgradbo.
Enote, ki temeljijo na tehnologiji EnOcean, so sestavljene iz mikroenergijskih pretvornikov z
zelo majhno električno porabo. Omogočajo tudi brezžično komunikacijo med stikali,
kontrolerji, dostopi in senzorji brez baterij in akumulatorjev. Signali iz EnOcean naprav imajo
domet do 300 m na odprtem ter do 30 m v zaprtih prostorih. Na začetku so v EnOcean
napravah uporabljali piezo generatorje, ki pa so jih sčasoma zamenjali z elektromagnetnimi
energijskimi viri. S tem načinom so zmanjšali delovno silo naprav in povečali servisno
življenje naprave na 100 operacij na dan za več kot 25 let. (Wikipedia, 2017)
Paketni prenos pri EnOcean je zelo majhen, saj ima en paket le 14 bajtov in je prenešen s
hitrostjo 125 kbit/s. Frekvence za prenos so 902 MHz, 928.35 MHz, 868.3 MHz in 315 MHz.
(Wikipedia, 2017)
Leta 2017 je EnOcean predstavil tudi stikala za prižiganje in ugašanje luči, ki delujejo na
povezavi Bluetooth LE na frekvenci 2.4 GHz. EnOcean uporablja standard kakovosti
ISO/IEC 14543-3-10, ki se uporablja pri izdelavi in načrtovanju vseh njihovih produktov.
(Wikipedia, 2017)
Glavni deli EnOcean tehnologije so:
- Pridobivanje energije je eden od glavnih delov, ki pomaga pridobiti lokalno energijo
za napajanje oddaljenih naprav.
- Radijski vmesnik je bil narejen s takim načrtom, da zagotovi optimalni prenos
podatkov preko zaželene razdalje s strani uporabnikov in pri tem porablja zelo majhen
delež energije. Sistem je tako z malo pridobivanja energije dolgo obstojen.
- Podatkovne plasti podatki se morajo prenašati na najboljši možen način, zato so tudi
na tem delu naredili vse možno za čim boljšo optimizacijo stabilne komunikacije.
(Radio-electronics.com, 15. oktober 2017a)
4.8.1 Fizična plast
EnOcean uporablja dokaj enostaven sistem prenosa radijskega signala, ki je preprost za
šifriranje in tudi za pridobitev. Zaradi te enostavne zasnove je tudi procesiranje signala
enostavno in posledica je majhna poraba energije. Pri radijskem ojačevalniku lahko dosežeš
4 KOMUNIKACIJE V INTERNETU STVARI
36
precej visoko učinkovitost, ker je možno signal kompresirati. (Radio-electronics.com, 15.
oktober 2017)
V fizični plasti se nahajajo:
- GFSK modulacija ali Gaussian Frequency Shift Keying se uporablja pri sistemu
prenosa radijskega signala. Ta proces je oblika uravnavanja frekvence, pri kateri se
frekvenca signala spreminja med dvema frekvencama glede na uravnavanje pri
prenosih. Pri EnOcean je sprememba ±62.5 kHz od osrednjega položaja prenašalca.
Kar gre v pozitivno, je indikacija za logično 1, in kar gre v negativno, gre za logično 0.
(Radio-electronics.com, 15. oktober 2017)
4.9 Nwave
Je podjetje z veliko vizijo, da bo nekoč vodilni globalni ponudnik nizkoenergetskih in
širokoobmočnih brezžičnih omrežij, končnih naprav in rešitev. Je edino podjetje, ki ponuja
vse rešitve za postavitev celotnega IoT.
Nwave je razvil posebno in vrhunsko tehnologijo, pri kateri se uporablja ultra ozkopasovno
širino za radijske komunikacije. Njihove rešitve in strojna oprema lahko delujejo na razdalji
do 10 km, kar je veliko več kot pri drugih tehnologijah. Naprave lahko z eno samo baterijo
delujejo deset ali več let pri ceni celotnega radijskega modula za manj kot 2 USD. Nwave
tehnologija temelji na odprtih standardih z znanim razvijalskim SDK. Nwave je idealna
rešitev za vse IoT sisteme, ki potrebujejo prenos majhne količine podatkov čez velike
razdalje. (Ubuntu, 2015)
4.10 RPMA
Kratica označuje Random Phase Multiple Access (naključna stopnja večkratni dostop).
RPMA tehnologija je bila izključno narejena za brezžično komuniciranje med stroji in
napravami. To je javno brezžično omrežje, ki deluje na principu LPWAN (low-power wide-
area networks ali nizka energija za široko področje). RPMA razvija podjetje Ingenu že od leta
2008. (Ingenu, 2016) V spodnji Sliki 4.7 je prikazana tehnologija in odlike podjetja RPMA.
4 KOMUNIKACIJE V INTERNETU STVARI
37
Slika 4.7: RPMA (U-blox.com, 17. oktober 2017)
Posebna zanimivost RPMA je to, da ima zelo veliko pokritost. To dokazuje tako, da lahko
prodre pod zemljo tudi čez debel asfalt, pa tudi v goste stavbne površine z veliko različnimi
prostori. RPMA zelo dobro pokrije zelo velike površine z veliko zmogljivostjo, to pa naredi z
majhno porabo energije v frekvenčnem pasu 2.4 GHz. (Ingenu, 2016)
Pri RPMA so gledali tudi na ekonomičnost omrežja, zato je bilo potrebno poskrbeti, da vsak
del infrastrukture pokrije velika območja z veliko verjetnostjo uspešnega delovanja. Ta trditev
pomeni, da mora razpon med dvema točkama biti kar se da velik, pa tudi občutljivost
sprejemnika mora biti najboljša možna. (Ingenu, 2016)
Pri Ingenu zatrjujejo, da so poskrbeli za varnost v šestih korakih:
- Zaupnost sporočil zagotavljajo s šifriranjem in tako poskrbijo za premešanje sporočil,
da so neberljiva in jih je možno prebrati samo s posebnim ključem ali geslom.
- Neokrnjenost sporočil in varovanje pred ponovitvijo.
- Skupna overovitev pri prenašanju podatkov pomeni, da se naprave poznajo, in ni
možno, da tretja oseba prestreza brez overitve.
- Anonimnost naprav pomeni, da ima vsaka svojo identiteto. Tako se razlikuje od
drugih naprav, saj je zelo pomembno, da se njihove identitete ne razkrije.
- Overjene programske posodobitve poskrbijo za to, da se naprava razvija z varnostnim
okoljem.
4 KOMUNIKACIJE V INTERNETU STVARI
38
- Varno pošiljanje ukazov več napravam je omogočeno, kar je veliko težje kot navadno
pošiljanje eni napravi, kjer se uporabi samo skupna overitev (primer je pošiljanje
ON/OFF ukaza veliko uličnim lučem naenkrat).
4.11 Thread
Je odprt standard za brezžično komunikacijo med dvema napravama. Glavne lastnosti tega
standarda so nizka cena, majhna poraba energije in zelo zanesljivo delovanje. Narejen je bil
predvsem za domove s povezanimi pametnimi napravami v IoT. V tem času je postal tako
pomemben, da ga razvijajo kar Google, Samsung, Qualcomm in ARM za svoje potrebe in
potrebe strank njihovih naprav. (Sparkfun, 5. oktober 2017)
Nest naprava, ki jo sedaj razvija Google, uporablja omrežje Thread za svoje pametne
termostate in za Nest kamero. Thread želi obdržati čim boljše lastnosti za uporabo v domačem
avtomatiziranem omrežju, kar pomeni, da morajo biti naprave enostavne za priključiti, imeti
majhno energijsko porabo zaradi majhnih baterij in biti varne. (Sparkfun, 5. oktober 2017)
Na spodnji Sliki 4.8 je sestava in delovanje omrežja Thread.
Slika 4.8: Thread (Sparkfun, 5. oktober 2017)
4 KOMUNIKACIJE V INTERNETU STVARI
39
4.11.1 Naprave uporabljene v Thread-u
Obrobni usmerjevalnik (Border Router) je posebnost v omrežju Thread. Ta usmerjevalnik
ponuja povezavo od 802.15.4 omrežij do sosednjih omrežij na drugi fizični plasti (na primer
Wi-Fi in Ethernet). V tem omrežju lahko obrobni usmerjevalnik neha delovati. Njegovo vlogo
bo prevzel drug usmerjevalnik, ki do sedaj ni bil obrobni usmerjevalnik, in tako ohranjal
odpornost omrežja. (Sparkfun, 5. oktober 2017)
Usmerjevalnik ima enostavno nalogo usmerjanja prometa v omrežju od in do naprav.
Uporablja se jih tudi za priključitev novih naprav v omrežje. Usmerjevalniki so v omrežju
vedno dejavni, vendar se lahko zgodi, da se jim zniža položaj v REED (Router-Eligible End
Devices ali odvečne končne točke, ki lahko nekoč spet postanejo usmerjevalniki), kar pomeni,
da ne usmerjajo prometa ali prenašajo podatkov, ampak samo čakajo kot končna točka.
(Sparkfun, 5. oktober 2017)
Zaspana končna naprava so naprave, ki na Thread omrežju pridobivajo informacije in
ustvarjajo podatke. Imenujemo jih tudi gostujoče naprave. Te naprave imajo vsaka svoj IP
naslov in so ponavadi termostati, varnostne kamere, grelci in druge podobne naprave. Tem
napravam lahko pogovorno rečemo tudi zaspani otrok ali zaspano vozlišče. Usmerjevalnik, ki
je direktno vezan na zaspano končno napravo, prevzame vlogo starša. Te končne naprave so
večino svojega časa v hibernaciji in se zbudijo le za prenos podatkov. Vse njihove
komunikacije morajo mimo starša ali usmerjevalnika, priključenega na njih. (Sparkfun, 5.
oktober 2017)
Potek pošiljanja podatkov:
Naprava se zbudi iz hibernacije, po potrebi naredi zagon in vzpostavitev radia. Nato naprava
preide v način prejemanja in pregleda, če lahko začne prenos podatkov. Po pregledu začne
način prenosa in nato prenašanje podatkov. Naprava je nato potrjena kot primarna za prenos.
Na koncu preide nazaj v hibernacijo. (Sparkfun, 5. oktober 2017)
40
4.11.2 Dobre lastnosti
Dobre lastnosti Thread omrežja:
- Temelji na IP naslovu in je tako bolj enostavna za priključitev v IP omrežje. Naprave
delujejo na 802.15.4, zato lahko naprave iz ZigBee in 6LoWPAN enostavno začnete
uporabljati v Thread-u.
- Thread pravi, da nima niti ene slabe točke v zasnovi, ker se lahko zelo dobro prilagaja
na mrežne pogoje. Podpira mrežasto topologijo omrežja.
- Nizkoenergetsko delovanje, saj gredo lahko naprave v hibernacijo.
- Zelo varno.
4.11.3 Realnost pri varnosti Thread-a
Thread pravi, da nimajo slabe točke v omrežju, vendar če je omrežje zasnovano s samo enim
samim obrobnim usmerjevalnikom, lahko to pomeni eno in edino točko okvare. Obrobni
usmerjevalnik ali kateri drugi usmerjevalnik lahko prevzame vlogo glavnega za določeno
nalogo. Če glavni v tistem času doživi okvaro, bo drugi usmerjevalnik ali obrobni
usmerjevalnik prevzel njegovo vlogo. Če tega ni, se okvari celo omrežje.
5 HRBTENICA INTERNETA STVARI
5.1 IPv4 in IPv6
Sta protokola omrežne plasti in ju uporabljamo za naslavljanje naprav v omrežju. Internetna
protokola verzije 4 in 6 sta ena od komponent, ki stoji za internetom stvari. IPv6 je zadnja
najnovejša verzija v uporabi, ki ponuja ogromno število naslovov, saj IPv4 ni bil dovolj
zmogljiv za vse internetno vezane naprave v zadnjih petnajstih letih. IPv6 uporablja 128 bitne
naslove, kar je veliko več kot stari IPv4, kateremu se je zmogljivost končala pri 32-bitnih
naslovih. (Postscapes.com, 18. oktober 2017)
5 HRBTENICA INTERNETA STVARI
41
5.2 UDP ali USER DATAGRAM PROTOCOL
Je eden najpomembnejših delcev internetnega protokola. S pomočjo UDP-ja lahko programi
in aplikacije pošiljajo sporočila ali datagrame do drugih gostiteljev v omrežju, brez prejšnjih
izmenjav podatkov za nastavljanje poti med njimi. (Postscapes.com, 18. oktober 2017)
5.3 TCP ali Transmission control protocol
Je protokol za nadzor prenosa v nekem omrežju, je enakovreden ter dopolnjuje IP protokol,
zato tudi največkrat rečemo TCP/IP protokol. TCP je pomemben za zanesljivost, urejenost
toka informacij, brez napak na IP omrežju. Preko TCP protokola delujejo najbolj uporabljene
internetne aplikacije, kot so WWW (veliki svetovni splet), internetna pošta, oddaljeno
upravljanje in prenos datotek. (Postscapes.com, 18. oktober 2017)
5.4 6LoWPAN
To je enostavno povedano IPv6 protokol preko Low power Wireless Personal Area Network,
kar pomeni IPv6 protokol, ki deluje preko nizkoenergetskih brezžičnih privatnih omrežij.
Koncept 6LoWPAN je zrasel iz mišljenja, da morajo tudi najmanjše naprave v internetu stvari
imeti svoj IP protokol, tudi če so nizkoenergetske in z majhno procesorsko močjo. Pri izdelavi
tega protokola so naredili zajemanje in mehanizem za kompresijo glave ter tako omogočili
prejemanje in pošiljanje IPv6 paketkov čez IEEE 802.15.4 omrežja. (Postscapes.com, 18.
oktober 2017)
V internetu stvari se ta protokol večinoma uporablja z nizkoenergetskimi
radiokomunikacijami za naprave, ki potrebujejo brezžično povezavo z nižjo stopnjo prenosa
podatkov.
42
6 PROGRAMSKA OPREMA ZA INTERNET STVARI
6.1 RIOT OS
V IoT je potrebno poskrbeti tudi za operacijske sisteme, ki bodo vodili vso strojno opremo in
omogočali uporabniku prijazen vpogled v informacije. Eden takih bolj uspešnih operacijskih
sistemov je RIOT OS. Ta operacijski sistem sloni na mikrokernelu in je zasnovan za čim
boljši energijski izkoristek, neodvisno izdelavo strojne opreme ali naprav in visoko stopnjo
modularnosti. (Postscapes.com, 18. oktober 2017)
Glavne značilnosti:
- Ponuja odlično podporo za 6LoWPAN, IPv6, RPL, TCP, UDP.
- Zasnovan je za najboljši možen izkoristek in varčevanje z energijo in za zelo majhne
procesorske zahteve: minimalni RAM je lahko približno 1.5 kB, minimalni ROM je
lahko približno 5 kB.
- RIOT OS je zmožen delovati na različnih platformah, kot so vgrajene naprave in
navadni računalniki.
- Narejen je v C in C++ in je tako dokaj enostaven za poganjanje na napravah s 16-
bitnimi ali 32-bitnimi platformami.
6.2 Thingsquare Mist
Odprtokodna programska oprema, ki doprinese zelo odporno brezžično medmrežje in
vrhunsko internetno povezljivost v IoT. Sistemsko programje je tukaj zelo lahkotno, dokazano
v borbi ter deluje z veliko različnimi mikrokontrolerji z radii. (Postscapes.com, 18. oktober
2017)
Ta programska oprema deluje na zelo lahkotni strojni opremi, kar je normalno 64-256
kilobajtov bliskovnega pomnilnika in 16-32 kilobajta RAM-a.
6.3 Sapphire OS
To je polno opremljen odprtokodni sistem z nizkoenergetsko brezžično povezano platformo.
6 PROGRAMSKA OPREMA ZA INTERNET STVARI
43
Sapphire združuje strojno opremo in operacijski sistem. Pod strojno opremo najdemo te
komponente:
- ATMega128RFA1 (IEEE 802.15.4 čip z mikrokontrolerjem in najboljšim 2.4 GHz
radiofrekvenčnim oddajnikom)
- osem digitalnih vhodov in izhodov ter osem analognih vhodov
- Pri prodajnem izdelku dobite tri razvojne dodatke (Ethernet, Multiboard (LED,
temperatura, lučka, gumb) in Protoboard ali testno ploščo
V paketu operacijskega sistema so možnosti:
- narediti mesh omrežje,
- povezovanje s Pythonom, REST ali s svojim API-jem,
- avtomatsko zaznavanje drugih Sapphire naprav,
- časovna sinhronizacija in AES varnostni protokol že vgrajen.
Omrežje Sapphire nam nudi:
odlično povezljivost ključnega sistema do razširljivih osrednjih sporočilnih vodil. Strežnik na
napravi poveže vašo strojno opremo z vodili. Avtomaton (samoopravljiva naprava ali oprema)
vam pomaga skriptirati medsebojno delovanje med vsako napravo ali delom, ki je povezan na
vodilo. Nato obstaja še RESTful API strežnik, ki zagotavlja dober vmesnik za mrežne ali
internetne aplikacije. (Postscapes, 18. oktober 2017) Na spodnji Sliki 6.1 je sestava in
delovanje omrežja Sapphire.
Slika 6.1: Sapphire (Postscapes, 18. oktober 2017)
6 PROGRAMSKA OPREMA ZA INTERNET STVARI
44
6.4 Nimbits
To je skupek programske opreme, ki je ustvarjen za zelo precizno delo, in sicer beleženje
časovnih podatkov in pošiljanje le-teh v oblak. Glede na poslane številčne, xml ali json
podatke v Nimbits Data Point (podatkovna točka predstavlja eno izbrano podatkovje v nekem
časovnem obdobju) z uporabo REST mrežnih storitev se začnejo ponavljajoča računanja,
opomniki, statistični izračuni in drugo. Nimbits strežniške storitve lahko uporabite kot storitve
v ozadju za vaše aplikacije, izdelovanje diagramov in grafov, pa tudi za boljše prikazovanje
podatkov. (Postscapes.com, 18. oktober 2017)
Nimbits je sestavljen iz treh delov:
- Topics ali teme se uporabljajo za shranjevanje posnetkov podatkov, nato pa jih bo
Nimbits sistem zabeležil v to temo. Predstavljate si ga lahko kot zabojček, kjer
shranjujemo posnetke s časovnim žigom, temu zabojčku pa lahko postavljaš pravila, ki
jih sistem nato pregleda in opravi selekcijo med podatki, če so za shranjevanje v temo,
ali sprožijo kak dogodek, ali pa se jih pač prezre. (Github, 2017)
- Posnetki so dogodki v času s časovnim žigom, ki jim lahko dodate različne značilnosti
po vaši želji. Značilnosti so lahko različne GPS koordinate, številke, besede ali druge
vrednosti, nato pa jih lahko objavite v temi. (Github, 2017)
- Poslušalci in tarče pregledujejo vhodne podatke in se odzovejo, če imajo podatki
kakšen sprožilec. (Github, 2017)
6.5 ThingSpeak
Je odprtokodna aplikacija za IoT in vsebuje API za shranjevanje in pridobivanje
podatkov iz različnih senzorjev in naprav s pomočjo HTTP preko interneta ali LAN
omrežja. S tem orodjem lahko naredimo aplikacijo, ki bo beležila informacije iz
različnih senzorjev, kot so lokacijski senzorji ali za temperaturo, in jih pregledala z
Matlab analitiko. Lahko se ustvari tudi socialno omrežje različnih naprav, senzorjev in
stvari s posodobitvenimi stanji. ThingSpeak lahko zbira podatke, jih analizira ter
vizualno predstavi in tudi postavi sprožilec, ki bo ob določenem dogodku nekaj naredil.
(Postscapes.com, 18. oktober 2017)
6 PROGRAMSKA OPREMA ZA INTERNET STVARI
45
Odllično deluje tudi z:
- Arduino
- Particle Photon and Electron (razvojna strojna oprema in celotna platforma za IoT)
- ESP8266 Wifi modul
- Raspberry Pi
- Mobilne in mrežne aplikacije
- Twilio (oblačna storitev za komunikacije, klice in tekst sporočila)
- Matlab
Nekaj primerov uporabe ThingSpeak-a:
- Števec avtomobilov na cesti. Z uporabo spletne kamere in Raspberry Pi se naredi
števec avtomobilov. Z uporabo algoritma za štetje avtomobilov, ThingSpeak-a in
MATLAB-a se analizira in grafično prikaže prometne vzorce.
- Vremenska postaja je zelo zanimiv projekt z uporabo Arduino napravic in s povezavo
ThingSpeak-a. V tem projektu so zbirali in shranjevali različne podatke o vremenu, jih
nato analizirali ter grafično prikazali z uporabo ThingSpeak-a in MATLAB-a.
- Napovedovanje plime in oseke. Z uporabo nevronske mreže so naredili sistem za
napovedovanje plimovanja. V tem sistemu so napovedovali učinek vetra na raven
vode.
(Postscapes.com, 18. oktober 2017)
6.6 Protokoli v uporabi pri IoT
Protokoli:
- CoAP (Constrained Application Protocol) je programski protokol, narejen za uporabo
v napravicah, ki so zelo nezahtevne konstrukcije. Ta protokol omogoča tem
napravicam interaktivno komuniciranje preko Interneta. Večinoma se uporablja v
napravah manjših mer in nizkoenergetskih senzorjih, stikalih, ventilih in podobno.
Naprave so večinoma tiste, ki jih je potrebno nadzorovati od daleč in preko navadnega
interneta. CoAP je narejen za poenostavljeno in hitro prevajanje podatkov v HTTP za
združevanje z internetom, vendar še vedno ne sme odstopati od posebnih zahtev, kot
46
- so multicast podpora, zelo majhno nadglavje in preprostost. (Postscapes.com, 18.
oktober 2017)
- RESTful HTTP (Representational State Transfer) je poznana vrsta programske
arhitekture za široko razširjene sisteme, kot je svetovni splet (WWW). Izkazal se je
kot odličen spletni API. (Postscapes.com, 18. oktober 2017)
- MQTT (Message Queue Telemetry Transport) je odprtokodni sporočilni protokol za
M2M pogovarjanje, ki omogoča prenos telemetrijskih podatkov v obliki sporočil iz
IoT naprav (Pervasive Devices – vsakodnevne naprave z mikroprocesorji za uporabo v
IoT) v visoko zakasnjenih ali drugače omejenih mrežah do strežnikov.
(Postscapes.com, 18. oktober 2017)
- XMPP (Extensible Messaging and Presence Protocole) je zbirka odrtokodnih
protokolov, ki temeljijo na XML jeziku. Namenjeni so hitremu sporočanju v skoraj
realnem času in hitri informaciji o prisotnosti. Veliko se uporablja tudi za sistem
objavljanja/naročanja, signalizacijo za VoIP, video, prenos datotek, igranje iger in tudi
za IoT pri pametni mreži. (Postscapes.com, 18. oktober 2017)
7 STROJNA OPREMA V IOT
7.1 Google Nest
Izum Nest naprav lahko pripišemo bivšim zaposlenim v Apple, ki so ustanovili podjetje Nest
Labs za proizvajanje naprav, ki bodo prinesle Big Data in IoT v naš vsakdan. Za sedaj so
naredili pametne termostate, požarne alarme in varnostne kamere. Zaradi velikega potenciala
podjetja in naprav jih je kupil Google za 3.2 milijardi USD, saj je uvidel, da bodo te naprave
odlične za njegov vstop v trg pametnih domov. Google želi s temi napravami poenostaviti
naše življenje in nam privarčevati denar, zapravljen za nepotrebno energijo. Vse to je možno
zaradi Big Data in posebnih analitičnih algoritmov za procesiranje vseh teh podatkov.
Naprave sprocesirajo vse te velike podatkovne sete in naredijo profile, po katerih se vedejo in
nastavljajo svoje delovanje. Spoštovanja vredno pri Google Nest je tudi zavzemanje za
uporabnikovo zaupanje v varnost in varovanje podatkov. Gospod Paillet, ki je generalni
direktor Google Nest za Evropo, je povedal: »Trust is fundamental to everything we do –
7 STROJNA OPREMA V IOT
47
particularly in the home which is sacred, psychologically – it is probably the place that is most
private to you on Earth. So the notion of user trust has been a guiding principle in everything
we do«. Njihova ideja je, da dom ni samo pameten, ampak tudi pozoren in premišljen, da
razume vaše navade in se vede temu primerno. (Marr, 2015)
7.1.1 Varnost Google Nest termostata
V letu 2015 je varnostni raziskovalec pokazal, kako bi bilo možno preko Google Nest
termostata pridobiti nadzor drugih pametnih naprav v domu. Je pa dobro povedati, da je to
samo teoretično možno, saj nikoli ni bilo dokazano, in tudi Google trdi, da Nest termostat ni
bil še nikoli ogrožen ali napaden s strani hekerjev. Google pravi, da je Nest eno najbolj varnih
paketov naprav na trgu.
Za teoretični napad bi heker potreboval fizični naslov naprave, kar pa že po svoje zelo
zmanjša možnost tega napada, ker bi moral napadalec imeti fizičen dostop do naprave. Pri
tem teoretičnem napadu so uporabili nekaj informacij, ki so jih raziskovalci z Univerze v
Centralni Floridi odkrili o sami Nest napravi. Te informacije so, da je možno dobiti nadzor
nad Google Nest Linux operacijskim sistemom med samim zaganjanjem naprave, med tem pa
naložiti poseben operacijski sistem na napravo (jailbreak napravo skozi USB vrata). S tem
lahko preprečiš napravi, da pošlje zbrane podatke iz termostata preko interneta v Nest
strežnike. Varnostni raziskovalec in njegova ekipa so na enak način z vhodom preko USB in
nalaganjem novega operacijskega sistema na ARM7 procesorski čip prišli do dostopa
naprave. Ko so imeli dostop, so lahko zelo enostavno prišli do gesel za Wi-Fi in tudi
informacije, če je kdo doma. Vsi podatki na Nestu niso pod šifriranjem, so pa ti podatki
šifrirani šele, ko so poslani ven iz naprave. Z uporabo ARP orodja so prepričali druge
naprave, naj začnejo izmenjavati podatke z Nest termostatom. Tako so začeli dobivati podatke
iz otroške kontrolne naprave in tudi iz računalnikov, ki niso imeli zadnjih posodobitev. Veliko
lažje bi bilo začeti tak napad s hekanjem pametnega telefona ali PC-ja v istem omrežju. Take
ali drugačne naprave za pametne domove se kopičijo, potrebno je poznati njihove
proizvajalce, testiranja in seveda kako pogosto izdelujejo nove programske posodobitve.
(Tilley, 2015)
7 STROJNA OPREMA V IOT
48
7.1.2 Varnost Google Nest varnostne kamere
Varnostni raziskovalec Jason Doyle je oktobra 2016 odkril resne napake pri varnostnih
kamerah. V programski opremi verzije 5.2.1 so tri hude napake, ki jih lahko dobri hekerji
dobro izkoristijo. Prvi dve napaki sta pošiljanje Wi-Fi SSID ali Wi-Fi gesla kameri preko
Bluetooth-a. V obeh primerih se varnostna kamera sesuje in naredi ponovni zagon, kar traja
90 sekund, v tem času pa lahko ropar pride v hišo, ne da bi bil zaznan. Tretja napaka pušča
roparju možnost, da kamero odklopi iz omrežja s pošiljanjem novega neobstajajočega Wi-Fi
SSID preko Bluetooth-a. Ta zadnja napaka je precej usodna, saj vse Nest varnostne kamere
shranjujejo video prek Wi-Fi-ja. (Estes, 2017)
7.2 Raspberry PI
Je odlična platforma za izdelovanje naprav in učenja o IoT. Platforma Raspberry PI (v
nadaljevanju RasPi) sestavlja celoten Linux strežnik v majhnem pakiranju za majhen denarni
vložek. Na internetu je že veliko RasPi projektov, tukaj pa bomo predstavili le nekaj dobro
zastavljenih. (InformationWeek, 2015) Na spodnji Sliki 7.1 je izgled in nekaj sestavnih delov
naprave Raspberry PI.
Slika 7.1: Raspberry PI (Cdn.shopify.com, 20. oktober 2017)
Različni projekti z RasPi:
- RasPi v zraku je projekt, pri katerem uporabiš vezje »Pi in the Sky«, ki vsebuje GPS
sprejemnik in UHS radio oddajnik, ta dva pa odčitavata, na kakšni višini se nahaja
vezje in GPS podatki. Projekt se lahko uporabi v modelarstvu in drugih hobi projektih.
7 STROJNA OPREMA V IOT
49
Pri tem projektu se lahko naučimo o GPS in o radiofrekvenčnih oddajnikih.
(InformationWeek, 2015)
- Senzor temperature in vlage je odličen začetni projekt za uporabo na domu.
Uporabimo ga lahko za testiranje toplote in vlage različnih objektov, naprav in
prostorov. Je enostaven projekt, pri katerem se naučimo dela s senzorji in mrežnimi
protokoli. Uporablja se lahko tudi zunaj, zato ga lahko uporabimo kot zunanji
termometer in pošiljamo podatke prek RasPi strežnika na internetno stran.
(InformationWeek, 2015)
- RasPi internetni strežnik je projekt, pri katerem se uporabi RasPi napravo kot srednji
kontroler za manjše število nizkoenergetskih kontrolerjev (recimo Arduino). V tem
projektu lahko nasnamemo Apache strežnik na RasPi Linux operacijskem sistemu in
zgradimo še senzor temperature in vlage. Težji način je, da kupimo več Arduino plošč
z različnimi senzorji in naredimo svojo vremensko postajo. (InformationWeek, 2015)
- Dramble je skupek nizkocenovnih računalnikov povezan z Drupal 8 (sistem za
upravljanje vsebine). Pri tem projektu se lahko naučimo povezovanja večprocesorskih
sistemov v Bramble skupek z naloženim Drupal 8 sistemom. Bolj kot ne je skupek
neuporaben zaradi slabe procesorske moči, ima pa zelo dobro GPU moč, pa tudi sproti
se naučimo nekaj o omrežjih in nekaj o fizični izdelavi. Tak računalniški skupek je
dober, ker se vse na njem dogaja lokalno in lahko rečemo, da smo ustvarili svoj
lokalni oblak. Seveda pa je odlično držati skupek večprocesorskih enot v gigabitnem
omrežju. (InformationWeek, 2015)
- Piratna škatla je zanimiv projekt, ko nočemo deliti ali uporabljati javnega omrežja.
Piratna škatla uporablja torrent protokole in privat Wi-Fi omrežje za deljenje datotek z
drugimi računalniki v omrežju. Tudi če ne želimo uporabljati torrentov pri svojem
delu, se lahko naučimo veliko o postavljanju privatnega Wi-Fi omrežja in uporabljanja
protokola z višje ravni za čim lažje in gladko pretakanje podatkov med PC-ji.
(InformationWeek, 2015)
- SoftSynth je projekt za glasbene navdušence z znanjem računalništva. Ta projekt
vsebuje skupek stikal, senzorjev in digitalne v analogne pretvornike. Pri tem projektu
se naučimo veliko o sestavljanju različnih delov in vmes dobimo še nekaj sproščujoče
glasbe. (InformationWeek, 2015)
- BeetBox je še en projekt za glasbene navdušence, pri katerem naredimo napravo za
igranje elektronskih bobnov, vendar lahko namesto bobnov uporabimo kolerabo,
7 STROJNA OPREMA V IOT
50
koren ali peso. V leseno škatlo je vgrajen RasPi s kapacitativnimi senzorji na dotik in
avdio ojačevalcem. Sam koncept je zanimiv že zaradi tega, ker je zasnovan
elektronsko, vendar ni vidnih elektronskih komponent in ima svež pristop. Uporabi se
MPR121 senzor na dotik iz SparkFun, ki se pogovarja preko Python skripte z RasPi
preko I2C. Skripta je pozorna na dotike in tako sproži vzorce bobnov iz igre pygame.
Avdio deluje preko majhnega ojačevalca iz LM386, ki je povezan na star zvočnik v
leseni škatli. (InformationWeek, 2015)
- Robot za pasjo poslastico je precej zahteven projekt, hkrati pa zabaven za hišjega
ljubljenčka. Pri tem projektu se ukvarjamo s stikali in servi. Servi so najbolj pogosti
deli za premikanje drugih delov, zato je priporočljivo poznati delo z njimi.
(InformationWeek, 2015)
- XBMC medijski center je odlična naprava, ki poskrbi za zabavo v vsakem domu.
Najboljši medijski center je majhen, tih in za nizko ceno, zato je RasPi najboljši, ker
ima poleg še odličen GPU. Potrebujemo RasPi, HDMI kabel, SD kartico Class 10 ali
boljšo, čitalec kartic, USB miško ter tipkovnico, ethernet kabel, kvaliteten mikro USB
napajalnik (5V 2A je priporočljivo), daljinec, USB trdi disk, ohišje za RasPi, 3.5 mm
stereo kabel in Raspbmc Installer program. (InformationWeek, 2015)
7.2.1 Varnost RasPi in kaj narediti
Linux je zelo vsestranski operacijski sistem. Za vsakdanje delo se ga uporablja manj kot
Windows, zato ima manj malware in spyware programov, vendar to še ne pomeni, da je bolj
varen. V IoT je veliko senzorjev in stikal, ki ne potrebujejo tako naprednega operacijskega
sistema, zato ima manjšo ciljno skupino v IoT. (Opensource, 2017)
Najenostavnejši postopek varovanja RasPi bi bil, da mu dopustiš delati samo procese, ki so
važni in jih poznamo. To se lahko naredi tako, da mu pustiš delati načrtno skripto, ki zabeleži
njegovo delovanje v nekem času, nato pa to shraniš v datoteko. Kasneje lahko z novo skripto
to datoteko reberemo in jo izvedemo točno po korakih, kakršni so bili v začetnem delovanju.
Tako zagotoviš, da RasPi dela samo kar je potrebno in nič drugega. (IBM, 2017)
Vsekakor eden od enostavnejših postopkov je menjava gesla na napravi s privzetega na eno
izmed tvojih zasebnih. (IBM, 2017)
7 STROJNA OPREMA V IOT
51
Moraš vedeti, zakaj in zaradi česa bi bil tvoj RasPi tarča? Virusi, črvi ali heker, ki vtopa v tvoj
sistem? Ima tvoj RasPi kakšen spletni vmesnik, ki ga lahko heker izkoristi in pridobi podatke
prek njega? Dobro bi bilo, da »naredi sam« naprave v IoT ne vsebujejo finančnih in
zdravstvenih podatkov. (IBM, 2017)
Kakšno strojno ali fizično napravo tvoj RasPi kontrolira? Domače avtomatizirane naprave je
dobro pregledati, če lahko z njihovim izklopom ali prevzemom čemu škodujejo? Kamere so
zelo občutljive naprave, saj snemajo dogajanje v vašem privatnem domu in tako oddajajo vaš
vzorec prihoda in odhoda. Če poteka odklepanje vrat preko NFC ali pametnega telefona z
RasPi in heker vdre v to napravo, lahko odpre tudi vaša vrata. (IBM, 2017)
S katero napravo vaš RasPi komunicira? Če je to usmerjevalnik, ga lahko heker uporabi za
nadzorovanje prometa v omrežju, ali pa lahko uporabi napad »oseba v sredini« (MITM) in
pride do šifriranih podatkov. (IBM, 2017)
Če je naprava priključena v omrežju in tudi če je za požarnim zidom, se jo lahko izkoristi. Vse
aplikacije ali programi, ki imajo dostop do UTP vhodov, ki so povezani v internet, so lahko
točka vdora. V komandni vrstici lahko poženete netstat-ap in tako pridobite listo vseh
programov, ki imajo dostop do interneta. Nato onemogočite ali izbrišite programe, ki ne
potrebujejo dostopa. (IBM, 2017)
Poglejte vse strežniške programe in mrežne API-je in jih redno posodabljajte. Na Linux
distribucijah s tem ukazom posodobite vse pakete na operacijskem sistemu:
sudo apt-get update && sudo apt-get upgrade
in na RPM Linux verzijah (Fedora) uporabite tega:
sudo dnf update
Če razvijate kakšne nove programe za RasPi, je dobro pregledati kodo in prepustiti pregled še
komu drugemu. (IBM, 2017)
Pri vseh napravah ali programih, povezanih v internet, uporabljajte šifriranje podatkov in
povezav. Mrežni strežniki naj uporabljajo HTTPS s SSL/TLS. Pri prijavljanju z oddaljenih
mest v sisteme uporabljajte SSH. (IBM, 2017)
Poznamo kriptografijo skrivni ključ, pri kateri se uporabi enak niz ključa za šifriranje in
dešifriranje. Nevarnost je le v tem, kako dostaviti ključ do vseh avtoriziranih naprav in
7 STROJNA OPREMA V IOT
52
uporabnikov. Če heker medtem pridobi ključ, ima dostop, zato je ključ potrebno skrivati.
(IBM, 2017)
Kriptografija javni ključ deluje na principu dveh matematično povezanih ključev, ki lahko
odkleneta, kar je drugi zašifriral. Ponavadi je en ključ skrivni in drugi javni. Javni ključ lahko
dešifrira vse, kar je šifrirano s strani skrivnega ključa. Tako šifriranje se uporablja v SSL/TLS
pri HTTPS povezavah. (IBM, 2017)
Naslednja opcija kriptografije je enosmerni hash. Tak algoritem naredi iz niza manjše
vrednosti z določeno velikostjo. To je zelo dobra opcija za shranjevanje gesel. V tem primeru
uporabnik pozna svoje geslo, program ga pregleda s hash algoritmom in primerja s tistim, ki
ga ima shranjenega v hash obliki. Heker bo imel veliko problemov in dela s pridobivanjem
gesel iz hash-a. Pri določanju gesel je dobro, da se ne uporablja besed naravnost iz slovarja,
ker lahko tudi heker še hitreje uporabi digitalno verzijo slovarja. (IBM, 2017)
Če je le možno, se pri razvijanju programske opreme uporabi že narejene in uporabljene
programske pakete. Ti paketi so že pregledani in verjetno že najdene in zakrpane varnostne
luknje. (IBM, 2017)
Če RasPi nima potrebe po internetu, potem se lahko hitro izogneš velikim številom napadov.
Če je priklop na internet potreben, potem naj se uporabi večplastno varnostno rešitev s
požarnim zidom z IP tabelo in ugašanje nepotrebnih strežniških programov. (IBM, 2017)
Redno pregleduj strani, kot so SI CERT, ARNES, SAFE-SI.
7.3 Arduino
Je odprtokodna plošča za elektronsko načrtovanje in izdelovanje. Arduino je skupek fizičnega
programabilnega tiskanega vezja in programa ali IDE, ki lahko deluje na računalniku za
pisanje kode in prenos kode na tiskano vezje. Arduino je zelo popularen, ker ne potrebuje
drugega posebnega strojnega dela (ponavadi je to naprava, imenovana programer) za
prenašanje nove kode nase. Arduino ima USB vhod, preko katerega lahko nanašate novo
kodo. Na spodnji Sliki 7.2 je izgled in nekaj sestavnih delov naprave Arduino.
7 STROJNA OPREMA V IOT
53
Slika 7.2: Arduino (Sparkfun, 5. oktober 2017)
7.3.1 Varnost pri Arduino-u
Arduino je čisti strojni del, pri katerem za varnost ni poskrbljeno in je mišljen bolj za
razvijanje, to pa še ne pomeni, da ga ne moremo zavarovati pred napadi. Najbolj popularen
način je, da se naredi TLS ali SSL varnostna plast, ki bi poskrbela za varnost pri komunikaciji
prek interneta. Arduino je računalnik z minimalno procesorsko in grafično močjo, zato je
direktna nastavitev teh plasti nemogoča, vendar lahko nastavimo nekaj podobnega. Potreben
bi bil poseben, po meri narejen odjemalec in strežnik, da se lahko uporabi 1024 bitni RSA
ključ. (Evothings, 2014)
Zgornja slika nakazuje potek izmenjave ključa in validacijo le-tega. Tukaj manjka le način za
odjemalca (Arduino), da naredi potrditev strežniškega javnega ključa, zato da smo sigurni, da
ni možno, da nekje na poti vstopi kak neavtoriziran strežnik, zamenja ključe in ukrade
informacije. Najprej moramo stestirati, ali lahko te AVR napravice šifrirajo s 1024-bitnim
RSA šifriranjem. (Evothings, 2014) Na Sliki 7.4 si lahko ogledate teste z AVR napravami.
7 STROJNA OPREMA V IOT
54
Slika 7.3: AVR naprave (Evothings, 2014)
AVR naprave zaradi pomanjkanja procesorske moči potrebujejo približno 12 sekund za
šifriranje sporočila s 1024-bitnim javnim ključem. Mogoče bi bilo lažje, da se to šifriranje
naredi v dveh izmenah, vendar ko se to zaključi, se za komunikacijo uporabljata simetrična
ključa, kar pa se dogaja v realnem času. Druge naprave, ki imajo več procesorske moči,
realizirajo šifriranje v skoraj realnem času. Zaključimo lahko, da se lahko tudi na
mikrokontrolerjih nastavi dokaj dobro varnostno rešitev, pri čemer se lahko pričakuje
šifriranje v skoraj realnem času. Naslednja varnostna rešitev bi bila lahko AES in SHA1/MD5
in izgradnja strežnika, s katerim bi lahko komunicirali. (Evothings, 2014)
To je bila ena rešitev, ki omogoča, da sam zavaruješ svoje Arduino naprave, vendar to ne
pomeni, da je to najboljša ideja na trgu. Če se lotiš varovanja sam, si tudi sam odgovoren, in
še vedno je odvisno od tebe, kaj boš storil, če pride do kraje podatkov ali fizičnega vdora.
Bolje in na dolgi rok ceneje bo, če vzameš naprave in varnostne rešitve pri profesionalcih, ki
ti ponujajo pomoč tudi po možni kraji ali oškodovanju. (Evothings, 2014)
7.4 SparkFun izumiteljski komplet za Photon
SparkFun je zelo uporaben komplet za vse programske razvijalce in seveda začetnike v
strojniškem računalništvu in tudi elektroinženirje. SparkFun komplet je enostaven model, ki
vam bo pomagal pri hitri postavitvi in povezavi vaših idej in projektov v internet. (Sparkfun,
5. oktober 2017)
Pri SparkFun izumiteljskem kompletu boste delali na eksperimentih z različnimi dodatki, ki
jih dobite v paketu. Na spodnji Sliki 7.5 so vsi dodatki, ki jih dobite v kompletu SparkFun.
7 STROJNA OPREMA V IOT
55
Slika 7.4: SparkFun Photon (Sparkfun, 5. oktober 2017)
SparkFun izumiteljski komplet za Photon vsebuje te sestavne dele:
- SparkFun Photon RedBoard
- Photon RedBoard in Breadboard Holder
- Bela nespajkalna Breadboard
- Žepni set izvijačev
- Majhen servo
- 9V alkalna baterija
- 9V Barrel Jack adapter
- USB microB kabel – 1.8 m
- Različne žičke
- JST desnokotni priključek - Through-Hole 3-Pin
- Senzor za vlago v tleh
- SparkFun Micro OLED zaslon (s priključki)
- SparkFun triosni merilnik pospeška - MMA8452Q (s priključki)
- PIR senzor premika (JST)
- RHT03 Humidity and Temperature Sensor
- Magnetic Door Switch Set
- Photocell
7 STROJNA OPREMA V IOT
56
- Red, Blue, Yellow and Green LEDs
- Red, Blue, Yellow and Green Tactile Buttons
- 10K Trimpot
- Piezo Speaker
- 330 Ohm Resistors
7.5 SparkFun ESP8266 Wi-Fi/mikrokontroler sistem na čipu
ESP8266 mikrokontroler je enostavno programljiv kot vsi drugi mikrokontrolerji, vendar je
svojo popularnost dobil zaradi serijsko kontroliranega Wi-Fi dostopa. Z uporabo AT ukaza
lahko katerikoli mikrokontroler z UART uporablja ESP8266 za povezavo do Wi-Fi omrežij in
dostopa do širnega interneta preko TCP in UDP protokolov. Je zelo uporaben in stroškovno
nepotraten način za priključitev Arduino platforme na internet. (Sparkfun, 5. oktober 2017)
Zaradi že nasnetega AT-ukaznega programja je zelo uporaben in povezljiv z drugimi
majhnimi modularnimi ploščami in bolj dostopnimi razvojnimi ploščami. ESP8266 ima tudi
dobre I/O konektorje, je v že poznani Arduino Shield obliki in tako lahko deluje v povezavi z
vsemi podobno velikimi in združljivimi razvojnimi ploščami v družini Arduino. (Sparkfun, 5.
oktober 2017)
7.6 SparkFun Blynk plošča
SparkFun Blynk plošča je začetek pri uporabi aplikacijske platforme Blynk. Z združitvijo
Blynk aplikacijske platforme (Android ali iOS) in Blynk plošče lahko kontrolirate različne
LED lučke, preverjate vremenske podatke in tudi pošljete tweet sporočilo ob vašem izbranem
dogodku. (Sparkfun, 5. oktober 2017)
Blynk plošča je ob nakupu že sprogramirana in tako dokončate samo dva koraka. Prvi korak
je zelo enostavna povezava do Wi-Fi in povezava do vašega Blynk računa.
57
8 VARNOST IN VARNOSTNE LUKNJE
Glavni del pri odkrivanju varnostnih lukenj je pripravljenost na hitro ukrepanje. Pri novem
poročanju o luknji ali drugi grožnji se najprej opravi in nato klasificira analizo celotnega
dogodka. Po zaznavi in preliminarnih analizah se opravi zelo natančno preiskavo, ki lahko
pripelje do ugotovitev za boljše poznavanje in postavitev nadaljnih korakov. V naslednjih
ukrepih se omeji posledice in odstrani narejeno škodo. Po teh ukrepih se je potrebno lotiti
ponovne postavitve sistema in povrnitve podatkov, če je le možno. (SI-CERT, 2014)
Varnosti se lahko lotite na različne načine. Najbolj pogost način za nadzor varnosti
komunikacije je nadzor vstopa podatkov z različnimi kriptografskimi metodami, z različnimi
požarnimi zidovi in drugimi fizičnimi ukrepi. Najlažji nadzor pri domačih uporabnikih je
nadzor vstopa, saj smo pri sestavi gesel, ki nadzirajo vstope v različne sisteme in naprave,
odvisni od svoje domišljije. Pri sestavi gesel je najbolje, da ne uporabimo imen družinskih
članov, imen domačih živali, rojstnih datumov, še zlasti pa ne telefonskih številk ali
registrskih številk avtomobilov, ker so to precej javni podatki. (Verdonik & Bratuša, 2005)
8.1 Press in njegovih 6 idej za bolj varen IoT
IoT varnost omrežja je zaščita in varovanje omrežja povezanih IoT naprav s sistemi v
ozadju v internet. Varnost omrežja IoT je nekoliko bolj zahtevna kot tradicionalna varnost
omrežja, saj obstaja širši spekter komunikacijskih protokolov, standardov in zmogljivosti
naprav, vse to pa postavlja pomembnejša vprašanja in večjo zapletenost. Ključne zmožnosti
vključujejo tradicionalne varnostne funkcije končnih točk, kot so protivirusna in proti
zlonamerna ter druga programska oprema, kot so požarni zidovi in sistemi za preprečevanje in
odkrivanje vdorov. (Press, 2017)
IoT avtentikacija je zagotavljanje sposobnosti za preverjanje pristnosti IoT naprave,
vključno z upravljanjem več uporabnikov ene naprave (na primer povezanega avtomobila), in
sicer od preprostega statičnega gesla/PIN-a do bolj robustnih mehanizmov preverjanja
pristnosti, kot so dvokomponentna overitev, digitalna in
8 VARNOST IN VARNOSTNE LUKNJE
58
biometrična potrdila. V nasprotju z večino podjetniških omrežij, kjer postopki preverjanja
vključujejo človeško bitje, ki preverja overitvene dokumente prišleka, je veliko scenarijev
preverjanja pristnosti v IoT (na primer vgrajeni senzorji), ki temeljijo na povezavi in
sporazumevanju stroja s strojem, brez kakršnega koli človeškega stika. (Press, 2017)
IoT enkripcija je šifriranje podatkov v mirovanju in v premikanju med obstranskimi
napravami IoT in sistemi back-end z uporabo standardnih kriptografskih algoritmov, ki
pomagajo ohranjati celovitost podatkov in preprečiti, da bi hekerji prišli do toka podatkov.
Širok spekter IoT naprav in profilov strojne opreme omejuje sposobnost standardnih procesov
šifriranja in protokolov. Poleg tega morajo vse šifriranje v IOT spremljati enakovredni
postopki z upravljanjem življenjskega cikla celotnega šifrirnega ključa, saj slabo upravljanje
ključev zmanjša splošno varnost. (Press, 2017)
IoT PKI: Zagotavljanje popolnega digitalnega certifikata X.509 in kriptografskega ključa ter
življenjskega cikla, vključno z ustvarjanjem, distribucijo, upravljanjem in preklicem
javnega/zasebnega ključa. Specifikacije strojne opreme za nekatere naprave IoT lahko omejijo
ali preprečijo njihovo sposobnost uporabe PKI. Digitalne certifikate je mogoče varno naložiti
na IoT naprave v času izdelave, nato pa jih aktivirajo/omogočajo programi drugih ponudnikov
programske opreme PKI; certifikate je mogoče namestiti tudi po izdelavi. (Press, 2017)
IoT analitična varnost je zbiranje, združevanje, spremljanje in normaliziranje podatkov z
napravami IoT in zagotavljanje dejanskega poročanja in opozarjanja na določene dejavnosti,
kadar dejavnosti ne spadajo v določene parametre. Te rešitve začenjajo sofisticirano strojno
učenje, umetno inteligenco in velike shrambe podatkov, da bi zagotovile bolj predvidljivo
modeliranje in odkrivanje anomalij (zmanjševanje števila lažno pozitivnih rezultatov), vendar
so te zmogljivosti še vedno v nastajanju. Analitična varnost IoT bo vse bolj pomembna pri
odkrivanju napadov in vdorov v IoT, ki jih ne prepoznavajo tradicionalne varnostne rešitve
omrežja, kot so npr. požarni zidovi. (Press, 2017)
IoT API varnost je zagotavljanje zmožnosti overitve in odobritve gibanja podatkov med
napravami IoT, sistemi back-end in aplikacijami, ki uporabljajo dokumentirane API-je,
temelječe na REST-u. Zaščita API-ja bo bistvenega pomena za zaščito celovitosti podatkov,
ki potekajo med robnimi napravami in back-end sistemi, da bi zagotovili komunikacijo le z
dovoljenimi napravami, razvijalcem in aplikacijami z API-ji ter odkrivanjem morebitnih
groženj in napadov na specifične API-je. (Press, 2017)
8 VARNOST IN VARNOSTNE LUKNJE
59
8.2 Uporabniški ID in gesla
Hekerji postajajo vedno bolj iznajdljivi in pametni. Veliki hekerski napadi (DDOS...) niso več
tako pogosti, saj lahko veliko lažje izkoristijo slabo zavarovane naprave v naših domovih.
Zelo znano IoT izkoriščanje je bil hekerski vdor v pametne hladilnike. S tem hekerskim
vdorom so pridobili informacije o osebah, ki uporabljajo ta hladilnik, in njihovih poverilnicah.
Večina ljudi uporablja enaka uporabniška imena in gesla za več računov, pa tudi za bančne
kartice. Tako so pridobili poverilnice od osebnega Google računa, ki je uporabljal enak ID,
kot tudi za spletno banko, ki jo je uporabljal nekdo v hiši. (Stafford, 2016)
8.3 Načini za dostop do funkcij ali podatkov
Tri najbolj izkoriščene so:
- Naprava
- Oblačna infrastruktura
- Omrežje
Gartner napoveduje, da bo do leta 2020 priključenih 20 milijard stvari. S porastom brezžičnih
omrežij, računalniške moči in seveda podatkov, ki plavajo naokoli, lahko vsekakor
pričakujemo tudi nove poslovne možnosti in obenem veliko ekonomsko rast. Po drugi strani
pa se prikaže nova pot za hekerje in splošno izkoriščanje zaradi vseh naprav v IoT in njihovih
možnih varnostnih lukenj. (Gemalto, 2017)
8.4 Pomembne točke za zavarovanje IoT podatkovja pri mirovanju ali pri gibanju
Zavarovanje naprave:
- M2M – optimizirana SIM in vgrajena SIM (eUICC): obe SIM rešitvi ponujata veliko
bolj varno avtentikacijo kot pa sedanje SIM rešitve. Pri obeh SIM opcijah je
poskrbljeno za zelo dobro avtentikacijo preko žetonov in še posebej za šifriranje
podatkov. To je še zlasti primerno za naprave, ki so povezane v globalno mobilno
omrežje. (Gemalto, 2017)
- Varnostni element v napravah je del strojne opreme, ki je fizično v napravi in tako
dodaja najvišjo plast varovanja, ki se kosa s pametnimi karticami. Ta strojni element s
8 VARNOST IN VARNOSTNE LUKNJE
60
svojo fizično prisotnostjo poskrbi za vsako nedovoljeno poseganje v napravo s
fizičnim ali brezžičnim kontaktom. Tako poskrbi, da je vaša naprava trezor za šifrirne
ključe in vse varnostne poverilnice. (Gemalto, 2017)
- Strojni varnostni moduli (HardwareSsecurityModules) so vrhunski za varovanje
ključev za naprave v internetu stvari. Ključi so ponavadi v strežniku ali drugem
sistemu za nadzor IoT in modul ima zelo utrjeno, proti posegom varno sestavo za
varovanje načina delovanja. (Gemalto, 2017)
- Upravitelj šifrirnih ključev je programska storitev, ki pomaga prepoznati IoT naprave
ter zavarovati prenos podatkov med njimi. Zelo dobro se uporablja na brezžičnih
povezavah, kot so mobilna ali nemobilna. Ta upravitelj preprečuje vhode neoverjenih
naprav in oseb v omrežje. Upravitelj omogoča trdno digitalno varnost preko zelo
enostavnega in zaupanja vrednega mehanizma, ki poskrbi za rezervacijo šifrirnih
ključev. (Gemalto, 2017)
- IP varovanje za varovanje intelektualne lastnine vgrajenih aplikacij in podatkovnih
datotek. Tako je poskrbljeno za obratno inženirstvo ali kakršnokoli nedovoljeno
poseganje v programje. (Gemalto, 2017)
Zavarovanje oblačnih storitev:
- Zelo velike grožnje vdorov prihajajo iz oblačnih storitev. Pri izbiranju oblačnih
storitev se je dobro pozanimati, kakšne varnostne prepreke ponujajo. Dobro je
povprašati po šifriranju podatkov in varovanju oblaka in po celotnem portfelju
ponudnika oblačnih storitev. (Gemalto, 2017)
Zavarovanje pri IoT:
- Omrežna varnost: v večini novih IoT omrežij se uporablja brežične povezave, to pa
naredi varovanje omrežja veliko bolj težko, saj dostop v prostorih IoT ni več samo
fizičen, ampak lahko dostopaš tudi izven fizične zgradbe. Z vsakim novim dnem se
spreminjajo komunikacijski protokoli in standardi za RF in brezžično komunikacijo,
kar pa ne olajša dela varnostnim mehanizmom. (Gemalto, 2017)
− Avtentikacija: vsi zakoniti uporabniki omrežja morajo avtenticirati naprave v uporabi.
Za tako avtentikacijo se lahko uporabljajo gesla, dvostopenjska avtentikacija,
biometrični senzorji ali digitalni certifikati. Moramo biti pozorni tudi na to, da se
8 VARNOST IN VARNOSTNE LUKNJE
61
naprave same med seboj tudi avtenticirajo za nemoteno prenašanje podatkov med
njimi. (Gemalto, 2017)
− Enkripcija ali šifriranje mora biti prisotno, da prepreči kakršen koli vstop do podatkov
in naprav brez dovoljenja. Tako šifriranje je zelo zakomplicirano, saj se v IoT
uporablja veliko različnih naprav različnih proizvajalcev, ki uporabljajo različno
strojno opremo. Enkripcija bi morala biti prisotna že v celotnem varnostnem sistemu
IoT. (Gemalto, 2017)
- Varnostni napadi iz obstranskih kanalov: tudi če imamo prisotno odlično avtentikacijo
in šifriranje, še vedno obstaja možnost napadov iz obstranskih kanalov, ki se
fokusirajo na to, kako so informacije predstavljene, in ne toliko na prenos informacij.
Taki napadi zbirajo operacijske karateristike, kot so čas izvedbe, porabnike energije,
elektromagnetno izžarevanje celotnega načrta IoT, in tako pridobijo ključe ter izvedejo
nepravo vstavljanje. S takimi izkoriščevalskimi napadi pridobijo notranje informacije
o celotnem načrtu zgradbe IoT. (Gemalto, 2017)
− Analitika varnosti in napoved groženj: pri tem sklopu je pomembno odkrivanje napak
in groženj, še preden se zgodijo. Odkriti je potrebno, kje in zakaj so nekje šibke točke.
To je pomembno za podatke, povezane z varnostjo, ki jih je potrebno kontrolirati in
pregledovati v sedanjem času. Take napovedi potrebujejo zelo inovativne algoritme in
aplikacije z umetno inteligenco. (Gemalto, 2017)
− Zaščita vmesnika: API ali vmesnik, ki ga uporabniki uporabljajo za dostop do IoT,
mora pri pogovoru z napravami uporabljati avtentikacijo in avtorizacijo. Vsekakor
morajo imeti biometrično ali drugo prepoznavanje uporabnikov, ki bi spreminjali
parametre ali le odčitali podatke. (Gemalto, 2017)
− Dostavni mehanizmi se morajo vsakodnevno posodabljati in pridobivati nove
informacije o možnih taktičnih napadih s strani hekerjev. Tukaj bodo potrebne
posodobitve ob katerikoli uri ali celo takoj ko so na voljo. (Gemalto, 2017)
− Razvoj sistema IoT: varnost v celotnih sistemih bi morala imeti podporo za svoj cel
življenjski krog, kar pa postane zelo težko, če sistem sestavlja veliko število majhnih
pametnih senzorjev. Za večino načrtovalcev sistemov je za sedaj varnost nekaj, na kar
pomislijo šele po izvedbi načrta ali produkta. Za najboljšo realizacijo varnosti bi
morali poskrbeti že pri snovanju strojne in programske opreme ter to uresničiti s
sodelovanjem obeh. (Gemalto, 2017)
62
9 REZULTATI
Pri diplomskem delu smo pridobili naslednje rezultate, ki prikazujejo realno stanje pametnih
naprav in omrežij v internetu stvari.
Prvi rezultat mojega diplomskega dela je da bo v prihodnosti vedno več enostavnih stvari
povezanih v internet in tako bo tudi vedno več naprav prek katerih nam lahko škodujejo in nas
okradejo za vitalne informacije in podatke. Zaradi globalizacije je tudi naš trg zelo nasičen z
različnimi pametnimi napravami, ki uporabljajo strojno in programsko opremo, ki še ni zrela
in je tako ne standardizirana in neizpopolnjena.
Drugi rezultat pravi da lahko tudi nizkocenovnim rešitvam v internetu stvari zaupamo vendar
jim ne smemo dovoliti dostopa do relevantnih funkcij in pomembnih informacij.
Nizkocenovne rešitve ne upravljajo direktno s pomembnimi podatki v našem internetu stvari
zato je lahko naše zaupanje v njih večje ter tudi uporaba bolj enostavna. Pod nizkocenovne
rešitve lahko spadajo manjše naprave, kot so različne pametne vtičnice, pametne žarnice in
senzorji. Te naprave nimajo direktnega dostopa do osebnih podatkov zato sklepamo, da so
varnejše za uporabo v našem domu.
Pri tretjem rezultatu pa se osredotočimo na standarde, ki bi jih bilo potrebno dosledno
upoštevati tako pri strojni kot tudi pri programski opremi. Internet stvari je še zelo mlad
koncept vendar se intenzivno razvija. Pri hitremu razvoju dobivamo na trg naprave, ki še niso
izpopolnjene in imajo malo testirano strojno opremo ter njihova programska oprema je lahko
še polna varnostnih lukenj in različnih napak v kodi. Zaradi tako problematičnih naprav je
nujno potrebna standardizacija in nadzor nad napravami in programsko opremo, ki prihaja na
trg.
9.1 Odgovori na raziskovalna vprašanja
Internet stvari je skupina naprav, ki si preko spleta med seboj delijo informacije in podatke za
lažje odčitavanje in boljši prikaz le-teh.
63
Na prvo raziskovalno vprašanje, ali so pametna omrežja in pametne naprave v internetu
stvari dovolj varne, je odgovor negativen. To je posledica omenjene stalne izmenjave
informacij preko interneta, zato lahko po naši raziskavi rečemo, da naprave zaenkrat še vedno
niso dovolj izpopolnjene in standardizirane, da bi jim lahko brez zadržkov zaupali najbolj
zasebne podatke o nas. Pri zagotavljanju določene stopnje varnosti je zato zelo pomembno, da
se proizvajalci naprav držijo predpisanih standardov, kar povečuje varnost pri delovanju in
uporabi teh naprav.
Na drugo raziskovalno vprašanje lahko odgovorimo pritrdilno saj danes že obstoječe nizko
cenovne pametne rešitve z že vnaprej vgrajenimi varovali ne operirajo direktno z našimi
osebnimi podatki in obenem ponujajo dokaj močna varovala za osebno uporabo. Če še
dodatno poskrbimo za varovala, ki jih lahko postavimo sami (močna gesla in varni vstopni
koraki), nam to ponuja dokaj varne rešitve za vsakodnevno uporabo.
Po proučitvi strokovne literature iz vseh nam razpoložljivih virov smo ugotovili, da bo zaradi
kompleksnosti naprav v bodoče potrebna bolj temeljita standardizacija le-teh ter boljše
načrtovanje elektronskih komponent. Na ta način bi se bolj poenotil nabor tehnologij in
naprav, kar bi prispevalo k varnejšemu internetu stvari. Kljub obstoječemu dokaj dobremu
obvladovanju procesov varovanja, vse večji ozaveščenosti in tudi izobraževanju laikov na tem
področju za zdaj ni možna stoodstotna varnost in zaščita pred vdori in krajo osebnih
podatkov.
10 ZAKLJUČEK
10.1 Zaključne misli
V tem stoletju je prišlo do velikega razcveta spleta in s tem tudi vseh naprav, povezanih vanj.
V našem vsakdanu uporabljamo kar precej naprav, ki so povezane ali pa so zmožne povezave
s spletom. Ta nam olajšuje življenje in tega se zavedajo tudi izdelovalci elektronskih naprav.
Slaba stran tega pa je možnost vdora in kraje podatkov. Vse naprave, povezane v splet,
oddajajo določene podatke in informacije, s katerimi lahko tretje osebe ugotovijo gesla,
vzorce, po katerih delujemo, in tudi informacije, za katere ne želimo, da so javno dostopne.
10 ZAKLJUČEK
64
Za preprečevanje takih dogodkov poznamo kar nekaj že vnaprej vgrajenih varoval, pa tudi
nekaj takih, ki jih lahko postavimo sami. Vgrajena varovala so najpogosteje v obliki
požarnega zidu, osebna varovala pa močnejša gesla in varni vstopni koraki. V pametnem
gospodinjstvu so v omrežje povezane tiste naprave, ki nam olajšujejo določena opravila. Te
naprave se lahko nanašajo na področje avtomatizacije, komunikacije, notranjega dizajna in
podobno. Lahko imamo na primer avtomatizirane zavese ali pa različne senzorje temperature
in svetlosti. Obstajajo tudi že pametni hladilniki, ki ponujajo informacije o polnosti samega
hladilnika in datumih zapadlosti hrane. Pri pametnih napravah so za zdaj v uporabi le prej
omenjene bolj enostavne funkcije, vendar so že v razvoju tudi bolj kompleksne, ki lahko
nadzorujejo celo spremembe v počutju in zdravju oseb. Zaradi tako pomembnih funkcij bi
morale imeti naprave pri načrtovanju notranjih komponent in varnostnih mehanizmov
standardizirane postopke izdelave. Standardizacija naprav pomaga tako pri sami zanesljivosti
kot tudi varnosti naprav, ki jim posledično uporabniki tudi lažje zaupajo. Standarde bi bilo
potrebno dosledno upoštevati tako pri strojni kot tudi pri programski opremi.
Zaradi rasti interneta stvari se je standardizacija začela pojavljati tudi v najbolj razširjenih
povezavah, kot sta Wi-Fi in Bluetooth. Wi-Fi povezava je za sedaj najbolj razširjena pri malih
uporabnikih, saj se večina naprav, kupljenih za domačo uporabo, povezuje z njo. V zadnjih
letih je Wi-Fi naredil velik korak k bolj standardizirani in s tem tudi bolj varni in energijsko
učinkoviti povezavi. V Sloveniji že obstaja nekaj podjetij, ki se ukvarjajo s postavljanjem
pametnih gospodinjstev in omrežij, in tudi sami poskrbijo za določeno stopnjo varnosti. Za
male uporabnike, ki ne postavljajo celotnega pametnega omrežja sami, vendar bi radi imeli
povezavo med nekaterimi napravami, smo spisali tudi nekaj možnosti povezav in varovanja
svojih podatkov. Namen diplomskega dela je s tem dosežen.
65
11 PRIPOROČILA ZA UPORABO INTERNETA STVARI
1. Internet stvari je skupina naprav, ki si preko spleta med seboj delijo informacije in
podatke za lažje odčitavanje in boljši prikaz le-teh.
2. Primeri pametnih naprav v internetu stvari so: pametni termostat, senzor za luči,
pametna vtičnica z oddaljenim dostopom, pametna žarnica, kontrola klime,
elektronska ključavnica za vrata in podobne nizkocenovne pametne rešitve.
3. Za začetek so bolj primerne enostavnejše rešitve interneta stvari, zato se raje
osredotočite na samostojne naprave, ki vam bodo olajšale vsakdanje življenje.
Naprave, kot je na primer Google Nest, že vsebujejo vse, kar potrebujete za soliden
začetek. Druge možnosti so na primer Xiaomi, Philips Hue, D-Link…
4. Pozneje si lahko omislite tudi bolj enostavne senzorje (gibanja, svetlobe, zvoka),
brezžična stikala z oddaljenim dostopom (luči, radiatorji in druge naprave) ali pametne
kamere.
5. Za povezovanje več pametnih naprav lahko kupite pametno stičišče (smart hub), ki bo
skrbelo za enostavno in usklajeno uporabo vseh omenjenih naprav na enem mestu.
6. Pred nakupom se v lokalnih tehničnih trgovinah pozanimajte, katere od teh pametnih
naprav ponujajo. Zapišite si modele in po možnosti poiščite teste na internetu, ki se
nanašajo na te naprave.
7. Pri nakupu bolj zahtevnih naprav in načrtovanju celotne avtomatizacije doma se
posvetujte pri za to specializiranih podjetjih, ki vam ponujajo tudi varnostne rešitve.
8. V vsakem primeru premislite, ali želite napravo, ki bo v širni internet oddajala
informacije, ki jih lahko tretje osebe izkoristijo za vdor v vašo zasebnost.
9. Še pred nakupom naprav poskrbite za močna gesla in varne vstopne korake na vaših
domačih napravah (osebni računalnik, usmerjevalnik, Wi-Fi, domači multimedijski
center…).
11 PRIPOROČILA ZA UPORABO INTERNETA STVARI
66
10. Če je vaše zaupanje v internetne naprave kljub vsemu majhno, kupite raje naprave
priznanih proizvajalcev in že dobro uveljavljenih podjetij, saj imajo le te večjo
možnost aplikacijskih popravkov in redne nadgradnje.
11. Kljub vsemu zgoraj omenjenemu se morate zavedati, da še vedno obstaja možnost
vdora v vašo zasebnost, ker stoodstotnega zagotovila, da se to ne bo zgodilo, za zdaj
žal ni.
68
12 LITERATURA IN VIRI
Bratuša, T. (2007). Hitri vodnik po zaščiti vašega računalnika: Kako se izogniti neželeni
pošti, virusom, vdorom in drugim nevšečnostim. Ljubljana: Pasadena.
DOM IN VRT.SI. Kaj je v resnici »pametna« hiša? Pridobljeno iz
http://www.dominvrt.si/clanek/trend/pametna-hisa-razmislite-o-stroskih-in-koristi.html
(8. 11. 2017).
DCPS.INSTRUCTURE.COM. Cybersecurity: threats, vulnerabilities, and risks.
Pridobljeno iz https://dcps.instructure.com/courses/9344/pages/3-slash-14-threats-
vulnerabilities-and-risks?module_item_id=30732 (8. 11. 2017).
EVOTHINGS. Is it possible to secure micro-controllers used within iot? Pridobljeno iz
https://evothings.com/is-it-possible-to-secure-micro-controllers-used-within-iot/ (22. 10.
2017).
Frӧhlich, H. (2013). Internet: Tehnologija, ki spreminja svet. Ljubljana: Tehniška založba
Slovenije.
GEMALTO. Embedded & cloud security in the internet of things in 2018. Pridobljeno iz
https://www.gemalto.com/iot/iot-security (20. 10. 2017).
GITHUB. Nimbits. Pridobljeno iz https://github.com/nimbits-admin/nimbits-io/wiki
(19. 10. 2017).
IBM. Securing a raspberry pi embedded in your iot device. Pridobljeno iz
https://www.ibm.com/developerworks/library/iot-security-pi-usage-patterns/index.html
(20. 10. 2017).
INFORMATIONWEEK. 10 Raspberry Pi projects for learning iot. Pridobljeno iz
https://www.informationweek.com/software/enterprise-applications/10-raspberry-pi-
projects-for-learning-iot/d/d-id/1320757 (20. 10. 2017).
INGENU. The making of RPMA. (2016). E-knjiga s strani INGENU. Pridobljeno iz
http://www.ingenu.com/portfolio/how-rpma-works-the-making-of-rpma/
(17. 10. 2017).
IOT AGENDA. Li-fi has a bright future connecting the internet of things. Pridobljeno iz
http://internetofthingsagenda.techtarget.com/blog/IoT-Agenda/Li-Fi-has-a-bright-future-
connecting-the-internet-of-things (25. 9. 2017).
12 LITERATURA IN VIRI
70
IOT AGENDA. Zigbee. Pridobljeno iz http://internetofthingsagenda.techtarget.com/
definition/ZigBee (8. 10. 2017).
METALING. Lokalno omrežje. Pridobljeno iz http://www.metaling.si/omrezje.php
(18. 10. 2017).
NETWORKWORLD. WiFi’s evolving role in IoT. Pridobljeno iz
https://www.networkworld.com/article/3196191/lan-wan/wifi-s-evolving-role-in-iot.html
(19.10.2017)
OPENSOURCE. How to secure your Raspberry Pi. Pridobljeno iz
https://opensource.com/ article/17/3/iot-security-raspberry-pi (20. 10. 2017).
POSTSCAPES. Iot technology guidebook. Pridobljeno iz https://www.postscapes.com/
internet-of-things-technologies/ (18. 9. 2017).
POSTSCAPES. Sapphire OS. Pridobljeno iz https://www.postscapes.com/open-wireless-
development-platform-sapphire-os/ (18. 10. 2017).
PROACTIVERISK.COM. Attack surface report. Pridobljeno iz https://www.
proactiverisk.com/attack-surface-scorecard.html (18. 9. 2017).
RADIO-ELECTRONICS.COM. EnOcean physical layer / radio interface. Pridobljeno iz
http://www.radio-electronics.com/info/wireless/enocean/physical-layer-radio-
interface.php (15. 10. 2017).
RADIO-ELECTRONICS.COM. Wireless technology. Pridobljeno iz http://www.radio-
electronics.com/info/wireless/enocean/basics-tutorial.php (15. 10. 2017a).
RFID INSIDER. RFID vs. NFC. What’s the difference? Pridobljeno iz https://blog.
atlasrfidstore.com/rfid-vs-nfc (13. 10. 2017).
SI-CERT. Nacionalni center za posredovanje pri omrežnih incidentih si-cert (ur.) (2014).
Poročilo o omrežni varnosti za leto 2013. Javni zavod Arnes.
SIMFORM. Introduction to ble security for iot. Pridobljeno iz https://www.simform.com
/iot-bluetooth-security-vulnerabilities/ (3. 10. 2017).
SIQ. Iso/iec 27001 sistemi vodenja varovanja informacij. Pridobljeno iz http://www.siq.si
/ocenjevanje_sistemov_vodenja/storitve/sistemi_vodenja_varovanja_informacij/index.htm
l (27.9.2017)
SPARKFUN. Connectivity of the internet of things. Pridobljeno iz
https://learn.sparkfun.com/tutorials/connectivity-of-the-internet-of-things
(5. 10. 2017).
Škedelj, D. (2014). Obvladovanje tveganj v organizaciji (diplomska naloga). Pridobljeno
iz dk.fis.unm.si/dip/VS_2014_Danilo_Škedelj.pdf (18. 1. 2018).
12 LITERATURA IN VIRI
72
Tršelič, T. (2014). Priprava strokovnih podlag za uvedbo sistema za upravljanje
informacijske varnosti (diplomska naloga). Pridobljeno iz https://dk.um.si/
IzpisGradiva.php?id=44069 (18. 1. 2018)
U-BLOX. RPMA. Pridobljeno iz https://www.u-blox.com/en/rpma (17. 10. 2017).
UBUNTU. Nwave. Pridobljeno iz https://insights.ubuntu.com/2015/02/25/internet-thing-
nwave/ (16. 10. 2017).
Verdonik, I., Bratuša, T. (2005).Hekerski vdori in zaščita. Ljubljana: Pasadena.
Vurušič, R., Vurušič, P. (2006). Internetni kažipot. Ljubljana: Tehniška založba Slovenije.
WASP BUZZ. Future of barcodes, rfid, & image barcodes; how they will impact iot.
Pridobljeno iz http://www.waspbarcode.com/buzz/future-barcodes/ (2. 10. 2017).
WIKIPEDIA. Enocean. Pridobljeno iz https://en.wikipedia.org/wiki/EnOcean
(15.10.2017).
WIKIPEDIA. Internet of things. Pridobljeno iz https://en.wikipedia.org/wiki/
Internet_of_things (15. 9. 2017).
WIKIPEDIJA. Informacijska varnost. Pridobljeno iz https://sl.wikipedia.org/
wiki/Informacijska_varnost (15. 1. 2018).
Xueqi, F., Fransisca S., William L., Shangyan L. (2017).
Security Analysis of Zigbee (članek). Pridobljeno iz https://courses.csail.mit.edu/
6.857/2017/project/17.pdf (8. 10. 2017).
ZWAVE ALLIANCE. Mandatory security implementation for all z-wave certified iot
devices takes effect today. Pridobljeno iz https://z-wavealliance.org/mandatory-security-
implementation-z-wave-certified-iot-devices-takes-effect-today/
(11. 10. 2017).