Итак,
что я вынес из IPEXPO в этом году?
Во-первых,
, что Excel находится за много миль от Паддингтона. На самом деле, так далеко, что я пытался
найти спальный вагон на Юбилейной линии! Но если говорить серьезно, то наиболее интересным
содержанием шоу для меня было все, что связано с безопасностью, и, более конкретно, с тем, как
IoT влияет на безопасность.
IoT — Интернет
вещей.
Прежде всего, я хотел бы прояснить, что это за новое шумное слово, поскольку каждый поставщик теперь, кажется,
имеет какую-то непрочную связь со “стратегией IoT”. Сейчас это повсюду,
и попытки навязать IoT еще более вопиющи, чем смехотворные попытки
маркетинговых команд некоторых вендоров заставить их согласовать свои действия со стратегией SDN.
Проще говоря, IoT означает множество устройств
, подключенных к Интернету.
Не
так уж революционно, как нас убеждают, но мы имеем в виду множество
устройств… миллиарды… Фактически, по оценкам Gartner, к концу прошлого года
насчитывалось 3,8 миллиарда подключенных вещей. И под устройствами мы подразумеваем не только компьютеры,
телефоны, планшеты и т.д. Мы имеем в виду стиральные машины, тостеры, чайники, миллионы
датчиков окружающей среды, измеряющих различные параметры — от температуры до угарного газа, и
даже секс-игрушки! И да, мы должны продолжать сомневаться в реальной пользе для конечного пользователя
тостера, подключенного к Интернету. Ненавистники скажут, что это совершенно бессмысленно
, и они вполне могут быть правы, но давайте не будем забывать, что многие сомневающиеся говорили
то же самое об Интернете на заре его появления.
Продолжающаяся популярность IoT
неизбежно означает, что появятся тысячи новых поставщиков
, которые создадут какое-нибудь подключенное к Интернету устройство вместе с каким-нибудь приложением, чтобы
делать что-то крутое (или не очень крутое) и полезное (или не очень полезное).
Итак,
где же здесь безопасность?
Подумайте о повседневном сценарии использования одного из этих новых гаджетов. Возбужденные
перспективой использования нашей последней игрушки, мы вскроем коробку и в
спешке, чтобы вывести устройство в Сеть, подключимся к нему по Bluetooth (вероятно,
используя 0000 или 1234 в качестве пин-кода), введем пароль беспроводной связи, и вот,
мы уже можем с ним разговаривать. (Разумеется, после того, как мы зарегистрировали все свои данные у продавца
в Интернете). Ловкое графическое приложение
и великолепный брендинг дадут нам уверенность в том, что это
качественный продукт.
Однако в реальности
мы только что разрушили модель безопасности домашней сети. Почему? Ну,
если бы Вы говорили о безопасности, Вы, вероятно, предположили бы, что наличие маршрутизатора
/ брандмауэра делает Вас защищенным. (При условии, конечно, что
Ваш пароль не является именем Вашего домашнего животного / девушки / парня
или, что еще хуже, оставлен по умолчанию!)
Давайте
сделаем несколько полуразумных предположений о том, что компании, занимающиеся безопасностью, знают о
безопасности больше, чем производители “игрушек”. Так что если кто-то захочет взломать Вашу домашнюю сеть
, возможно, атаковать тостеры и другие игрушки/устройства IoT будет проще, чем
брандмауэр.
Этичный
хакер Кен Манро (Ken Munro) из
Pen Test Partners опубликовал отличный пример
этого типа уязвимости.
Он
взломал детскую куклу, которая хранила ключ Wi-Fi открытым текстом. Он смог извлечь
ключ и получить доступ к беспроводной сети. Как только хакер попадает в сеть
, он может делать все, что захочет.
Возможно, Вы
сидите, читая это, и чувствуете себя в полной безопасности, потому что у Вас не так много
устройств, подключенных к Интернету, но это не так. Манро также обнаружил уязвимости
в обычных устройствах, включая голосовой пульт дистанционного управления телевизором Samsung, который фактически
записывает Ваши разговоры. Если это не достаточно шокирует, то как насчет того, чтобы отправить
этот голосовой разговор по сети в незашифрованном виде?
Итак,
каков ответ?
Прежде всего,
речь должна идти об образовании. Потребители должны понять, что каждое устройство
, которое они подключают к своей сети, независимо от его размера, представляет собой потенциальный риск для безопасности
. Им необходимо получить определенную гарантию того, что устройство “безопасно” (в идеале
независимо протестировано) или, по крайней мере, продемонстрировать, что безопасность была серьезно
учтена при разработке и архитектуре.
Поставщикам
необходимо более
серьезно относиться к безопасности, особенно в бытовой сфере. Устройства и приложения должны создаваться на основе конструкций, в которых достойная
модель безопасности и конфиденциальности является неотъемлемой частью, а не чем-то второстепенным.
Раз уж
мы заговорили об этом, стоит отметить, что это НЕ сложно. От поставщиков IoT не
ожидать изобретения новых революционных протоколов безопасности!
Давайте
начнем с основ.
- Все коммуникации должны быть безопасными — почему бы просто не использовать SSL?
- Локально хранящиеся данные должны быть зашифрованы
- Пароли по умолчанию следует всегда менять (здесь нет ничего нового).
- Обеспечьте обфускацию локального кода
- Не собирайте/храните данные, если они не являются необходимыми для работы устройства
.
IoT очень интересна и способна положительно повлиять на
нашу жизнь, начиная с небольших бытовых решений и заканчивая
грандиозными решениями, меняющими индустрию. Конечно, легко увлечься
шумихой “все возможно”, но для того, чтобы мы могли безопасно использовать
преимущества таких интеллектуальных технологий, мы должны вернуться к основам и заложить
наших инноваций в безопасность.
