ѕоиск
ƒополнительное меню

Ќовости »“-бизнеса дл€ ѕрофессионалов

26 сент€бр€ : вторник

»нтервью

 урсы

USD ÷Ѕ –‘ 25/09 58.2242 0
EUR ÷Ѕ –‘ 25/09 69.2635 0
EUR/USD 25/09 1.1896 0

¬ поисках панацеи от хакеров: защита дл€ »нтернета вещей

25.08.2017 16:52

јвтор: »ль€ ћедведовский, кандидат технических наук, генеральный директор Digital Security.

„тобы защитить от кибератак устройства будущего »нтернета вещей не об€зательно создавать новые антивирусные программы. Ќадо искать подходы, решающие проблему радикально.

ѕока "интеллект вещей" может показатьс€ фантазией футуриста. ќднако, технологии развиваютс€ так активно, что уже через п€ть лет наверн€ка будет сложно купить не "умное" устройство, а самое обычное, без расширенной функциональности. Ericsson прогнозирует, что число IoT-устройств (IoT — Internet of Things, »нтернет вещей) обойдет количество мобильных телефонов к 2018 году.   концу 2021 года из 28 млрд подключенных к √лобальной сети устройств 16 млрд будут приходитьс€ на IoT-устройства.

ќборудование дл€ умного дома и носимые вещи с расширенной функциональностью – это не весь мир IoT, а лишь мала€ часть. “акие технологии используютс€ и на производствах, и на транспорте, и в складских помещени€х, и в электрических сет€х. ќни уже повсюду, буквально окружают нас. ѕри этом, важным и нерешенным остаетс€ вопрос безопасности. –азговоры про ботнеты из видеокамер за последний год уже успели надоесть всем, но это только начало, если не предприн€ть мер и не направить индустрию по правильному пути. ¬ чем же проблема и почему »нтернет вещей тотально у€звим дл€ атак злоумышленников?

„то думают вендоры?

ѕодавл€ющее большинство вендоров IoT сегодн€ не считает безопасность устройств серьезной проблемой. ¬ их числе – и производители систем, св€занных с жизнью человека (автомобили), а также разработчики решений дл€ производства и других критичных систем. »сследователи посто€нно говор€т о наличии у€звимостей в промышленных роботах и протоколах, эксплуатаци€ которых может привести к авари€м и остановке производств, но не заметно, чтобы это как-то серьезно волновало игроков промышленной отрасли.

ѕочему дл€ корпоративной мобильности требуетс€ "нова€" безопасность

“о же касаетс€ и устройств, неисправности в которых могут повлечь за собой ущерб жизни и здоровью человека. “ак, в июле 2017 года специалисты IOActive рассказали об у€звимост€х в гироскутерах. ќказалось, что подключитьс€ к устройству Ninebot Segway miniPRO посредством Bluetooth может кто угодно, так как PIN-код по умолчанию это 000000. ƒалее, можно загрузить вредоносную прошивку на гироскутер, котора€ позволит удаленно управл€ть им (заставить резко затормозить, изменить траекторию движени€ и т.д.). “акие действи€ могут нанести ущерб не только здоровью, но и жизни человека.

ѕолучаетс€, что больша€ часть производителей умных решений понимает, что безопасность —  это долгий, сложный и дорогой процесс, и не хочет тратить на него свои ресурсы. ќни рассуждают примерно так: пока продажи идут хорошо, будем продолжать "нашпиговывать" технику функционалом, а уж потом как-нибудь разберемс€, попробуем переложить проблемы на специализированных »Ѕ-вендоров и постепенно начнем заниматьс€ исправлением у€звимостей. Ёто типова€ »“-логика – именно по этому пути шел весь мировой рынок высоких технологий с начала 90-х. »менно так поступали разработчики »“-решений в свое врем€. ќно и неудивительно, ведь на растущих рынках так быстро приобретаютс€ большие капиталы. ћировой сфере IoT аналитики Gartner предрекают увеличение объема до $300 млрд в 2020 году. –оссийский рынок, по прогнозу J’son & Partners, достигнет отметки в $980 млн через три года. јналитики Bain дают еще более смелые цифры. ѕо их мнению, к 2020 году объем мирового рынка IoT вырастет до $470 млрд. ”читыва€, что расходы на »Ѕ обычно составл€ют около 3-5%%, получаетс€, что данный сегмент может составить $15-20 млрд.   

ќднако, сейчас не дев€ностые и даже не начало двухтыс€чных, а »нтернет вещей нельз€ приравн€ть к классическим »“. ѕоэтому вр€д ли участникам рынка удастс€ так просто наладить бизнес, забыв о насущной проблеме безопасности и необходимости расходов на эту сферу.

¬ещь или —офт?

 раеугольный камень индустрии »нтернета вещей состоит в понимании того, кака€ сущность современного устройства дл€ повседневной жизни преобладает: "вещественна€" или программна€? ¬едь за каждой сто€т совершенно разные индустрии, и дл€ того, чтобы пон€ть, кто и как должен отвечать за у€звимости, важно определитьс€ с зонами ответственности. ¬ товарном мире в случае поломки существует гаранти€ и возврат товара; мир ѕќ живет по принципу "покупай как есть", прописанному в лицензии на софт. ћожно ли представить ситуацию, когда производитель утюга допустил бы электрический пробой на корпус или оголенные электрические провода, а в случае инцидента индифферентно заметил, что "это не баг, а фича, но да, исправим, через годик, может быть"?  онечно, это нонсенс. ћежду тем, производители софта в большинстве своем поступают именно так.

ќсобенно страшно и непри€тно, что под угрозой может оказатьс€ сама€ чувствительна€ категори€ пользователей – дети. Ќапример, в √ермании недавно запретили продажи кукол Cayla и роботов i-Que производства Genesis Toys, поскольку они могут "шпионить" за детьми при помощи встроенных камер и микрофонов. “акие устройства легко взломать, а значит злоумышленники могут запросто получить доступ к информации о местоположении и передвижени€х ребенка, а также разговаривать с детьми устами роботов.

 то победит?

Ѕезусловно, »“-индустри€, исповедующа€ принцип "покупай как есть", способна быстро "развратить" обычных производителей. —облазн получать деньги, забыв об ответственности, слишком велик. ѕор€док могут помочь навести регул€торы, которые об€жут производителей жить по определенным стандартам, руководству€сь, как минимум, тем, что умные вещи представл€ют собой серьезную общественную опасность.

ѕрекрасно известно, что умна€ вещь может войти в состав бот-сети, участвовать в массовых таргетированных атаках, например. ¬ таком случае, речь уже пойдет не только о безопасности одного человека или одной семьи.  роме того, легко можно представить, что может произойти, если на вопросы »Ѕ продолжат смотреть сквозь пальцы разработчики решений дл€ электросетей или производств.     

„то делать, или Ћожный союзник?

¬торой, классический »“-путь, не выгоден ни обществу (опасно), ни производител€м вещей дл€ повседневного обихода (репутаци€), но его, по мнению автора, поддерживает крайне могущественный лоббист в лице антивирусных компаний, которые €вл€ютс€ самыми состо€тельными в индустрии »Ѕ. ќни очень рассчитывают на то, что отрасль пойдет по привычному им »“-пути и тогда они переложат все проблемы с умными устройствами на пользователей, заставив их купить антивирус дл€ каждой микроволновки — ведь привыкли же мы к тому, что компьютеры непременно надо защищать при помощи специального ѕќ.

≈ще два года назад компани€ Webroot выпустила набор инструментов дл€ обеспечени€ безопасности IoT-девайсов, а сейчас крупные антивирусные компании, включа€ Ћ , Avast и других уже вовсю предлагают решени€ дл€ умных автомобилей и домов.  ќднако есть другой путь, ведь покупаетс€ прежде всего полезна€ в обиходе вещь/надежное оборудование, а не софт.

¬ыход есть

Ќа самом деле, производител€м умных вещей тоже крайне сложно принимать судьбоносные решени€, и они могут попытатьс€ пойти по »“-пути, рискнув репутацией, ведь в »“ "так прин€то". ¬ыбрать классическую схему построени€ процесса безопасной разработки – дорого, сложно и дл€ умных вещей вр€д ли оправданно. ќднако, полагаю, уже сейчас существуют технологии, которые позвол€ют именно дл€ IoT-решений справитьс€ с этой проблемой, то есть сделать так, чтобы сами устройства были практически на 100% безопасны. ”же существуют стартапы, продвигающие подобные технологии, например, Embedi. ƒа, программное обеспечение прошивки может и будет обладать массой различных опасных у€звимостей, но злоумышленник просто не сможет их реализовать – его эксплойт не сработает. “ехнологи€ "антиэксплойт" заключаетс€ в случайном перемешивании кода в пам€ти при загрузке прошивки, таким образом эксплойт в принципе не сможет сработать.

ѕричем удастс€ избежать даже таких одиозных проблем безопасности, как дефолтный пароль или у€звимости веб-оболочки. ¬се эти защитные технологии, в корне мен€ющие мир безопасности »нтернета вещей, уже созданы и готовы к применению вендорами на финальном этапе сборки прошивки. ѕри этом, они не только решат проблему с »Ѕ умных устройств, но и не будут расходовать значительных средств на безопасную разработку. ∆аль, что это невозможно в мире »“, но совершенно реально в мире »нтернета вещей.

»сточник: Forbes

25 августа