LINUX.ORG.RU

IoT. Безопасность вперде?

 , ,


0

1

http://www.opennet.ru/opennews/art.shtml?num=43947 https://habrahabr.ru/company/1cloud/blog/248435/ https://geektimes.ru/post/271684/ https://geektimes.ru/post/271008/ http://radiovesti.ru/episode/show/episode_id/35256 https://geektimes.ru/post/269474/

Ну а дальше что? Будут взламывать микроволновки поджигать квартиру? Или шпионить через лампочку с микрофоном или через плюшевые игрушки?

Что делать господа, и как защитится? Учитывая ситуацию с дополнительной скрытой wifi-сетью в лампочке, получается, то теперь файерволла недостаточно. Нужна ещё и сетка Фарадея.

Не пора ли покупать пишущие машинки? https://habrahabr.ru/post/186302/



Последнее исправление: tailgunner (всего исправлений: 1)

Эх, это только верхушка айсберга. Станешь задумываться о безопастности IoT — совсем сон потеряешь.

beastie ★★★★★
()

Это было ясно при старте этого тупого хайпа. Просто тут нужны госрегулирование и стандартизация, чтобы бэкдоры были только от твоей локальной охранки.

Deleted
()
Ответ на: комментарий от Deleted

госрегулирование

Смотрите, этатист в треде. Соррян, но рынок сам порешает. Порешает в пользу безопасных девайсов. Те, кто не захочет переплачивать за безопасность, смогут приобретать небезопасные девайсы на свой страх и риск. И не нужно убивать индустрию своими тупыми регуляциями.

Antonova
()
Ответ на: комментарий от Antonova

Как бе небезопасные лампочки и есть продукт «рынок сам порешает».

leonidko ★★★★
()

Ну а дальше что?

А дальше ты найдешь новости про зараженные конфикером нагрудные видеокамеры полицейских в США, ботнет из камер наружнего видеонаблюдения, и много других интересных вещей.

Нужна ещё и сетка Фарадея.

Нужна законодательная база. И нет, это не обязательно запреты.

Не пора ли покупать пишущие машинки?

Зависит от рисков.

CaveRat ★★
()
Ответ на: комментарий от beastie

безопастности IoT

К слову сказать, в ЕС об этом уже задумались. Пока, правда, не про лампочки, а про автоматизированный общественный транспорт.

Да-да, промышленную автоматизацию тоже относят к IoT.

CaveRat ★★
()

теперь файерволла недостаточно

Если ты хоть чуть-чуть крупное предприятие с собственной IT, то одного только fw недостаточно уже давно.

CaveRat ★★
()

это хорошо, что у меня холодильник без интернета, печка газовая и кофеварка гейзерная.

ossa ★★
()
Ответ на: комментарий от CaveRat

понятное дело относят, это ведь интернет вещей, а не интернет маленьких никому не нужных вещей :)

LiBer ★★★
()
Ответ на: комментарий от CaveRat

почему смешно? если рынку нужны безопасные устройства, а кто-то делает такие, то в краткосрочной перспективе решит в пользу безопасных, а если не делают, то в среднесрочной. Но вот если рынку это не нужно, то можно есть кактусы :(

LiBer ★★★
()
Ответ на: комментарий от LiBer

Потому, что безопасные потребительские устройства никому не нужны (потому, что люди ограниченно рациональны).

А в деле промышленной автоматизации все немного сложнее. Производители, AFAIK, не спешат встраивать секурити в свои продукты, спихивая все на традиционные вендоров секурити, которые что-то запилить особо не в силах, т.к. они не понимают, как это все работает.

И, да, в среднесрочной перспективе (3-5 лет), такие устройства могут появиться. Вопрос в том, какой ущерб будет нанесен за эти 3-5 лет.

CaveRat ★★
()
Ответ на: комментарий от Antonova

И не нужно убивать индустрию

Лол, еще непонятно, до рождения она сдохнет или после.

t184256 ★★★★★
()
Ответ на: комментарий от CaveRat

ущерб кому? тому кто не желает здесь и сейчас делать выбор в пользу безопасности? ну так это их проблемы.

LiBer ★★★
()
Ответ на: комментарий от CaveRat

имхо, связь мнемоническая, ассоциативная, контроль за рынком ассоциируется со злоупотреблением бюрократией, во всяком случае у меня. Интернет это абсолютная свобода для пользователя(исторически сложилось) интернет по паспорту это такая крайность бюрократического контроля.

LiBer ★★★
()

вот потому я сильно против всего этого IoT. Да и не только из-за этого, больше всего бесит его «надежность». No Internet - no Things

upcFrost ★★★★★
()
Последнее исправление: upcFrost (всего исправлений: 1)
Ответ на: комментарий от LiBer

Т.е. вендор, который встраивает в свое железо админскую учетку с хардкоженным паролем, и никому об этом не говорит - это проблемы пользователей. ОК. Я так понимаю, что некачественные лекарства - это тоже проблемы пользователей?

CaveRat ★★
()
Ответ на: комментарий от CaveRat

Ну вообще, уж извините за моё ИМХО, но инженеры, которые выставляют промышленные установки - мудилы, и если бы я был президентом, то ввёл бы четвертование на площади на такое. Если уж совсем нужно - пусть ставят отдельную железку с VPN, которая кроме туннеля никуда не пускает оборудование вендора.

Если же говорить про внутреннюю безопасность промышленных шин... вы о чём? Нет шифрования - нет безопасности. Наличие логина/пароля в промышленной сети - это просто способ не выстрелить себе в ногу, не более того.

mojomojonk
() автор топика
Ответ на: комментарий от CaveRat

И как в этот ассоциативный ряд встраиваются требования к безопасности устройств?

Вообще никак. Те же циски, длинки, тплинки и джуниперы палились с бекдорами, инженерными паролями и прочим. Хотя это далеко лампочка по уровню инженеров, которые всё это делают. Другие, а-ля MS, вообще в открытую срут в рот пользователю прут данные и стесняются. Потребитель - лох, его не интересует безопасность и стабильность. Иначе бы вышеперечисленные компании давно бы обанкротились, а юридические лица требовали бы от производителей токенов и банк-клиентов все исходники.

mojomojonk
() автор топика
Ответ на: комментарий от LiBer

ущерб кому? тому кто не желает здесь и сейчас делать выбор в пользу безопасности? ну так это их проблемы.

Это типичная ошибка логики: пользователь - априори лох, он ничего не может решать, он жрёт, что дают. Все его решения делаются на уровне «эта лампочка/роутер больше подходит к дизайну моего ремонта» (за over100500 долларов, в котором никто не догадался сделать нормальную проводку, чтобы можно было централизованно управлять всеми 220в-нагрузками). А те кто могут делать осознанный выбор - менее 1%, и им сложно влиять на рынок.

mojomojonk
() автор топика
Ответ на: комментарий от ossa

это хорошо, что у меня холодильник без интернета, печка газовая и кофеварка гейзерная.

Не надолго. Вот мобильник у тебя уже не только звонить умеет, верно? :)

mojomojonk
() автор топика
Ответ на: комментарий от CaveRat

Да-да, промышленную автоматизацию тоже относят к IoT.

Если промышленная автоматизация имеет прямой доступ к Internet, то предлагаю вставить эксплуатирующей службе и архитекторам раскаленную кочергу в жопу. Видимо, иначе им не объяснить, что Интернет - это вам не локалочка, тут и взломать могут.

mojomojonk
() автор топика
Ответ на: комментарий от Deleted

Просто тут нужны госрегулирование и стандартизация

Мы такую фигню уже видим в США на примере FDA. Поскольку госрегулирование стоит дохрена и происходит оооочень медленно, то в итоге у нас на выходе УЖЕ устаревшее оборудование, которое стоит просто космические бабки. Типичный пример подобного поведения из IT: ноутбуки apple.

mojomojonk
() автор топика
Ответ на: комментарий от Antonova

Смотрите, этатист в треде. Соррян, но рынок сам порешает. Порешает в пользу безопасных девайсов. Те, кто не захочет переплачивать за безопасность, смогут приобретать небезопасные девайсы на свой страх и риск. И не нужно убивать индустрию своими тупыми регуляциями.

Убивать не нужно. Но и потребитель лох и ничего не решает. Не надо питать иллюзии. Если бы было иначе, то у нас не было бы слежки и плиток в винде, а также плоскоты в macos.

mojomojonk
() автор топика
Ответ на: комментарий от mojomojonk

Как раз нужно, иначе индустрия так и останется в руках полуграмотных гиков, которые срали на безопасность, а большая часть о ней вообще не слышала.

anonymous
()
Ответ на: комментарий от mojomojonk

Ок, пользователь лох, для него важнее дизайн, ему производитель и уделяет больше всего внимания, на безопасность всем пох. А проблема в чем? Их всё устраивает.

LiBer ★★★
()
Ответ на: комментарий от mojomojonk

Вот не соглашусь, это же не только о автоматически станках на заводах речь, а вообще об автоматизации промышленных масштабов, поэтому к этой категории можно отнести авто пилотируемое такси, которое подключено к интернету(возможно даже меш сеть с соседями по движению) и тп

LiBer ★★★
()
Ответ на: комментарий от CaveRat

И как в этот ассоциативный ряд встраиваются требования к безопасности устройств?

чьи требования? Если государственные, то я уже озвучил вам свою позицию, это не его дело, кому надо тот на безопасность потратится, а остальные могут жрать кактус.

LiBer ★★★
()
Последнее исправление: LiBer (всего исправлений: 1)
Ответ на: комментарий от CaveRat

Т.е. вендор, который встраивает в свое железо админскую учетку с хардкоженным паролем, и никому об этом не говорит - это проблемы пользователей. ОК. Я так понимаю, что некачественные лекарства - это тоже проблемы пользователей?


Нет это проблемы общества, решать их могут журналисты аудиторы и тп. Полагаться на один единственный общественный институт для решения всех проблем, это какой то бред. Тем более при его абсолютной неэффективности.

LiBer ★★★
()

Не пора ли покупать пишущие машинки?

И пешком ходить!

Ну а дальше что?

Да же не знаю.

robot12 ★★★★★
()
Ответ на: комментарий от LiBer

Можно пример подобного института? Что-то мне пятая точка подсказывает, что его нет в природе

anonymous
()
Ответ на: комментарий от anonymous

Журналистику я уже привел, общественные организации чьими формальными целями является именно решение подобных проблем можно нагуглить

LiBer ★★★
()
Ответ на: комментарий от Deleted

Это мода, пройдет, не нужно вообще задумываться. А судя по тому как позиционируют всю эту кухню разработчики отдельных систем этих самых «вещей», сдохнет даже не родившись. Оно на рынок уже второй десяток лет пытается пролезть и все никак.

anonymous
()
Ответ на: комментарий от mojomojonk

Можно сколько угодно кричать, что нужен air-gap (который уже научились успешно пробивать), что архитекторам и эксплуатационщикам нужно вставлять кочергу в задницу и так далее, только это все разговоры в пользу бедных.

Суть в чем - службе эксплуатации нужен доступ из единой точки управления на каждый объект. Банально собирать телеметрию в реальном времени. И, при необходимости, вносить изменения в режим работы (конкретные примеры сильно зависят от конкретной специфики).

А дальше начинается интересное. Если у нефтяников и РЖД есть практическая возможность проложить свою оптику (и хорошенько упаковать ее для избежания врезки злыдней), то у распределительно-сетевых компаний (это те, которые тебе домой поставляют электричество) она есть чисто теоретическая. А если управляемый объект - это автоматизированное судно посреди Тихого океана? Там как-то крайне хреново с прокладкой линий связи. Или, к примеру, больницы с ВКС. Им периодически хочется данные о состоянии пациента отправлять наружу (для консультаций) прямо во время операции. А у докторов-то денег на собственные каналы связи нет от слова «совсем».

И начинается игра в анализ рисков. Посчитай ущерб от проникновения, посчитай вероятность в год, умножь одно на другое, и вот (в идеале, ага) верхняя планка твоего бюджета на безопасность. Танцуй, чо.

anonymous
()
Ответ на: комментарий от anonymous

NIST подобными вещами занимается, если я правильно понял регистранта. У нас - ФСТЭК (внезапно), ФСБ, ЦБ, возможно - Ростехнадзор. Правда, это не совсем «общественные» институты.

anonymous
()
Ответ на: комментарий от LiBer

ОК, пользователь (НПЗ, на пример) решил не тратиться. В результате проникновения случилась авария с человеческими жертвами.

Внимание, вопрос - что дальше? Если никакие требования нарушены не были, то никто даже и не виноват.

anonymous
()
Ответ на: комментарий от anonymous

Ну как бы тебе помягче сказать, такое тоже может быть. Но ты можешь таких людей называть не журналистами, а специалистами по безопасности, ведущими свои блоги и тп.

LiBer ★★★
()
Ответ на: комментарий от anonymous

Не, это все понятно. Тут кричат про неэффективность не общественных а гос институтов, да у них и задачи нет они охраняют госинтересы. Вот отсюда и вопрос, где же эта неэффективная гос организация занимающаяся аудитом для народного применения, что-то я не вижу.

anonymous
()
Ответ на: комментарий от anonymous

Сейчас журналистика скомпрометирована толпой безграмотных неквалифицированных субъектов, а с другой стороны - засильем пропаганды. По хорошему, она должна работать на благо общества, а не в себе вариться, ориентируясь на люмпенов. Журналистика != СМИ.

Upd.

Хотя, после цитаты с вики «в современной журналистике все более важное место занимают специалисты по менеджменту, маркетингу, рекламе», хочется выкинуть слово Ж, или подтереть им свою ж.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 1)
Ответ на: комментарий от anonymous

ЯННП, что значит «аудит для народного применения»?

anonymous
()
Ответ на: комментарий от anonymous

что значит никто не виноват? Пользователь виноват, это его НПЗ(собственник то есть), злоумышленник виноват, это его рук дело, Производитель оборудования виноват, если в описании продукта было ложное утверждение о безопасности.

LiBer ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.