IoT. Безопасность вперде?

Который, к слову, может быть запрещен условиями лицензии. Вспоминаем истерику Oracle.

Очевидно, что я это и имел в виду. Поэтому и написал «подпадает». Да, Оракл охренено обосралась, потом ещё удалили и сделали вид, что ничего не было. Но самое смешное в том, что это был багет не овцы из маркетингового отдела, а, как выяснилось, у них ТП работает начальником отдела безопасности продуктов. Офигенно,да? Я бы за такое отношение к орам общественности о дырявости продукта нахрен бы публично её уволил. Но это же Oracle, им на всё срать. Лохи платят и ладно.

В текущих реалиях есть все условия для того, что бы оно работало нормально. Есть регуляторы, которые выставляют требования (к слову сказать, далеко не всегда они исходят от государства), есть аккредитованные этими регуляторами центры сертификации и аудита, вполне себе коммерческие. Только у них часто отношения излишне близкие.

Но в идеальном мире это было бы офигенно.

Не нужно идеального мира, нужны прозрачные требования.

Самое интересное, что даже не лохи. В принципе, куча народа, в том числи и ЛПР, понимают дырявость оракла. Вот только, что бы слезть с него, нужно вбухать кучу бабла, без ясных профитов.

Говно, победило, ну всё ясно, бывает, массовый продукт часто к такому приходит, в погоне за удешевлением/увеличением частоты продаж, если можно так выразиться. Но почему я хожу мимо проблемы, если вам она не даёт покоя, а решать её вы не хотите.

Потому, что лично мы (как производитель или его часть) не будем пользоваться выпущенным говно, либо у нас есть специальные внутренние прошивки (которые часто вообще ничего общего с прошивками для потребителя не имеют) или даже немного другие платы. Так называемые инженерные прототипы, которые можно для себя домой забирать под NDA вместе с софтом, типа для обкатки. Поэтому выпускаемое нами говно для нас - это не более, чем ещё говно на рынке, а не личное говно, за которое мы ответственны. А поскольку суть нашей работы в том, чтобы побыстрее выкатить говно и получить бабки (при этом на качестве всем пофиг, лишь бы не разваливалось в руках), то делать мы будет на отзвездись. И к программным продуктам это тоже относится.

Это же Россия, расслабься.

А кто платит, тот заказывает музыку в кабаке, будет ли тоже самое зависит от участников процесса, бывает по разному, понятное дело, но поскольку количество таких 'проверяющих' может быть любым, конкуренция, вероятно выдавит нечестно играющих.(пример, кто то дал сертификат безопасности после своего аудита, за взятку, другая организация взломала сертифицированный продукт, все усомнились в профессионализме/честности давших сертификат)

Лолшто? Конкуренция выдавит честных. Потому что никто не хочет трать бабки на секьюрити, а потом ещё и признавать, что он обосрался в штаны. Типичный пример: утилизация списанного оборудования в госконторах или пожарная сертификация в обычных. Честные тут нафиг никому не нужны.

другая организация взломала сертифицированный продукт

Её просто засудит производитель, вот и вся история.

Потому-что заставить нас ее решить может только тот, кто имеет влияние. Потому-что таких как мы масса и да это такой себе негласный сговор. Потому-что когда надо будет продать вот это все, по всему интернету появятся нужные отзывы и очень авторитетные дяди вам расскажут, какую крутую штуку мы вам продаем. А еще этот дядя расскажет, что она безопасна и безотказна. А соль в том, что мы этого не говорили, а дядя по факту никто, хоть и очень авторитетно выступает на «трубах» и имеет мильярды лайков и бешенный авторитет у нихрена не понимающего населения.

Дадада, как реклама по телеку в белых халатах, только для вумных лохов.

Хм, а мы вот как ездили, так и ездим. Может работать надо? Так сказать перестать зависеть от бакса и нефти? Нет влияние останется, просто не такое критичное.

Сложно ездить, когда государство так и норовит рассыпать на дороге битое стекло и гвозди.

Ну, во-первых, это касается только буржуйских продуктов, отечественные проверяются куда шустрее. Ну, да, их хрен да маленько, и что?

Лолшто? Внесение апдейта в какой-то российский популярный криптошлюз (vpn с линуксом на деле) - полгода. КопроПРО - 3 месяца. Там разница была в 20 строчках кода.

В текущих реалиях есть все условия для того, что бы оно работало нормально. Есть регуляторы, которые выставляют требования (к слову сказать, далеко не всегда они исходят от государства), есть аккредитованные этими регуляторами центры сертификации и аудита, вполне себе коммерческие. Только у них часто отношения излишне близкие.

В результате говно прорывает. Плюс анализ безопасности не имеет ничего общего с современной моделью угроз. Иначе бы софт на сях браковали бы только из-за языка.

Деанониться лень))) Но от IoT отказались, в перспективе нахрен не уперлось пользователю, да и нам продавать ненужную фичу лень, все равно не оценят, да и не нужна она никому, вот честно, а тот кто думает, что ему пригодится - балбес.

Я тебя злорадствовать в другую степь отправлю, поищи как огорожен физ лэйер для иот ну и агрегаторы, да вобще вся связка, да еще пихайте все в облака, да только наши и за бабки :))) вот где веселуха, вот где сейчас продать все пытаются, производителям, до пользователей еще далеко, им потом расскажут, как им это блин жизненно необходимо.

Ну а дальше что?

Все умрут!

Что делать господа, и как защитится?

Ставить линукс, уходить отшельником в пустыню, прятаться от спецслужб.

Короче, истеричка детектед.

От того, что микропроцессор стал дешевле кулька семечек, необходимость его запихивания во все дырки не стала осмысленней. Пользы — чуть, а вреда много.

Не скажи: просто реальную пользу можно получать только от умного дома, где, скажем, можно автоматически отключать часть розеток, когда тебя не дома для безопасности, включать кондиционеры к твоему приезду и автоматически проветривать помещение. Только соль в том, что это всё надо делать изначально и стоит это дофига бабок. А люди, которые сделали охрененный ремонт за овер100500 рублей и трясущиеся над каждой царапиной, обычно даже езернет не проложили, не говоря уже о промышленной сети умного дома. Поэтому остаются только говногаджеты, от которых толку мало. Но всё-таки есть: например умные розетки и «пилоты» крайне удобная вещь (если, конечно, у них открытый апи). Утюг с автоотключением, холодильник с внутренней камерой и стиралка с удалённым запуском тоже были бы удобны в быту, разве нет?

если можно обойтись впн, то нужно так и делать. Но если вы хотите устройство, которое связывается с окружающими, обменивается данными(например машина говорит окружающим машинам, слушает их, принимает решения на основе полученных данных) То придется, думать о безопасности или страдать.

Кто же спорит, что пользователь не сведущ, он положится на репутацию заверявших/проверявших.

ну так и не покупайте, если не написано.

Вы так говорите, как будто это что-то плохое, ну не нужны людям покупающим «святую воду» настоящие лекарства, им плацебо достаточно.

Деанониться лень)))

Хотя бы намекни, для какого потребителя данное оборудование. >Но от IoT отказались А почему? esp8266 подключил, поднял прян на ней http/mqtt-API или веб-сервер и по UART соединил со своей железкой. Там lua, делается за пару часов, стоит ~100 рублей из-за бугра.

Я тебя злорадствовать в другую степь отправлю

В каком месте я злорадствую?

поищи как огорожен физ лэйер для иот

Не понял. Ethernet, bluetooth, ble, зигби, wifi, проприетарное говно, usb и другие. Что не так? Или ты о чём, анон?

агрегаторы, да вобще вся связка, да еще пихайте все в облака, да только наши и за бабки :)))

Облака - не для юзера, а для производителей интернет-говна. Ничего странного в них не вижу: суть та же, что и с хостингом для сайтов: производителям надо меньше трахаться, быстрее выпускать говна. То же говноприложение для ведроида или айфона и веб-морду обычно действительно дешевле взять с облака, чем платить за их создание. Да и облака не от производителя, имхо, намного лучше: - производитель прикроется, его сервера прикроются. А с внешним облаком ещё жить можно будет. - стандарты mqtt/http, а не свои костыли - выше безопасность облака - стабильнее и выше функционал

почему же не работает, все эти конторы показали себя как ничтожных аудиторов, после того как проверенные ими продукты взломали десятки раз. Но винда плохой пример, это монополия.

Короче, истеричка детектед.

Может ты из нулевых? Сейчас проблемы iot и лайков в инстаграмме намного важнее голода в африке или ядерного оружия северной кореи.

Ну в судебном порядке можно переложить ответственность на другие лица, но до выяснения обстоятельств, ответственность лежит на владельце, неужели в этом есть сомнения?

если можно обойтись впн, то нужно так и делать. Но если вы хотите устройство, которое связывается с окружающими, обменивается данными(например машина говорит окружающим машинам, слушает их, принимает решения на основе полученных данных) То придется, думать о безопасности или страдать.

Почему они не могут сидеть в анально огороженной сети все вместе? Просто производитель обычно всё крутит вообще на одном проце в одной ОС, в этом тоже большая проблема в плане взлома.

Кто же спорит, что пользователь не сведущ, он положится на репутацию заверявших/проверявших.

Которые тоже лохи, но от мира политики или маркетинга. Утопист хренов.

Ну в том то и дело, что аудит будет полезен хоть кому то(если такие найдутся) а гос регуляция мешает всем, не помогает никому(кроме создания видимости проверяемости)

Ну в судебном порядке можно переложить ответственность на другие лица, но до выяснения обстоятельств, ответственность лежит на владельце, неужели в этом есть сомнения?

Вообще-то презумпция невиновности, если уголовщина. А если нет - вопросы договоров.

Ну в том то и дело, что аудит будет полезен хоть кому то(если такие найдутся) а гос регуляция мешает всем, не помогает никому(кроме создания видимости проверяемости)

Ну тут я согласен. Просто надо понимать, что в современном мире всё это - откровенная лажа.

Ну и прекрасно, если кому то нужнен такой продукт.

Перечитал свои сообщения, мне срочно надо купить томик Розенталя.

Ну не нужны, значит не нужны, о чем тогда спор? Если безопасность людям не нужна, то никакими мерами вы её им не привьёте. Хотя мне кажется, если у людей есть хоть капля мозгов, пострадав от отсутствия мер безопасности(любого характера) они хотя бы попытаются исправить ситуацию.

Ну и прекрасно, если кому то нужнен такой продукт.

Лично мне грустно от того, что наш продукт с причмоком хавают покупатели. Мы производим говноподукцию для говнолюдей и живём в мире, который насквозь говно. :(((((((((((((

Ок, а вот это проблема законодательства, за что засудит то? за публичное доказательство уязвимости продукта, без злого умысла?

а теперь в энергопотребление и ту внезапно из всего что ты предложил, мало что подойдет и тут мы идем к нераспиаренным (хотя как посмотреть) каналам связи, а там патент патентом погоняет и упарывается по полной. С облаками в этом разрезе тоже весело, юзаешь наши патентованные железяки, будь добр складывай данные в наши облака. А я хочу в СВОИ, да и облако как понятие мне для этого не нужно.

Какой сети, то? ну вот представь, на дороге встречаются 5 автомобилей на перекрестке, кроме к.зрения, они могут полагаться на показания других участников движения, то есть по стандартизированному протоколу передавать друг другу планы моневров. Один из 5 автомобилей злоумышленник, при наличия уязвимости в протоколе/реализации он возможно поимеет их. А именно в таких взаимодействиях мне и представляется «плюсы» интернета вещей

Ну не нужны, значит не нужны, о чем тогда спор? Если безопасность людям не нужна, то никакими мерами вы её им не привьёте. Хотя мне кажется, если у людей есть хоть капля мозгов, пострадав от отсутствия мер безопасности(любого характера) они хотя бы попытаются исправить ситуацию.

Прекрати. У людей нет мозгов. Если бы были, то они не юзали бы винду, айпеды и андроид. Ну или хотя бы не цеплялись бы первому попавшемуся вайфаю, когда у них и так есть 4G. Даже после пары взломом они всё-равно ничему не учатся. Видел много таких инцидентов. Мало того, я знаю производство, где юзали самопальные станки. Одному чуваку там отхреначило палец из-за сбоя схемы. И что ты думаешь? Они дали чуваку 25к, уволили его, и ничего не изменилось. Люди - лохи и говно. Признай это.

ну не может же быть, что все лохи, неужели не найдется ни одного не лоха, который про всех лохов с «репутацией» напишет разоблачения?

ответственность в смысле первый в списке на предъявления претензий от пострадавших.

Ок, а вот это проблема законодательства, за что засудит то? за публичное доказательство уязвимости продукта, без злого умысла?

Злой умысел они найдут. Плюс как продукт взламывался без реверсинжиниринга? Обычно это весьма сложно. В США были многократно засужены частные исследователи, которые в паблик (после месячного молчания компании) выкладывали данные.

Я лично не понимаю, зачем они это делали: лично я бы продавал бы экспойт несколько раз на разных хакерских биржах. А потом пусть сами разбираются, если они ведут себя как мудаки и не делают аудит.

Мне тоже, наверное, но не хочется.

vpn с линуксом на деле

Сотрудник ИнфоТеКса детектед.

Внесение апдейта в какой-то российский популярный криптошлюз (vpn с линуксом на деле) - полгода

А вот ваши коллеги с FreeBSD говорят, что все оперативно решается.

Ты так говоришь, как будто тебя заставляют делать говнопродукт, ты либо уже взвалил на себя груз ответственности, ради обеспечения которого пашешь на не любимой работе, либо просто стадное чувство, не берусь советовать, но я бы на твоем месте попробовал бросить такую каторгу.

И уйти на другую? Ты и правда Эльф утопист

Плюс анализ безопасности не имеет ничего общего с современной моделью угроз.

Гхым, что ты имеешь под «современной моделью угроз»?

Иначе бы софт на сях браковали бы только из-за языка.

Секуре софтваре девелопмент. Гугл ит.

Прекрати. У людей нет мозгов. Если бы были, то они не юзали бы винду, айпеды и андроид. Ну или хотя бы не цеплялись бы первому попавшемуся вайфаю, когда у них и так есть 4G. Даже после пары взломом они всё-равно ничему не учатся. Видел много таких инцидентов. Мало того, я знаю производство, где юзали самопальные станки. Одному чуваку там отхреначило палец из-за сбоя схемы. И что ты думаешь? Они дали чуваку 25к, уволили его, и ничего не изменилось. Люди - лохи и говно. Признай это.

Я и не отрицал, только вот проблемы не вижу. Не вижу смысла создавать безопасный мир, для тех кому он не нужен(по их мнению). Я вот пользуюсь андроидом, но там во первых почти нет ценностей, во вторых просто нет альтернативы/денег на неё.
ну и если мой андроид взломают, я не буду удивлен :) итп

С облаками в этом разрезе тоже весело, юзаешь наши патентованные железяки, будь добр складывай данные в наши облака. А я хочу в СВОИ, да и облако как понятие мне для этого не нужно.

И причём тут IoT? Это характерно для любой продукции. Почему у моего кондионера нет UART-порта, чтобы я сам туда мог подцепиться? Уверен, что он там есть, просто никто не знает, какие команды юзать и куда цепляться. Та же хрень с камерами, которые даже банально не позволяют использовать ручной фокус. Типичный vendor lock-in. Кстати, интересный вопрос: а можно ли засудить в ЕС производителя, если у него откажет облако, а девайс без него не работает? У же с этим строго и ЕУЛой не отделаешься.

а теперь в энергопотребление и ту внезапно из всего что ты предложил, мало что подойдет и тут мы идем к нераспиаренным

Тебе никто не мешает свой реализовать, есть куча проектов openhardware на эту тему. Но, имхо, это ненужное ненужно: либо солнечные батареи или беспроводное питание, или провода. Менять батареи раз в полгода - это жесть.

И ты так и не ответил, чем вы занимаетесь.

Злой умысел они найдут. Плюс как продукт взламывался без реверсинжиниринга? Обычно это весьма сложно. В США были многократно засужены частные исследователи, которые в паблик (после месячного молчания компании) выкладывали данные.

Я лично не понимаю, зачем они это делали: лично я бы продавал бы экспойт несколько раз на разных хакерских биржах. А потом пусть сами разбираются, если они ведут себя как мудаки и не делают аудит.

согласен, лучше бы продали, если законы позволяют засудить за такое, ну и опять же, проблема законов, имели бы эти альтруисты право на такой добровольный аудит(конечно, включающий реверсинженеринг) получилось бы лучше.

Какой сети, то? ну вот представь, на дороге встречаются 5 автомобилей на перекрестке, кроме к.зрения, они могут полагаться на показания других участников движения, то есть по стандартизированному протоколу передавать друг другу планы моневров. Один из 5 автомобилей злоумышленник, при наличия уязвимости в протоколе/реализации он возможно поимеет их. А именно в таких взаимодействиях мне и представляется «плюсы» интернета вещей

Отдельные железки в них при встрече сводят их в VPN. А уже к VPN подключается внутренний компьютер. Так понятно?

Неужели вокруг только такой ад? Жаль если так.

ну не может же быть, что все лохи, неужели не найдется ни одного не лоха, который про всех лохов с «репутацией» напишет разоблачения?

Дальше то что? Сколько написано, что не надо сидеть через открытую вафлю и юзать старый андроид. Многих это останавливает? К тому же тут обычный маркетинг: пиара псевдобезопасников дофига, а разоблачителей - нифига. Сравни с рашкинской пропагандой и оппозицией. Очевидно, что пропаганда врёт, а оппозиция говорит правду, но толку то? А вон укры, например, до сих пор верят, что это они свергли правительство, а не США. А вата верит, что ссср распался только из-за США, а не из-за того, что власть гнила ещё со смерти Ленина.

Отдельные железки в них при встрече сводят их в VPN. А уже к VPN подключается внутренний компьютер. Так понятно?

Не понятно, получается для того что бы n отдельных железки поговорили друг с другом, им нужно подключиться к удаленному серверу? или ты имеешь ввиду, что они просто поднимают «локальную» сеть и в ней уже общаются?
Если в процессе предусмотрено добавление не доверенного участника в «дискуссию», то все эти меры не спасут, от необходимости параноидально блюсти безопасность.