Интернет вещей (IoT). Защита устройств и обязанность вендоров

В одной из своих заметок я описывал компоненты IoT, подлежащие защите.
Первыми, само собой, идут устройства - "вещи", которые и составляют основу "Интернета вещей". Компоненты "умного дома", "умного офиса", "умные автомобили", датчики состояния окружающей среды, живых организмов и прочее.

Все они для подключения к Интернет имеют: 

• операционную систему (как правило, довольно урезанную);
• реализацию сетевого стека (для подключения к сети);
• прикладную часть, которая устанавливается на ОС. 

Соответственно, по сети с большой вероятностью из Интернет будет доступно управление такими компонентами:

• Операционная система (SSH, telnet). Взлом чреват полным контролем над устройством, перехватом управления и использованием как площадки для атак (DDoS и не только). Полученный через SSH доступ с правами суперпользоватлея позволить поставить все недостающее для реализации атаки ПО. Затем можно использовать взломанное устройство как jumphost при атаке, а можно сделать его членом ботнета. Фантазия ограничивается самим хакером и его целями. Как правило, пользователь понятия не будет иметь о проведенном взломе, если хакерские действия не повлияют на функционал.
• Приложение (web-interface либо собственная разработка). Взлом приведет к компрометации тех данных, ради которых и подключалось устройство к Интернет. Камера будет доступна через Интернет всем, кто смог подключиться. Автомобиль тоже сможет быть управляемым через Интернет. Возможные ужасы (малая толика) описаны в заметке "Интернет вещей и безопасность людей. Коммерческая тайна, безопасность и неприкосновенность личной жизни становятся зависимыми от маленьких, простеньких, неимоверно тупых, но управляемых через Интернет устройств.

Что нужно, чтобы защитить устройство? Определенные рекомендации, которые применимы к заказчику в корпоративном секторе, где существует отдельный штат специалистов ИТ/ИБ, могут абсолютно не подойти Петровичу, который поставил камеру в гараж:

• Выделение отдельного сегмента сети
• Контроль целостности системных файлов
• Резервное копирование
• Контроль изменения конфигурации
• Контроль уязвимостей
• Управление обновлениями
• Парольные политики

Рядовой пользователь не знает и не будет этого делать. Логика простая: я плачу деньги и хочу, чтобы оно работало. Петрович из околокомпьютерной тематики разбирается только в электрической цепи для дома и подключении аккумулятора к бортовому компьютеру автомобиля.

Соответственно, поскольку покупатель сам не позаботится о безопасности вещей, которые будет оставлять в Интернете, вендор должен реализовать в ПО многие функции самостоятельно так, чтобы они, с одной стороны, не ограничивали пользователя, не привносили в его жизнь элемент контроля со стороны производителя, а с другой - повышали уровень безопасности устройств. 

Что может и должен делать производитель устройств "интернета вещей" в первую очередь:

• Внести в инструкцию по эксплуатации памятку о мерах информационной безопасности, рисках подключения устройства в Интернет и необходимых действиях со стороны пользователя.
• Hardening устройств: отключение неиспользуемых сервисов и безопасная конфигурация используемых.
• Принудительная смена пароля по умолчанию и парольные политики, предотвращающие использование простых паролей.
• Обеспечить поддержку работы в безопасной архитектуре.
• Внедрить контроль безопасности кода ПО.
• Тестирование безопасности устройств и приложений.
• Автоматическая проверка критичных обновлений, исправляющих баги по безопасности.
• Удобное, очевидное для пользователя оповещение о необходимости обновления.
• Простой для пользователя и быстрый процесс обновления ПО.

Естественно, начинающий вендор, который хочет заработать денег на производстве массовых и дешевых устройств для IoT, может задать вопрос: "Почему я должен думать за пользователя о его безопасности? Он покупает устройство, а дальше - его проблемы.  Мы прописали это в пользовательское соглашение".

Ответ тоже прост и очевиден: должен, потому что берешь за это деньги. И если хочешь, чтобы твои устройства потом имели конкурентное преимущество, или, хотя бы, были ненамного хуже других игроков рынка в этой нише - позаботься об удобной для пользователя безопасности самостоятельно. А вдобавок учти, что когда-нибудь через твое же дырявое устройство могут атаковать и тебя. Журналисты не упустят шанса раструбить об этом. Весь цифровой мир содрогнется от смеха. И чем громче будет смех, тем сильнее будет просадка акций.

Apple и Google начали думать за пользователя в свое время, и сейчас видно, где они, а где их конкуренты. Так что вперед.