Die Unternehmen machten sich schließlich Sorgen um die Entwicklung von IoT-Geräten und deren Sicherheit

Typisches IoT-Gerät

IoT ist ein extrem junges Marktsegment, das nur versucht, die ersten ernsthaften Schritte zu unternehmen. Natürlich gibt es IP-Kameras und andere Sensoren schon lange, aber die Sprache erweist sich nicht als „intelligent“. Gleichzeitig ist eines der Probleme des Marktes seltsamerweise der Entwicklungszyklus, da nicht nur ein physisches Gerät erstellt wird, sondern auch Software für dieses unter extrem begrenzten Ressourcen geschrieben wird. Dies ist vor 20 Jahren ein paar Megabyte Speicher für die Anwendung war die Norm. Wenn die Optimierung des Ressourcenverbrauchs für Benutzer (und Entwickler) nur ein Traum ist und für Spitzenprodukte Speicherlecks oder unrealistische Völlerei (hi, Chrome) normal sind, scheint es für diese Entwickler eine Bestrafung zu sein, in ein paar hundert Kilobyte Flash-Speicher auf einem energieeffizienten Mikrocontroller zu arbeiten. die sich letztes Jahr schlecht benommen haben.

Dies ist jedoch nicht das einzige IoT-Problem. Es ist nicht meine Aufgabe, Ihnen zu sagen, wie hilflos intelligente Geräte in Bezug auf die Informationssicherheit sind. In den Medien tauchen ab 2015 regelmäßig Geschichten über Botnetze von IP-Kameras, Kühlschränken und anderen Mikrowellenherden auf. Fügen Sie diesem „Gericht“ auch „Sauce“ von intelligenten Lautsprechern und Assistenten wie Alexa oder Alice hinzu, und wir erhalten ein erschreckendes Bild. Seit der Zeit der chinesischen No-Name-Kameras haben Produkte von Amazon und Yandex die Möglichkeit erhalten, auf Wunsch des Eigentümers Online-Bestellungen aufzugeben. Tatsächlich waren es diese Merkmale der neuen Generation von IoT-Geräten, die Softwarehersteller dazu veranlassten, sich zu bewegen, nämlich die digitalen Verteidigungslinien unserer Sprechboxen und anderer Sensoren zu stärken.


Das ist nur so, wie es normalerweise bei allen möglichen Standards im jungen Segment der Fall ist, gibt es keine einheitliche Herangehensweise. Schließlich kann die Sicherheit des Geräts auf mindestens drei Arten gewährleistet werden: durch Erweiterung der Cloud-Plattform für die Verwaltung des IoT, Stärkung der Sicherheit auf Geräte-Firmware-Ebene und der sogenannten Gateway-Grenze, dh Schutz des IoT-Netzwerks auf der Ebene des Routers und des internen Intranet-Gateways an der Kreuzung mit der Außenwelt.

Derzeit arbeiten mindestens drei Riesenunternehmen aus drei verschiedenen Segmenten des IT-Marktes in diesen Bereichen - sie versuchen, die Entwicklung zu vereinfachen und gleichzeitig die Grenzen der digitalen Verteidigung zu stärken.

Google SDKs und Cloud-Plattformen

Was macht der Suchriese beim Markteintritt? Nun, wir alle wissen sehr gut über die Taktik "Kaufen, Kopieren, Besten, Schließen" Bescheid, aber bei IoT-Geräten gibt es nicht viel zu kaufen. Hier haben wir keine Leute, nur die ARM-Firma erhebt sich mit einem Stein über all diese Einöde. Google ging also den zweiten bevorzugten Weg - den Aufbau einer Plattform mit der anschließenden Schaffung eines Ökosystems um diese herum.

Google liebt in sich geschlossene Ökosysteme. Wenn wir die offensichtlichen Fehler auf dem Weg der sozialen Netzwerke weglassen, schafft das Unternehmen Ökosysteme und baut Gemeinschaften um sie herum mit beneidenswerter Stabilität auf. Und vor allem weiß sie, wie man sie unterstützt und weiterentwickelt. Während Werbung nicht über intelligente Kühlschränke und andere IoT-Geräte geschaltet werden kann, ist das Ökosystem für Google in dieser Richtung nur in ferner Zukunft interessant. Es geht um die Google Cloud IoT- Plattform zum Verarbeiten, Analysieren und Speichern von Daten von Smart-Geräten. Dies war jedoch nicht genug, da die Daten irgendwie von den Geräten entfernt werden müssen. Angesichts des Fehlens eines universellen Standards ist dies nicht so einfach.



Aus diesem Grund ging der Suchriese auch seinen dritten Lieblingspfad und kündigte ein eigenes SDK für Entwickler von IoT-Geräten an, das in Embedded C geschrieben wurde. Warum war dies der dritte typische Pfad für Google? Wenn der Suchriese nicht in der Lage ist, ein Ökosystem zu „kaufen und zu schließen“ oder schnell aufzubauen, es mit den vorhandenen Diensten und Plattformen des Unternehmens zu verknüpfen und Anzeigen zu drehen, werden Entwicklertools veröffentlicht. Und warten. Darüber hinaus gibt es die Plattform als Tool bereits. Warum nicht das SDK veröffentlichen?

Das Produkt mit dem Namen Cloud IoT Device SDK wurde in Zusammenarbeit mit ARM, Microchip Technology und NXP Semiconductors entwickelt. Natürlich das Open Source Tool. Das Ziel des Cloud IoT Device SDK ist es, beim Prototyping und Testen vor der kommerziellen Implementierungsphase des Produkts zu helfen. SDK unterstützt eine Vielzahl von Mikrocontroller-Geräten. Unter den Vorteilen des SDK ist die Entwicklung auf Geräte mit extrem geringem Stromverbrauch und Flash-Speicher ab 25 kB anwendbar. Im Allgemeinen schreibt Venturebeat, dass sich die Entwicklung als sehr erfolgreich erwiesen hat: Das SDK enthält Kompatibilität mit Echtzeit-Betriebssystemen wie Zephyr, ARM Mbed OS, dem FreeRTOS-Kernel (und vielen anderen) sowie Kompatibilität mit POSIX-Systemen. Es gibt eine asynchrone API, mit der Sie im Allgemeinen arbeiten können ohne Betriebssystem, und es gibt auch einen Veranstaltungsplaner und vieles mehr.

Quellen sind auf GitHub verfügbar.

Was bedeutet das für die Branche? Zunächst war Google mit konsequenter Arbeit in dieser Richtung beschäftigt. Angesichts der beherrschenden Stellung von Android und der Aussichten für die Fernsteuerung von Geräten über Smartphones und Tablets war die Veröffentlichung eines speziellen SDK nur eine Frage der Zeit.



Die Tatsache, dass Hersteller wie ARM an der Arbeit beteiligt waren, erhöht nur das Vertrauen, dass wir kein weiteres „Chrom“ erhalten, das so viele Ressourcen verbraucht, wie es zur Verfügung steht, sondern ein wirklich funktionsfähiges Produkt, das die spezifische Architektur des modernen IoT berücksichtigt. Das Vorhandensein einer vollwertigen Plattform und die Fähigkeit, Softwarelösungen vor ihrer kommerziellen Implementierung auf dem Tisch zu halten, werden nur das Niveau der Endprodukte erhöhen und ihren Markteintritt beschleunigen.

Informationssicherheit für intelligente Geräte

Es ist schwierig, über etwas zu sprechen, das es wirklich nicht gibt. Unabhängig davon, wie einzelne Charaktere gekreuzigt werden, dass IoT-Sicherheit real ist, verstehen wir alle, dass die IoT-Geräte selbst absolut schutzlos sind und zu 100% von dem Netzwerk abhängen, mit dem sie verbunden sind. Aufgrund der Missachtung der lokalen Sicherheit haben wir vor einigen Jahren Hunderttausende von Botnetzen von IP-Kameras beobachtet. Sie können beispielsweise das Mirai-Botnetz abrufen.

Dieses Problem muss jedoch behoben werden. Ich habe bereits Alexa und Alice erwähnt - diese beiden Damen beantragen ernsthaft den Zugang zu den Kreditkarten ihrer Besitzer, um bei Amazon, eBay oder Yandex.market Pizza oder eine andere Spielerei für sie zu bestellen.


Yandex.station

Auf dem Weg des Kampfes um die Sicherheit wurde ARM erneut zur Kenntnis genommen.

Das Platform Security Architecture Certified- Projekt ist im Wesentlichen ein Zertifizierungsprogramm für IoT-Geräte. PSA hat zwei Verwendungszwecke: mehrstufige Sicherheitsschemata und API-Testsuiten für Entwickler. ARM hat mehrere unabhängige Forschungslabors für Informationssicherheit mit der Erstellung des PSA beauftragt.

Das Projekt entstand einfach aus einer Reihe von Dokumentationen zum Thema Sicherheit von IoT-Geräten, die Empfehlungen für die Entwicklung enthielten. Jetzt enthält das Projekt jedoch viel mehr Informationen, z. B. Modelle von Cyberangriffen, Dokumentation zur Sicherheitsanalyse, Zertifizierung der Architektur der Hardware und Software von Geräten und vieles mehr.

Ein weiteres bemerkenswertes IoT-Sicherheitsprojekt hat inländische Wurzeln, Kaspersky Lab ist daran beteiligt. Dieses Unternehmen ging den offensichtlichsten Weg für sich und machte auf die zuvor erwähnte Sicherheitslücke von Intranets aufmerksam, in denen IoT-Geräte existieren. Der effektivste Weg, das Netzwerk zu schützen, besteht darin, „Gateways mit der Außenwelt“ zu verteidigen, wie es der LC getan hat. Insbesondere arbeiten sie derzeit am IoT Gateway-Projekt, einer Firmware für Router und Router. Das gesamte Projekt basiert auf KasperskyOS und ist anscheinend eine Teilmenge davon.


Router mit KasperskyOS an Bord

Laut den Prospekten von LC sind die direkten Hersteller von Routern aktiv an der Entwicklung beteiligt, die bewusst mit dem Unternehmen zusammengearbeitet haben, um die Sicherheit ihrer Geräte auch in der Förderphase zu erhöhen. Zumindest sollte Advantech , ein bedeutender Gerätehersteller, mit dem Laboratory zuvor im Rahmen des KICS for Networks-Projekts zusammengearbeitet hat, um die Informationssicherheit bei der Arbeit zu gewährleisten, an der Entwicklung teilnehmen.

Anstelle von Ausgabe

Mit der ganzen Aufmerksamkeit von Technologiegiganten und anderen Unternehmen auf das IoT-Segment ist ARM das aktivste Unternehmen - ein Hersteller von Mikrochips, an denen all diese Kameras, Sensoren und anderen energieeffizienten Geräte arbeiten. Jetzt spielen die Dominanz von ARM und der Wunsch des Unternehmens, den Markt breiter zu machen, allen in die Hände: Es arbeitet eifrig mit Google zusammen, beauftragt private Labors für bestimmte Projekte und versucht auf jede erdenkliche Weise, das Vertrauen der Öffentlichkeit wiederherzustellen, das durch die gleiche Geschichte mit Mirai und anderen Botnetzen weitgehend untergraben wurde.

ARM ist jedoch nicht das gesamte IoT. Es gibt immer noch genügend mittelständische und offen unbekannte Elektronikhersteller auf dem Markt, die auf das Google SDK, Sicherheitstest- und Verifizierungstools usw. spucken wollten. Kaspersky Lab leistet ernsthafte Arbeit, und ich bin sicher, dass nicht nur die Sicherheit von Routern und Routern erhöht wird. Es gibt jedoch ein großes Problem bei den Errungenschaften von LK: Der Fokus liegt zunächst auf dem Industriesegment, wie andere Projekte des Unternehmens in dieser Richtung und die gemeinsame Vergangenheit mit Advantech belegen. Darüber hinaus umfassen solche kommerziellen Produkte die Lieferung in einem Paket mit der restlichen Software des Unternehmens, die nicht jeder benötigt.

Wie viel haben wir für den Micro-USB Typ B als Ladeanschlussstandard verwendet? Aber ein paar Jahre der Ruhe vergingen nicht, als USB Typ C kam und Lightining überhaupt nicht verschwand. In Bezug auf die Sicherheit und die Entwicklung von IoT-Geräten ist ein Kompromiss erforderlich, der nur mit der Wahl von „Standard-USB“ vergleichbar ist. Dies wird jedoch kaum möglich sein, da sich das Internet der Dinge jetzt so schnell entwickelt, dass Standards in ein oder zwei Jahren überholt sind. Es besteht die Hoffnung, dass ARM und Google die Entwickler um sich herum konsolidieren und einen bestimmten Standard in Bezug auf Entwicklung und Informationssicherheit erreichen können, aber dann wird der Verbraucher einem weiteren Monopol ausgesetzt sein, das bereits schlimm ist.

In jedem Fall ist eine Bewegung besser als eine Stagnation. Weil IoT eine Entwicklung für viele verwandte Wissensbereiche ist, zum Beispiel im Bereich der Spracherkennung, KI und so weiter. Und diese Technologien sind die Zukunft.