Dispositif IoT typiqueL'IoT est un segment de marché extrêmement jeune, essayant simplement de faire les premiers pas sérieux. Bien sûr, les caméras IP et autres capteurs existent depuis longtemps, mais le langage ne se révèle pas complètement «intelligent». Dans le même temps, l'un des problèmes du marché est, curieusement, le cycle de développement, car il implique non seulement la création d'un appareil physique, mais aussi l'écriture de logiciels pour celui-ci dans des conditions de ressources extrêmement limitées. Il y a 20 ans, quelques mégaoctets de mémoire pour l'application était la norme. Maintenant, lorsque l'optimisation de la consommation des ressources pour les utilisateurs (et les développeurs) n'est qu'un rêve et que pour les produits haut de gamme, les fuites de mémoire ou la gourmandise irréaliste (salut, Chrome) sont normales, travailler dans quelques centaines de kilo-octets de mémoire flash sur un microcontrôleur économe en énergie semble être une punition pour ces développeurs, qui s'est mal conduit l'année dernière.
Mais ce n'est pas le seul problème IoT. Il ne m'appartient pas de vous dire à quel point les appareils intelligents sont impuissants en termes de sécurité de l'information. Des articles sur les réseaux de zombies provenant de caméras IP, de réfrigérateurs et d'autres fours à micro-ondes apparaissent périodiquement dans les médias, à partir de 2015. Ajoutez à ce "plat" également la "sauce" de tous les haut-parleurs et assistants intelligents tels que Alexa ou Alice, et nous obtenons une image effrayante; depuis l'époque des caméras chinoises sans nom, les produits d'Amazon et de Yandex ont acquis la possibilité de passer des commandes en ligne à la demande du propriétaire. En fait, ce sont ces caractéristiques de la nouvelle génération d'appareils IoT qui ont fait bouger les fabricants de logiciels, notamment pour renforcer les lignes de défense numérique de nos boîtes de discussion et d'autres capteurs.
C'est juste, comme cela arrive généralement avec toutes sortes de normes dans le segment jeune, il n'y a pas d'unité d'approche. Après tout, la sécurité de l'appareil peut être assurée par au moins trois façons: en étendant la plate-forme cloud pour gérer l'IoT, en renforçant la sécurité au niveau du micrologiciel de l'appareil et la soi-disant passerelle-frontière, c'est-à-dire en protégeant le réseau IoT au niveau du routeur et la passerelle intranet interne à la jonction avec le monde extérieur.
Au moins trois sociétés géantes de trois segments différents du marché informatique travaillent actuellement dans ces domaines - elles tentent de simplifier le développement et de renforcer simultanément les frontières de la défense numérique.
SDK Google et plateformes cloud
Que fait le géant de la recherche pour entrer sur un marché? Eh bien, nous connaissons tous très bien les tactiques «acheter, copier le meilleur, fermer», mais dans le cas des appareils IoT, il n'y a pas grand-chose à acheter. Ici, nous n'avons pas de gens, seule la société ARM s'élève au-dessus de cette friche avec un rocher. Donc, Google est allé sur le deuxième chemin préféré - la construction d'une plate-forme avec la création ultérieure d'un écosystème autour d'elle.
Google adore les écosystèmes autonomes. Si nous omettons les échecs flagrants sur le chemin des réseaux sociaux, l'entreprise crée des écosystèmes et construit des communautés autour d'eux avec une stabilité enviable. Et surtout, elle sait comment les soutenir et les développer. Mais bien que la publicité ne puisse pas être diffusée à travers des réfrigérateurs intelligents et d'autres appareils IoT, l'écosystème de Google dans ce sens n'est intéressant que dans un avenir lointain. Il s'agit de la plateforme
Google Cloud IoT pour le traitement, l'analyse et le stockage de données à partir d'appareils intelligents. Mais cela ne suffisait pas, car les données doivent être en quelque sorte supprimées des appareils. Étant donné l'absence d'une norme universelle, ce n'est pas si simple.
C'est pourquoi le géant de la recherche a également suivi son troisième chemin préféré et a annoncé son propre SDK pour les développeurs d'appareils IoT écrit en Embedded C. Pourquoi était-ce le troisième chemin typique pour Google? Eh bien, si le géant de la recherche ne peut pas "acheter et fermer", ou créer rapidement un écosystème, le lier aux services et plates-formes existants de l'entreprise et tordre les publicités, il libère des outils de développement. Et en attendant. De plus, la plateforme en tant qu'outil existe déjà, pourquoi ne pas sortir le SDK?
Le produit, appelé
Cloud IoT Device SDK , a été développé en collaboration avec ARM, Microchip Technology et NXP Semiconductors. Bien sûr, l'outil open source. L'objectif du SDK Cloud IoT Device est d'aider au prototypage et aux tests avant la phase de mise en œuvre commerciale du produit. Le SDK prend en charge une large gamme de microcontrôleurs. Parmi les avantages du SDK, le développement est applicable aux appareils à très faible consommation d'énergie et à la mémoire flash à partir de 25 ko. En général,
Venturebeat écrit que le développement s'est avéré être juteux: le SDK inclut la compatibilité avec le système d'exploitation en temps réel, comme Zephyr, ARM Mbed OS, le noyau FreeRTOS (et bien d'autres), la compatibilité avec les systèmes POSIX, il existe une API asynchrone qui vous permet de travailler en général sans OS, et il y a aussi un planificateur d'événements et plus encore.
Les sources sont disponibles sur
GitHub .
Qu'est-ce que cela signifie pour l'industrie? Tout d'abord, Google était préoccupé par un travail cohérent dans ce sens. Étant donné la position dominante d'Android et les perspectives de contrôle à distance des appareils via les smartphones et les tablettes, la sortie d'un SDK spécialisé n'était qu'une question de temps.
Le fait que des fabricants tels que ARM aient été impliqués dans le travail ajoute seulement la confiance que nous n'obtiendrons pas un autre "chrome" qui consomme autant de ressources qu'il est donné, mais un vrai produit réalisable qui prend en compte l'architecture spécifique de l'IoT moderne. La présence d'une plate-forme à part entière et la possibilité de «fonctionner sur la table» des solutions logicielles avant leur mise en œuvre commerciale ne feront qu'augmenter le niveau des produits finaux et accélérer leur entrée sur le marché.
Sécurité des informations des appareils intelligents
Il est difficile de parler de quelque chose qui n'existe vraiment pas. Peu importe la façon dont les personnages individuels sont crucifiés que la sécurité IoT est réelle, nous comprenons tous que les appareils IoT eux-mêmes sont absolument sans défense et dépendent à 100% du réseau auquel ils sont connectés. En fait, en raison du mépris de la sécurité locale, nous avons observé des centaines de milliers de botnets de caméras IP il y a plusieurs années. Par exemple, vous pouvez rappeler le
botnet Mirai .
Mais ce problème doit être résolu. Plus tôt, j'ai mentionné Alexa et Alice - ces deux madames demandent sérieusement l'accès aux cartes de crédit de leurs propriétaires pour commander des pizzas ou une autre boule pour elles sur Amazon, eBay ou Yandex.market.
Yandex.stationSur le chemin de la lutte pour la sécurité, ARM a de nouveau été noté.
Le projet
Platform Security Architecture Certified est, en substance, un programme de certification pour les appareils IoT. PSA a deux utilisations: des schémas de sécurité à plusieurs niveaux et des suites de tests d'API pour les développeurs. ARM a engagé plusieurs laboratoires de recherche indépendants sur la sécurité de l'information pour créer le PSA.
Le projet est simplement né d'un ensemble de documentation sur le thème de la sécurité des appareils IoT, qui contenait des recommandations de développement. Cependant, il y a maintenant beaucoup plus d'informations dans le projet, par exemple, les modèles de cyberattaques, la documentation sur l'analyse de la sécurité, la certification sur l'architecture du matériel et des logiciels des appareils et plus encore.
Un autre projet de sécurité IoT notable a des racines nationales, Kaspersky Lab y est impliqué. Cette société a pris la voie la plus évidente pour elle-même et a attiré l'attention sur la vulnérabilité mentionnée précédemment des intranets dans lesquels les dispositifs IoT existent. Le moyen le plus efficace de protéger le réseau est de défendre les «passerelles avec le monde extérieur», ce qu'a fait le LC. Plus précisément, ils travaillent actuellement sur le projet IoT Gateway, qui est un micrologiciel pour les routeurs et les routeurs. L'ensemble du projet est basé sur KasperskyOS et, apparemment, en est un sous-ensemble.
Routeur avec KasperskyOS à bordSelon les prospectus de LC, les fabricants directs de routeurs sont activement impliqués dans le développement, qui ont coopéré consciemment avec l'entreprise pour accroître la sécurité de leurs appareils même au stade du convoyeur. Au minimum,
Advantech , un important équipementier avec lequel le Laboratoire a précédemment collaboré dans le cadre du projet KICS for Networks pour assurer la sécurité des informations au travail, devrait participer au développement.
Au lieu de la sortie
Avec toute l'attention des géants de la technologie et d'autres entreprises sur le segment IoT, ARM est la société la plus active - un fabricant de puces électroniques, sur lequel fonctionnent toutes ces caméras, capteurs et autres appareils écoénergétiques. Désormais, la domination d'ARM et la volonté de l'entreprise d'élargir le marché sont entre les mains de tout le monde: il collabore avec enthousiasme avec Google, engage des laboratoires privés pour des projets spécifiques et tente de toutes les manières possibles de restaurer la confiance du grand public, qui a été à peu près minée par la même histoire avec Mirai et d'autres réseaux de zombies.
Cependant, ARM n'est pas l'ensemble de l'IoT. Il y a encore suffisamment de fabricants d'électronique de milieu de gamme et franchement inconnus sur le marché qui voulaient cracher sur le SDK Google, les outils de test et de vérification de sécurité, etc. Kaspersky Lab fait un travail sérieux et je suis sûr que non seulement ils s'orientent vers l'augmentation de la sécurité des routeurs et des routeurs. Mais il y a un gros problème dans les réalisations de LK - sa concentration, tout d'abord, sur le segment industriel, comme en témoignent d'autres projets de l'entreprise dans ce sens et le passé commun avec Advantech. En outre, ces produits commerciaux impliquent une livraison dans un package avec le reste du logiciel de l'entreprise, dont tout le monde n'a pas besoin.
Combien sommes-nous allés au Micro-USB Type-B comme connecteur de charge standard? Mais quelques années de paix et de tranquillité ne se sont pas passées, lorsque l'USB Type-C est arrivé, et Lightining n'a pas du tout disparu. En termes de sécurité et de développement de dispositifs IoT, un compromis est nécessaire, comparable uniquement au choix du «standard USB». Mais il sera presque impossible d'y parvenir, car l'IoT évolue à un rythme tel que toutes les normes deviennent obsolètes dans un an ou deux. Il y a de l'espoir que ARM et Google seront en mesure de consolider les développeurs autour d'eux et d'atteindre un certain niveau de développement et de sécurité de l'information, mais le consommateur sera alors confronté à un autre monopole, qui est déjà écœurant.
Cependant, dans tous les cas, certains mouvements valent mieux que la stagnation. Parce que l'IoT est un développement pour de nombreux domaines de connaissances connexes, par exemple dans le domaine de la reconnaissance vocale, de l'IA, etc. Et ces technologies sont l'avenir.