"महाराज, हमारे पास एक सुरक्षा छेद है!"
- ठीक है, कम से कम कुछ हमारे साथ सुरक्षित है ...नमस्कार, हेब्र!
InoThings ++ के बारे
में पिछली पोस्ट की टिप्पणियों में, उन्होंने राय व्यक्त की कि इंटरनेट ऑफ थिंग्स पर सरकार के हस्तक्षेप की तुलना में चर्चा के लिए एक अधिक महत्वपूर्ण क्षेत्र है - यह डिवाइस सुरक्षा सुनिश्चित करने का क्षेत्र है। सभी दृष्टिकोणों से।
मैं यहां केवल एक ही बात पर बहस कर सकता हूं - कि सुरक्षा मुद्दों की चर्चा एक गोलमेज प्रारूप में होनी चाहिए; इस कारण से, हम राष्ट्रीय मानकों की आवश्यकता (या अनावश्यकता) पर और सामान्य रूप से, उद्योग में सरकार के हस्तक्षेप पर गोल मेज को छोड़ देंगे, लेकिन हम अलग से सुरक्षा के बारे में बात करेंगे।
आईओटी में सुरक्षा को आम तौर पर शास्त्रीय आईटी सिस्टम में सुरक्षा के विपरीत कुछ अलग और विशिष्ट क्यों माना जाता है?
हां, सामान्य तौर पर, क्योंकि IoT सिस्टम केवल उपयोगकर्ता के हिस्से पर क्लासिक लोगों के समान हैं जो मॉनिटर स्क्रीन पर सुंदर चित्र देखते हैं या स्मार्टफोन से एक प्रकाश बल्ब को नियंत्रित करते हैं - लेकिन अंदर, एक निम्न स्तर पर, वे पूरी तरह से, पूरी तरह से अलग हैं।
और, दुर्भाग्यवश, हम अभी भी कई बार उत्पादों के लेखकों के साथ जुड़ते हैं जो दृष्टिकोण और समस्याओं के अंतर को नहीं समझते हैं।
"इंटरनेट ऑफ थिंग्स", सबसे पहले और सबसे महत्वपूर्ण, सस्ती, सस्ती, कॉम्पैक्ट, किफायती और इसलिए स्थानीय या वैश्विक डेटा नेटवर्क से जुड़े बेहद बड़े उपकरणों के बारे में एक कहानी है।
व्यवहार में इसका क्या अर्थ है?
• आम तौर पर एक
वायरलेस कनेक्शन । तार में हम भरोसा करते हैं, ज़ाहिर है, केवल तार महंगा है; जो लोग एक वायर्ड स्मार्ट घर बनाते हैं, वे समझते हैं कि इसका मतलब सभी कोनों में कम वोल्टेज के बिछाने के साथ एक प्रमुख ओवरहाल है। और अगर तार बिल्कुल नहीं रखा जा सकता है?
दरअसल, IoT का तेजी से विकास सस्ते, किफायती और लंबी दूरी के वायरलेस कनेक्शन के आगमन के साथ शुरू हुआ - घर वाई-फाई और BLE से लोरावन, सिगफॉक्स, एनबी-आईओटी और इतने पर। कनेक्शन जो सेंसर को अपनी शक्ति और कनेक्शन से परेशान किए बिना एक निश्चित स्थान को संतृप्त करने की अनुमति देते हैं।
हालांकि, रेडियो न केवल सुविधा है, बल्कि एक अभिशाप भी है। यदि तार से कनेक्ट करने के लिए, पड़ोसियों को आपके दरवाजे पर ताले खोलने की आवश्यकता होती है, तो वे न केवल आपके वायरलेस होम को लगभग हमेशा "सुनते हैं", बल्कि इसे जाम भी कर सकते हैं, या नकली भी कर सकते हैं।
• एक नियम के रूप
में, रेडियो चैनल के बेहद
किफायती ऑपरेटिंग मोड - एक निरंतर बिजली की आपूर्ति के बिना एक डिवाइस को बैटरी द्वारा संरक्षित किया जाना चाहिए। रेडियो चैनल पर सहेजने का परिणाम यह है कि डिवाइस के फर्मवेयर को हवा से अपडेट करना या तो असंभव है, या इस तथ्य के कारण अर्थहीन है कि अपडेट के एक एपिसोड में उपलब्ध बैटरी का दस प्रतिशत हिस्सा खर्च होता है।
तदनुसार, कोड और प्रोटोकॉल की प्रारंभिक गुणवत्ता अत्यंत उच्च महत्व प्राप्त करती है - यदि उनमें एक घातक छेद की खोज की जाती है, तो निर्माता, निश्चित रूप से, अपनी वेबसाइट पर एक नई फ़ाइल अपलोड करने में सक्षम होगा, लेकिन इसमें कोई मतलब नहीं होगा।
• आमतौर पर,
कम बिजली ,
कम बिजली प्रोसेसर । एक विशिष्ट IoT सेंसर आजकल STM32L0 से युवा STM32L4 वर्ग के प्रोसेसर पर बनाया गया है, और बस मेमोरी और प्रोसेसिंग पावर (साथ ही रेडियो चैनल, ऊपर देखें) में सीमाओं के कारण जटिल प्राधिकरण, प्रमाणीकरण और अन्य सुरक्षा योजनाओं को नहीं खींच सकता है। । इसके अलावा, कम बिजली का मतलब हवा में फर्मवेयर अपडेट करने के लिए आवश्यक "अतिरिक्त" मेमोरी की कमी भी हो सकती है - अविश्वसनीय रेडियो चैनल का अर्थ है फर्मवेयर को "लाइव" फ्लैश में सीधे रोल करने की अक्षमता, और बाद में काम करने वाले फर्मवेयर के पुनर्लेखन के साथ एक अलग क्षेत्र में इसे सहेजने के लिए कोई मेमोरी नहीं हो सकती है। ।
और इस सब से अधिक, द्रव्यमान और सर्वव्यापीता अपने पंख फैलाती है - जो व्यवहार में इसका मतलब है कि उपकरणों तक पहुंच पर मालिक का कोई प्रभावी नियंत्रण नहीं है।
जब आपके घर में चार वाई-फाई उपकरण थे - एक राउटर, एक लैपटॉप और दो स्मार्टफोन - उन्हें खोने की समस्या बहुत तीव्र नहीं थी, क्योंकि उनमें से कोई भी एक फेंकने योग्य घटना नहीं थी।
जब आपके पास तीन या चार दर्जन स्मार्ट बल्ब, स्विच, तापमान सेंसर और आपके घर में शैतान है - तो आप सबसे अधिक संभावना है कि एक और जला हुआ कचरा या फिर एक पुराने प्रकाश बल्ब को कचरा के बिना भी यह सोचकर भेज देंगे कि यह आपकी फ्लैश में कुंजी को संग्रहीत करना जारी रखता है। अपने वाईफाई नेटवर्क से।
इसके अलावा, अगर हम अपार्टमेंट के पैमाने के बारे में बात नहीं कर रहे हैं, लेकिन कॉटेज साइट, होटल या कारखाने - आप भी IoT उपकरणों तक पहुंच को नियंत्रित नहीं करते हैं। कोई भी आपके प्रकाश बल्ब को अनसुना कर सकता है, उसमें से एक्सेस कुंजियों को निकाल सकता है और आधे घंटे में वापस पेंच कर सकता है - और आपने इसे नोटिस नहीं किया है।
उपकरणों को क्लोन किया जा सकता है। आप उपकरणों से चाबियाँ और प्रमाण पत्र पढ़ सकते हैं। संशोधित फर्मवेयर को उपकरणों पर अपलोड किया जा सकता है।
यहां सवाल यह नहीं है कि यह सब वाई-फाई राउटर के साथ नहीं किया जा सकता है - यह संभव है, निश्चित रूप से। यह समस्या मात्रा से गुणवत्ता में परिवर्तन है: IoT उपकरणों की संख्या में वादा किए गए घातीय वृद्धि के साथ, इस तरह के हमले सार्थक और साकार होते हैं। वास्तव में, आईपी कैमरों के साथ कहानी दोहराई जाती है - जबकि उनमें से कुछ थे, किसी ने भी नहीं सोचा था कि फर्मवेयर में एक ही छेद वाले कैमरे एक स्क्रिप्ट लिखने के लिए समझ में लाने के लिए पर्याप्त होंगे जो उन्हें एक विशालकाय बॉटनेट में इकट्ठा करता है जो गिटहाउंड को बाढ़ कर सकता है। ट्विटर।
यह कैसे समाप्त हुआ -
आप सभी जानते हैं ।
शास्त्रीय सूचना सुरक्षा में, यह माना जाता है कि अगर किसी हमलावर को संरक्षित डिवाइस तक पूर्ण भौतिक पहुंच मिली - ठीक है, सामान्य तौर पर, यह अंत नहीं है, लेकिन सब कुछ खराब है। इस संदर्भ में आईओटी में, "सब कुछ खराब है" - यह किसी के दुर्भावनापूर्ण कार्यों का परिणाम नहीं है, बल्कि सिस्टम की स्थायी और प्रारंभिक स्थिति है।
IoT में सुरक्षा मुद्दा कल का मुद्दा नहीं है। यह आज एक समस्या है। यदि आप इसे हल नहीं करते हैं, तो कल यह एक समस्या नहीं बल्कि एक आपदा बन जाएगा।
InoThings ++ में, अन्य चीजों के अलावा, एक शक के बिना, हम इस बारे में भी बात करना चाहते हैं - और यह कैसे डेवलपर को स्पष्ट करना है कि IoT पूरी तरह से नए खतरे मॉडल लाता है, और इसके बारे में क्या करना है, इसके बारे में बात करते हैं।
मैं कुछ रिपोर्ट पेश करूंगा।
आईओटी उपकरणों की सुरक्षा की समस्याओं पर एक परिचयात्मक रिपोर्ट और आईओटी के लिए नए खतरे विशिष्ट हैं, दोनों रूसी कानून और सिफारिशों के विश्लेषण के साथ - जो अभी तक जारी नहीं किए गए हैं - विदेशी संगठनों की -
NIST ,
ENISA ,
IIC और
अन्य (नामों के तहत लिंक) सहित न केवल लिंक, बल्कि प्रासंगिक दस्तावेजों के लिए - मैं वास्तव में, वास्तव में उन्हें पढ़ने की सलाह देता हूं यदि आपके पास IoT उपकरणों के विकास के साथ कुछ भी करना है)।
यह रिपोर्ट केवल इंटीग्रेटर्स और डेवलपर्स के लिए होनी चाहिए, जिन्होंने हाल ही में IoT बाजार में प्रवेश किया है और उन्हें अभी तक इसके संभावित परिणामों का पूरी तरह से एहसास नहीं हुआ है। यहां कोई विकल्प नहीं है - ये ऐसी चीजें हैं जिनके बारे में आप आसानी से नहीं जान सकते हैं, और अगर आप इसे आज नहीं समझते हैं, तो कल यह आपके और आपके व्यवसाय के लिए संकट में पड़ सकता है, जिसके लिए आपके पास तैयारी के लिए समय नहीं होगा।
यह बिल्कुल भी तकनीकी नहीं है, बल्कि एक महत्वपूर्ण रिपोर्ट भी है - कि अब हम आनंदित समय में जी रहे हैं, जब हर निर्माता अपने उपकरणों में फुसफुसा सकता है कि उसका दिल क्या चाहता है, और उसके लिए कुछ भी नहीं होगा।
अधिक सटीक रूप से, इस तथ्य के बारे में कि यह समय जल्द ही समाप्त हो जाएगा - सामान्य रूप से IoT और स्मार्ट उपकरणों से संबंधित विधायी परिवर्तनों की आवश्यकता परिपक्व हो गई है, और उद्योग अभी भी यहां अपना जीडीपीआर प्राप्त करेगा।
IoT सिस्टम की सुरक्षा के लिए पहला (आवश्यक, लेकिन पर्याप्त नहीं) कदम विश्वसनीय कोड लिख रहा है। इसकी विश्वसनीयता बढ़ाने का एक तरीका उद्योगों में विकसित मानकों का अनुपालन करना है जो कि IoT से दशकों पुराने हैं - उदाहरण के लिए, "ऑटोमोटिव" MISRA C कोड गुणवत्ता मानक।
MISRA C का अनुपालन और स्थिर कोड विश्लेषक का उपयोग, निश्चित रूप से, आपको पूर्ण विश्वसनीयता की गारंटी नहीं देता है - हालांकि, यह आपको काफी बड़ी संख्या में त्रुटियों से बचा सकता है, जो कि लापरवाह लापरवाही, कॉपी-पेस्ट और टाइपो से शुरू होता है। दुर्भाग्य से, विश्वसनीय कोड लिखने की प्रथा एम्बेडेड प्रोग्रामर के बीच बहुत खराब रूप से फैली हुई है - और मुझे उम्मीद है कि फिलिप अपने काम में इन प्रथाओं को लागू करने की कोशिश करने के लिए कम से कम कुछ सम्मेलन में उपस्थित लोगों को प्रेरित करेंगे।
कोड की विश्वसनीयता बढ़ाने का एक और तरीका यह है कि आप अपनी खुद की टांगों और टाइप सी भाषाओं के अन्य प्राकृतिक चयन पर शूटिंग को प्रोत्साहित करें, उन भाषाओं पर स्विच करें जिन्हें मूल रूप से अधिक विश्वसनीय माना गया था और आप बहुत सारी गलतियाँ करने की अनुमति नहीं देते हैं (मैं अब सभी जिम्मेदारी के रूप में लिखता हूं, कल दो बजे रात में, एक स्टैक ओवरफ्लो घटना को पकड़ना जो यादृच्छिक क्षणों में होता था, कभी-कभी सक्रिय फर्मवेयर ऑपरेशन के दसियों मिनट के बाद)।
हालांकि, संभावनाएं कितनी उज्ज्वल हैं, यह सिर्फ अस्पष्ट है और ऐसी भाषाओं का वर्तमान है - उदाहरण के लिए, एम्बेडेड सॉफ्टवेयर के क्षेत्र में भविष्य के मानक की भूमिका के लिए मुख्य उम्मीदवार रुस्त, अधिकांश अभ्यास करने वाले प्रोग्रामर श्रेणी के हैं "सुना, यह अच्छा है, लेकिन अब मेरे पास क्या है?" यह विशेष रूप से पारंपरिक प्रचार वक्र द्वारा पदोन्नत किया जाता है, जिसके साथ रस्ट यात्रा करता है - यह अपने शीर्ष पर चढ़ गया, खुले तौर पर गंभीर व्यावहारिक उपयोग के लिए तैयार नहीं किया गया, जिसके बाद कई डेवलपर्स ने बस अपने भविष्य के भाग्य की निगरानी करना बंद कर दिया।
तो, वास्तव में, रिपोर्ट में यूजीन आपको बताएगा कि रस्ट की वर्तमान किस्मत क्या है, इसे पहले से ही एक कामकाजी भाषा के रूप में क्यों माना जा सकता है और तंत्रिका अंत के कितने किलोमीटर तक आपको यहां और अभी इसका उपयोग करने के लिए खर्च करना होगा।
और अंत में, एक विशुद्ध रूप से व्यावहारिक रिपोर्ट - इसके बारे में जो आपके उपकरणों में विश्वास सुनिश्चित करने के लिए लेता है, यदि आपने उन्हें पहले से ही कुछ सौ टुकड़े स्थापित किए हैं, और साथ ही यह सुनिश्चित करने के लिए जानते हैं कि किसी भी समय कम से कम कई दर्जन अलमारियाँ में हैं, कि आप लॉक करना भूल गए और किसी भी क्षण किसी को भी मिल सकता है, फर्मवेयर को मर्ज करें और इसे उसी डिवाइस की तरह कुछ के साथ भरें, लेकिन आपका नहीं, बल्कि यह।
इसके अलावा, इन उपकरणों को नियंत्रित करने के लिए यह पर्याप्त नहीं है - उन्हें पहले तैनात किया जाना चाहिए, जो प्रमाणीकरण के दृष्टिकोण से भी एक नहीं बल्कि अनैतिक कार्य हो सकता है।
InoThings ++ 2019
इसलिए, इन सभी रिपोर्टों - साथ ही कई अन्य - को इनहोइटिंग ++ सम्मेलन में सुना जा सकता है, और जो विशेष रूप से मूल्यवान है वह केवल सुनने के लिए नहीं है, बल्कि उनके भाषणों को समाप्त करने और बातचीत जारी रखने के लिए उन्हें ले जाना है। वास्तव में, यह वही है जो प्रौद्योगिकी सम्मेलनों के लिए एक जीवंत यात्रा को मूल्यवान बनाता है - एक प्रदर्शन की रिकॉर्डिंग या एल्बम को एक स्लाइड शो पर आधे साल बाद देखना, आप उठ नहीं सकते हैं और उस पल के बारे में अधिक जानकारी के लिए पूछ सकते हैं, स्पीकर को एक कप कॉफी के साथ उसकी परियोजनाओं के बारे में अधिक विस्तार से बात करने के लिए ले जाएं, और इतने पर और आगे।
इसलिए, आइए।
वर्तमान में इस स्तर के सम्मेलन के लिए और इस तरह के वक्ताओं के साथ टिकटों की
कीमत 15 हजार रूबल है , और मेरा विश्वास करो - यह बहुत मामूली है।
