Perusahaan akhirnya khawatir tentang pengembangan perangkat IoT dan keamanannya

Perangkat IOT khas

IoT adalah segmen pasar yang sangat muda, hanya mencoba mengambil langkah serius pertama. Tentu saja, kamera IP dan sensor lainnya telah ada sejak lama, tetapi bahasa ini tidak sepenuhnya berubah menjadi "pintar". Pada saat yang sama, salah satu masalah pasar adalah, anehnya, siklus pengembangan, karena tidak hanya melibatkan pembuatan perangkat fisik, tetapi juga penulisan perangkat lunak untuknya dalam kondisi sumber daya yang sangat terbatas. Ini adalah 20 tahun yang lalu beberapa megabyte memori untuk aplikasi adalah norma. Sekarang, ketika optimalisasi konsumsi sumber daya untuk pengguna (dan pengembang) hanya mimpi, dan untuk kebocoran memori produk top-end atau kerakusan yang tidak realistis (hai, Chrome) adalah normal, bekerja dalam beberapa ratus kilobyte memori flash pada mikrokontroler hemat energi tampaknya seperti hukuman bagi pengembang tersebut, yang bertingkah buruk tahun lalu.

Tapi ini bukan satu-satunya masalah IoT. Bukan bagi saya untuk memberi tahu Anda bagaimana perangkat pintar yang tidak berdaya dalam hal keamanan informasi. Cerita tentang botnet dari kamera IP, lemari es dan oven microwave lainnya secara berkala muncul di media, mulai tahun 2015. Tambahkan ke "hidangan" ini juga "saus" dari speaker pintar dan asisten seperti Alexa atau Alice, dan kami mendapatkan gambar yang menakutkan; sejak jaman kamera China tanpa nama, produk dari Amazon dan Yandex telah memperoleh kemampuan untuk melakukan pemesanan online atas permintaan pemilik. Sebenarnya, fitur-fitur generasi baru dari perangkat IoT inilah yang membuat produsen perangkat lunak mulai bergerak, yaitu, untuk memperkuat garis pertahanan digital dari kotak pembicaraan kami dan sensor lainnya.


Itu hanya, karena biasanya terjadi dengan segala macam standar di segmen muda, tidak ada kesatuan pendekatan. Bagaimanapun, keamanan perangkat dapat dipastikan dengan setidaknya tiga cara: dengan memperluas platform cloud untuk mengelola IoT, memperkuat keamanan di tingkat firmware perangkat dan apa yang disebut Gateway-border, yaitu, melindungi jaringan IoT di tingkat router dan gateway intranet internal di persimpangan dengan dunia luar.

Setidaknya tiga perusahaan raksasa dari tiga segmen pasar TI sedang bekerja di area ini sekarang - mereka mencoba untuk menyederhanakan pengembangan dan secara bersamaan memperkuat batas-batas pertahanan digital.

Google SDK dan Platform Cloud

Apa yang dilakukan raksasa pencarian ketika ingin memasuki pasar? Ya, kita semua tahu betul tentang taktik "beli, salin yang terbaik, tutup", tetapi dalam kasus perangkat IoT, tidak banyak yang bisa dibeli. Di sini kita tidak memiliki orang, hanya perusahaan ARM yang naik di atas semua gurun ini dengan batu. Jadi Google melanjutkan jalur favorit kedua - membangun platform dengan penciptaan ekosistem di sekitarnya.

Google menyukai ekosistem mandiri. Jika kita menghilangkan kegagalan mencolok di jalur jejaring sosial, perusahaan menciptakan ekosistem dan membangun komunitas di sekitarnya dengan stabilitas yang patut ditiru. Dan yang paling penting, dia tahu bagaimana mendukung dan mengembangkannya. Tetapi sementara iklan tidak dapat ditampilkan melalui kulkas pintar dan perangkat IOT lainnya, ekosistem untuk Google dalam arah ini hanya menarik di masa depan yang jauh. Ini tentang platform Google Cloud IoT untuk memproses, menganalisis, dan menyimpan data dari perangkat pintar. Tetapi ini tidak cukup, karena data harus entah bagaimana dihapus dari perangkat. Mengingat kurangnya standar universal, ini tidak begitu sederhana.



Itulah sebabnya raksasa pencarian juga menyusuri jalur favorit ketiganya dan mengumumkan SDK sendiri untuk pengembang untuk perangkat IoT yang ditulis dalam Embedded C. Mengapa ini jalur khas ketiga untuk Google? Nah, jika raksasa pencarian tidak dapat "membeli dan menutup", atau dengan cepat membangun ekosistem, mengikatnya dengan layanan dan platform perusahaan yang ada dan memutar iklan, maka ia merilis alat pengembang. Dan menunggu Apalagi platform sebagai alat sudah ada, mengapa tidak merilis SDK?

Produk, yang disebut Cloud IoT Device SDK , dikembangkan bersama dengan ARM, Teknologi Microchip, dan NXP Semiconductors. Tentu saja, alat open source. Tujuan Cloud IoT Device SDK adalah untuk membantu dengan membuat prototipe dan menguji sebelum fase implementasi komersial produk. SDK mendukung berbagai perangkat mikrokontroler. Di antara kelebihan SDK, pengembangan ini berlaku untuk perangkat dengan konsumsi daya yang sangat rendah dan memori flash dari 25 kB. Secara umum, Venturebeat menulis bahwa pengembangannya ternyata menarik: SDK menyertakan kompatibilitas dengan OS realtime, seperti Zephyr, ARM Mbed OS, kernel FreeRTOS (dan banyak lainnya), kompatibilitas dengan sistem POSIX, ada API asinkron yang memungkinkan Anda untuk bekerja secara umum tanpa OS, dan ada juga perencana acara dan banyak lagi.

Sumber tersedia di GitHub .

Apa artinya ini bagi industri? Pertama-tama, Google sibuk dengan pekerjaan yang konsisten ke arah ini. Mengingat posisi dominan Android dan prospek untuk kendali jarak jauh perangkat melalui telepon pintar dan tablet, rilis SDK khusus hanyalah masalah waktu.



Fakta bahwa produsen seperti ARM terlibat dalam pekerjaan hanya menambah keyakinan bahwa kita tidak akan mendapatkan "krom" lain yang menghabiskan banyak sumber daya seperti yang diberikan, tetapi produk nyata yang bisa diterapkan yang memperhitungkan arsitektur spesifik IoT modern. Kehadiran platform penuh dan kemampuan untuk "berjalan di atas meja" dari solusi perangkat lunak sebelum implementasi komersial mereka hanya akan meningkatkan tingkat produk akhir dan mempercepat masuknya mereka ke pasar.

Keamanan Informasi Perangkat Cerdas

Sulit berbicara tentang sesuatu yang benar-benar tidak ada. Tidak peduli bagaimana karakter individu disalibkan bahwa IoT-Security itu nyata, kita semua mengerti bahwa perangkat IoT itu sendiri sama sekali tidak berdaya dan 100% bergantung pada jaringan yang terhubung dengannya. Sebenarnya, karena mengabaikan keamanan lokal, kami mengamati ratusan ribu botnet dari kamera IP beberapa tahun yang lalu. Misalnya, Anda dapat mengingat botnet Mirai .

Namun masalah ini perlu ditangani. Sebelumnya, saya menyebutkan Alexa dan Alice - dua madam ini secara serius melamar akses ke kartu kredit pemiliknya untuk memesan pizza atau barang lain untuk mereka dari Amazon, eBay atau Yandex.market.


Yandex.station

Di jalur perjuangan untuk keamanan, ARM kembali dicatat.

Proyek Bersertifikat Arsitektur Keamanan Platform , pada dasarnya, adalah program sertifikasi untuk perangkat IoT. PSA memiliki dua kegunaan: skema keamanan multi-level dan suite pengujian API untuk pengembang. ARM telah melibatkan beberapa laboratorium penelitian keamanan informasi independen untuk membuat PSA.

Proyek ini tumbuh dari sekumpulan dokumentasi tentang topik keamanan perangkat IoT, yang berisi rekomendasi untuk pengembangan. Namun, sekarang ada lebih banyak informasi dalam proyek tersebut, misalnya, model serangan siber, dokumentasi tentang analisis keamanan, sertifikasi arsitektur perangkat keras dan perangkat lunak perangkat dan banyak lagi.

Proyek keamanan IoT penting lainnya memiliki akar domestik, Kaspersky Lab terlibat di dalamnya. Perusahaan ini mengambil jalan yang paling jelas untuk dirinya sendiri dan menarik perhatian pada kerentanan intranet yang disebutkan sebelumnya di mana perangkat IoT ada. Cara paling efektif untuk melindungi jaringan adalah mempertahankan "gateway dengan dunia luar," yang merupakan apa yang dilakukan LC. Secara khusus, mereka sedang mengerjakan proyek Gateway IoT, yang merupakan firmware untuk router dan router. Seluruh proyek didasarkan pada KasperskyOS dan, tampaknya, adalah bagian dari itu.


Router dengan KasperskyOS on board

Menurut prospektus LC, produsen langsung router secara aktif terlibat dalam pengembangan, yang masuk ke kerjasama sadar dengan perusahaan untuk meningkatkan keamanan perangkat mereka bahkan pada tahap konveyor. Paling tidak, Advantech , produsen peralatan utama yang sebelumnya berkolaborasi dengan Laboratorium dalam kerangka proyek KICS for Networks untuk memastikan keamanan informasi di tempat kerja, harus berpartisipasi dalam pengembangan.

Alih-alih output

Dengan semua perhatian raksasa teknologi dan perusahaan lain terhadap segmen IoT, ARM adalah perusahaan paling aktif - produsen microchip, tempat semua kamera, sensor, dan perangkat hemat energi lainnya bekerja. Sekarang dominasi ARM dan keinginan perusahaan untuk membuat pasar lebih luas bermain di tangan semua orang: ia bersemangat bekerja sama dengan Google, menyewa laboratorium swasta untuk proyek-proyek tertentu dan mencoba dengan segala cara untuk mengembalikan kepercayaan masyarakat umum, yang cukup banyak dirusak oleh cerita yang sama dengan Mirai dan botnet lainnya.

Namun, ARM bukan keseluruhan IOT. Masih ada cukup pasar menengah dan terus terang produsen elektronik di pasar yang ingin meludahi Google SDK, pengujian keamanan dan alat verifikasi, dan sebagainya dan seterusnya. Kaspersky Lab sedang melakukan pekerjaan yang serius, dan saya yakin mereka tidak hanya bergerak menuju peningkatan keamanan router dan router. Tetapi ada satu masalah besar dalam pencapaian LC - fokusnya, pertama-tama, pada segmen industri, sebagaimana dibuktikan oleh proyek-proyek lain perusahaan dalam arah ini dan masa lalu bersama dengan Advantech. Selain itu, produk komersial semacam itu melibatkan pengiriman dalam satu paket bersama perangkat lunak perusahaan lainnya, yang tidak semua orang butuhkan.

Berapa banyak yang kita gunakan untuk Micro-USB Type-B sebagai standar konektor pengisian daya? Tetapi beberapa tahun kedamaian dan ketenangan tidak berlalu, ketika USB Type-C datang, dan Lightining tidak menghilang sama sekali. Dalam hal keamanan dan pengembangan perangkat IoT, kompromi diperlukan, sebanding hanya dengan pilihan "USB standar". Tetapi akan hampir mustahil untuk mencapai hal ini, karena sekarang IoT berkembang pada tingkat yang sedemikian rupa sehingga standar apa pun menjadi usang dalam satu atau dua tahun. Ada harapan bahwa ARM dan Google akan dapat mengkonsolidasikan pengembang di sekitar mereka dan mencapai standar tertentu dalam pengembangan dan keamanan informasi, tetapi kemudian konsumen akan menghadapi monopoli lain, yang sudah memuakkan.

Namun, dalam beberapa kasus, beberapa gerakan lebih baik daripada stagnasi. Karena IoT adalah pengembangan untuk banyak bidang pengetahuan terkait, misalnya, di bidang pengenalan ucapan, AI dan sebagainya. Dan teknologi ini adalah masa depan.