Dispositivo IoT típicoA IoT é um segmento de mercado extremamente jovem, apenas tentando dar os primeiros passos sérios. É claro que as câmeras IP e outros sensores existem há muito tempo, mas o idioma não se mostra totalmente “inteligente”. Ao mesmo tempo, um dos problemas do mercado é, curiosamente, o ciclo de desenvolvimento, porque envolve não apenas a criação de um dispositivo físico, mas também a gravação de software para ele em condições de recursos extremamente limitados. Há 20 anos, alguns megabytes de memória para o aplicativo eram a norma. Agora, quando a otimização do consumo de recursos para usuários (e desenvolvedores) é apenas um sonho, e para vazamentos de memória de produtos de ponta ou gula irrealista (oi, Chrome) são normais, trabalhar em algumas centenas de kilobytes de memória flash em um microcontrolador com eficiência de energia parece ser uma punição para esses desenvolvedores, que se comportaram mal no ano passado.
Mas este não é o único problema de IoT. Não cabe a mim dizer como os dispositivos inteligentes são impotentes em termos de segurança da informação. Histórias sobre botnets de câmeras IP, geladeiras e outros fornos de microondas aparecem periodicamente na mídia, a partir de 2015. Adicione a esse "prato" também o "molho" de qualquer alto-falante e assistente inteligente, como Alexa ou Alice, e teremos uma imagem assustadora; desde a época das câmeras sem nome chinesas, os produtos da Amazon e da Yandex adquiriram a capacidade de fazer pedidos on-line a pedido do proprietário. Na verdade, foram esses recursos da nova geração de dispositivos de IoT que fizeram os fabricantes de software começarem a se mover, ou seja, para fortalecer as linhas de defesa digital de nossas caixas de fala e outros sensores.
É assim, como geralmente acontece com todos os tipos de padrões no segmento jovem, não há unidade de abordagem. Afinal, a segurança do dispositivo pode ser garantida de pelo menos três maneiras: expandindo a plataforma em nuvem para gerenciar a IoT, fortalecendo a segurança no nível do firmware do dispositivo e a chamada Gateway-border, ou seja, protegendo a rede IoT no nível do roteador e o gateway da intranet interna na junção com o mundo externo.
Pelo menos três empresas gigantes de três segmentos diferentes do mercado de TI estão trabalhando nessas áreas agora - elas estão tentando simplificar o desenvolvimento e simultaneamente fortalecer as fronteiras da defesa digital.
SDKs do Google e plataformas em nuvem
O que o gigante das buscas faz quando se trata de entrar no mercado? Bem, todos sabemos muito bem sobre as táticas "compre, copie o melhor e feche", mas no caso de dispositivos IoT, não há muito o que comprar. Aqui não temos pessoas, apenas a empresa ARM ergue-se acima de todo esse terreno baldio com uma pedra. Então, o Google seguiu o segundo caminho favorito - construir uma plataforma com a subsequente criação de um ecossistema ao seu redor.
O Google ama ecossistemas independentes. Se omitirmos as falhas flagrantes no caminho das redes sociais, a empresa cria ecossistemas e constrói comunidades ao seu redor com uma estabilidade invejável. E o mais importante, ela sabe como apoiá-los e desenvolvê-los. Mas, embora a publicidade não possa ser exibida por meio de geladeiras inteligentes e outros dispositivos de IoT, o ecossistema do Google nessa direção é interessante apenas em um futuro distante. Trata-se da plataforma
IoT do
Google Cloud para processamento, análise e armazenamento de dados de dispositivos inteligentes. Mas isso não foi suficiente, porque os dados devem ser de alguma forma removidos dos dispositivos. Dada a falta de um padrão universal, isso não é tão simples.
É por isso que o gigante das buscas também seguiu seu terceiro caminho favorito e anunciou seu próprio SDK para desenvolvedores de dispositivos IoT escritos no Embedded C. Por que esse foi o terceiro caminho típico para o Google? Bem, se o gigante das buscas não pode "comprar e fechar", ou construir rapidamente um ecossistema, vinculá-lo aos serviços e plataformas existentes da empresa e distorcer os anúncios, ele lança ferramentas de desenvolvedor. E esperando. Além disso, a plataforma como ferramenta já existe, por que não liberar o SDK?
O produto, chamado de
Cloud IoT Device SDK , foi desenvolvido em conjunto com ARM, Microchip Technology e NXP Semiconductors. Claro, a ferramenta de código aberto. O objetivo do Cloud IoT Device SDK é ajudar na criação de protótipos e testes antes da fase de implementação comercial do produto. O SDK suporta uma ampla gama de dispositivos de microcontrolador. Entre as vantagens do SDK, o desenvolvimento é aplicável a dispositivos com consumo de energia extremamente baixo e memória flash de 25 kB. Em geral, a
Venturebeat escreve que o desenvolvimento foi bom: o SDK inclui compatibilidade com sistemas operacionais em tempo real, como Zephyr, ARM Mbed OS, o kernel do FreeRTOS (e muitos outros), compatibilidade com sistemas POSIX, existe uma API assíncrona que permite trabalhar em geral sem um sistema operacional e também há um planejador de eventos e muito mais.
As fontes estão disponíveis no
GitHub .
O que isso significa para a indústria? Primeiro de tudo, o Google estava preocupado com um trabalho consistente nessa direção. Dada a posição dominante do Android e as perspectivas de controle remoto de dispositivos via smartphones e tablets, o lançamento de um SDK especializado era apenas uma questão de tempo.
O fato de fabricantes como a ARM estarem envolvidas no trabalho apenas aumenta a confiança de que não obteremos outro "cromo" que consome tantos recursos quanto for fornecido, mas um produto real e viável que leva em conta a arquitetura específica da IoT moderna. A presença de uma plataforma completa e a capacidade de “rodar sobre a mesa” das soluções de software antes de sua implementação comercial apenas aumentarão o nível dos produtos finais e acelerarão sua entrada no mercado.
Segurança da informação de dispositivos inteligentes
É difícil falar sobre algo que realmente não existe. Não importa como os caracteres individuais sejam crucificados de que a IoT-Security é real, todos nós entendemos que os dispositivos da IoT são absolutamente indefesos e são 100% dependentes da rede à qual estão conectados. Na verdade, devido ao desrespeito à segurança local, observamos centenas de milhares de botnets de câmeras IP há vários anos. Por exemplo, você pode recuperar a
botnet Mirai .
Mas esse problema precisa ser resolvido. Mencionei Alexa e Alice - essas duas madames reivindicam seriamente o acesso aos cartões de crédito de seus proprietários para pedir pizza ou outra bugiganga para eles na Amazon, eBay ou Yandex.market.
Yandex.stationNo caminho da luta pela segurança, a ARM foi novamente observada.
O projeto
Platform Security Architecture Certified é, em essência, um programa de certificação para dispositivos IoT. O PSA tem dois usos: esquemas de segurança multinível e suítes de teste de API para desenvolvedores. A ARM contratou vários laboratórios independentes de pesquisa em segurança da informação para criar o PSA.
O projeto simplesmente surgiu de um conjunto de documentação sobre o tópico segurança de dispositivos IoT, que continha recomendações para o desenvolvimento. No entanto, agora há muito mais informações no projeto, por exemplo, modelos de ataques cibernéticos, documentação sobre análise de segurança, certificação na arquitetura do hardware e software de dispositivos e muito mais.
Outro projeto de segurança da IoT notável tem raízes domésticas, a Kaspersky Lab está envolvida nele. Essa empresa seguiu o caminho mais óbvio e chamou a atenção para a vulnerabilidade mencionada anteriormente nas intranets nas quais existem dispositivos IoT. A maneira mais eficaz de proteger a rede é defender "gateways com o mundo exterior", que foi o que o LC fez. Especificamente, eles estão atualmente trabalhando no projeto IoT Gateway, que é um firmware para roteadores e roteadores. Todo o projeto é baseado no KasperskyOS e, aparentemente, é um subconjunto dele.
Roteador com o KasperskyOS a bordoDe acordo com os prospectos da LC, os fabricantes diretos de roteadores estão ativamente envolvidos no desenvolvimento, que entraram em cooperação consciente com a empresa para aumentar a segurança de seus dispositivos, mesmo no estágio do transportador. No mínimo, a
Advantech , um dos principais fabricantes de equipamentos com os quais o Laboratório colaborou anteriormente na estrutura do projeto KICS for Networks para garantir a segurança das informações no trabalho, deve participar do desenvolvimento.
Em vez de saída
Com toda a atenção de gigantes da tecnologia e outras empresas para o segmento de IoT, a ARM é a empresa mais ativa - uma fabricante de microchips, na qual todas essas câmeras, sensores e outros dispositivos de eficiência energética trabalham. Agora, o domínio da ARM e o desejo da empresa de ampliar o mercado estão nas mãos de todos: ela colabora com o Google, contrata laboratórios privados para projetos específicos e tenta, de todas as maneiras possíveis, restaurar a confiança do público em geral, o que foi bastante prejudicado pela mesma história com a Mirai e outras botnets.
No entanto, o ARM não é a IoT inteira. Ainda existem muitos fabricantes de eletrônicos no mercado e francamente desconhecidos no mercado que queriam cuspir no SDK do Google, ferramentas de teste e verificação de segurança e assim por diante. A Kaspersky Lab está fazendo um trabalho sério e tenho certeza de que não apenas eles estão avançando no sentido de aumentar a segurança de roteadores e roteadores. Mas há um grande problema nas realizações da LK - seu foco, antes de tudo, no segmento industrial, como evidenciado por outros projetos da empresa nessa direção e no passado conjunto com a Advantech. Além disso, esses produtos comerciais envolvem a entrega em um pacote com o restante do software da empresa, que nem todo mundo precisa.
Quanto fomos para o Micro-USB Tipo B como o conector de carregamento padrão? Mas alguns anos de paz e tranquilidade não passaram, quando o USB Type-C chegou e Lightining não desapareceu. Em termos de segurança e desenvolvimento de dispositivos IoT, é necessário um compromisso, comparável apenas com a escolha do "USB padrão". Mas será quase impossível conseguir isso, porque agora a IoT está se desenvolvendo a um ritmo que quaisquer padrões se tornam obsoletos em um ano ou dois. Há esperança de que a ARM e o Google consigam consolidar os desenvolvedores à sua volta e alcançar um certo padrão de desenvolvimento e segurança da informação, mas o consumidor enfrentará outro monopólio, que já é doentio.
No entanto, em qualquer caso, algum movimento é melhor que a estagnação. Porque a IoT é um desenvolvimento para muitos campos relacionados do conhecimento, por exemplo, no campo do reconhecimento de fala, IA e assim por diante. E essas tecnologias são o futuro.