Comments 19
Жаль, если честно, что разработчики устройств не предусматривают антивирусы «из коробки». Все считают, что «таких устройств нигде нет, а наших не так уж и много, чтобы их заражать», либо в погоне за прибылью оставляют пункт «встроенный антивирус» в TODO, а потом разработчики малвари гребут эти миллиарды зелёных.
Ну правда, разве это не было логично, что IoT устройства будут заражаемы малварью? Я один только что что ли додумался?)
Ну правда, разве это не было логично, что IoT устройства будут заражаемы малварью? Я один только что что ли додумался?)
Итак, перед вами устройство. ARM. Процессор, едва тянущий основную нагрузку. Целых 16 _мега_байт оперативки, она же и диск, потому что на постоянный диск записывать сложно. ОС, если повезёт — Линукс, а то и нечто уровня DOS.
Какие антивирусные мероприятия вы предлагаете?
Какие антивирусные мероприятия вы предлагаете?
Не надо, пожалуйста, тащить Windows-подход ещё и в embedded.
Для борьбы с malware нужны своевременные обновления безопасности и контроль прав доступа и сложности паролей аккаунтов устройств. Антивирусы не нужны.
Для борьбы с malware нужны своевременные обновления безопасности и контроль прав доступа и сложности паролей аккаунтов устройств. Антивирусы не нужны.
К сожалению, пока что никто точно не знает, как можно остановить наступление Mirai на IoT устройства. Это не в состоянии сделать ни ФБР, ни хакеры-белошляпники.
…
Специалисты по инфобезу принимают усилия по ликвидации ботнета, сформированного Mirai. Но это им плохо удается.
Я не понимаю. Серьёзно) Ведь кто-то же разработывал концепцию своих устройств IoT? И кто-то разрабатывал конечный продукт? И вроде это делали не школьники и не студенты. Неужели взрослые дяди считают, что торчащее в сеть открытое и незащищённое устройство — это нормально? Из-за таких вот индивидов у меня телевизор не подключен не к интернету, а к компьютеру в качестве монитора)
Субъективно, это укладывается в обычную схему развития безопасности любой технологии: появляется что-то новое, оно свежо и наивно, никакой защиты. Потом продукт либо умирает, либо становится популярным, его начинают ломать. Если и на этом этапе он не умер, то безопасники что-то делают. Если вы посмотрите на какие-нибудь узкоспециализированные или непопулярные решения, то легко найдете много «детских» дыр.
UFO just landed and posted this here
Это подход, больше, менеджмента, чем технологов.
Почему на андроиде изначально нельзя было сделать встроенный удобный и понятный файрвол, например? Неужели на этапе разработки концепции системы это заняло прям уж так много человеко-часов? Да не верю! Когда берешь любое современное «удобное» решение, когда за тебя «подумали», то его приходится допиливать. И ладно я — как-то, что-то понимаю, порой дилетантски, но могу подкрутить. По крайней мере AFWall+ ставлю с пониманием зачем и как им пользоваться. Но ведь куча народу в этом просто не разбирается. Они и не обязаны по сути! А пом случается «к сожалению, пока что никто точно не знает, как можно остановить наступление»…
А у автопроизводителей вообще курам на смех косяки случаются. Разработка машины стоит баснословных денег, а пользователь может легко получить авто стоимостью за миллион рублей, которое свою информацию сливает в личный кабинет по открытому протоколу даже не удосужившись зашифровать логин/пароль (в начале года был тут случай у именитого производителя).
Вот такой вот подход ко всему и задрал уже.
Может стоит на рекламу поменьше тратить денег, а на мозги (интеллектуальная составляющая в управлении компанией) побольше?
Почему на андроиде изначально нельзя было сделать встроенный удобный и понятный файрвол, например? Неужели на этапе разработки концепции системы это заняло прям уж так много человеко-часов? Да не верю! Когда берешь любое современное «удобное» решение, когда за тебя «подумали», то его приходится допиливать. И ладно я — как-то, что-то понимаю, порой дилетантски, но могу подкрутить. По крайней мере AFWall+ ставлю с пониманием зачем и как им пользоваться. Но ведь куча народу в этом просто не разбирается. Они и не обязаны по сути! А пом случается «к сожалению, пока что никто точно не знает, как можно остановить наступление»…
А у автопроизводителей вообще курам на смех косяки случаются. Разработка машины стоит баснословных денег, а пользователь может легко получить авто стоимостью за миллион рублей, которое свою информацию сливает в личный кабинет по открытому протоколу даже не удосужившись зашифровать логин/пароль (в начале года был тут случай у именитого производителя).
Вот такой вот подход ко всему и задрал уже.
Может стоит на рекламу поменьше тратить денег, а на мозги (интеллектуальная составляющая в управлении компанией) побольше?
Без рекламы мозгам кушать нечего будет.
> отдельные инфицированные устройства тановится легче отследить.
Бинго. Отследите и заставьте производителей вернуть за них деньги. Потому что они и так все известны.
Производители потребительских роутеров сознательно закладывают в них бекдоры. Три раза в год эти бекдоры находят, и выходят обновления с нововыми бекдорами. При этом обновляются, понятное дело, далеко не все устройства.
Вопиющее пренебрежение безопасностью — это сознательная диверсия. Надеюсь mirai заставит пересмотреть законодательство в плане ответственности производителя устройства за его безопасность. Ну или хакером надоест действовать намёками и они окирпичат удалённо миллион устройств.
Бинго. Отследите и заставьте производителей вернуть за них деньги. Потому что они и так все известны.
Производители потребительских роутеров сознательно закладывают в них бекдоры. Три раза в год эти бекдоры находят, и выходят обновления с нововыми бекдорами. При этом обновляются, понятное дело, далеко не все устройства.
Вопиющее пренебрежение безопасностью — это сознательная диверсия. Надеюсь mirai заставит пересмотреть законодательство в плане ответственности производителя устройства за его безопасность. Ну или хакером надоест действовать намёками и они окирпичат удалённо миллион устройств.
> Вопиющее пренебрежение безопасностью — это сознательная диверсия
Извините, но доказать "вопиющее пренебрежение безопасностью" вам не удастся, если нет чётко прописанной ТБ. Причём это справедливо в любой стране, не только в России.
Если вы предлагаете государственное регулирование разработки и сертификацию прошивок для IoT, то, во-первых, подумайте ещё раз, во-вторых, это всё равно не поможет, потому что Китай не будет заниматься этим регулированием, а прочие страны, добавив к цене устройства ещё и стоимость соответствующего аудита ИБ, потеряют в конкурентоспособности по соотношению цена/видимое качество. Продать IP-камеру или микроволновку на 50 долларов дороже под предлогом, что она более безопасна, вам будет очень сложно, проверено.
> mirai заставит пересмотреть законодательство в плане
> ответственности производителя устройства за его безопасность
Это породит сотни китайских производителей-«однодневок», ничего более.
Извините, но доказать "вопиющее пренебрежение безопасностью" вам не удастся, если нет чётко прописанной ТБ. Причём это справедливо в любой стране, не только в России.
Если вы предлагаете государственное регулирование разработки и сертификацию прошивок для IoT, то, во-первых, подумайте ещё раз, во-вторых, это всё равно не поможет, потому что Китай не будет заниматься этим регулированием, а прочие страны, добавив к цене устройства ещё и стоимость соответствующего аудита ИБ, потеряют в конкурентоспособности по соотношению цена/видимое качество. Продать IP-камеру или микроволновку на 50 долларов дороже под предлогом, что она более безопасна, вам будет очень сложно, проверено.
> mirai заставит пересмотреть законодательство в плане
> ответственности производителя устройства за его безопасность
Это породит сотни китайских производителей-«однодневок», ничего более.
Однодневки — это одно из решений. Второе решение — переиспользование интеллектуального труда. Вместо тысячи видов устройств с багнутыми прошивками останется десяток с гораздо большим тиражом и меньшим количетвом ошибок.
> Если вы предлагаете государственное регулирование разработки и сертификацию прошивок для IoT
Не обязательно сертификацию. Можно ввести ответственность за эксплуатацию. Рисуй что хочешь в прошивке, но если налажаешь, то тебе придётся выкупать партию обратно.
> Если вы предлагаете государственное регулирование разработки и сертификацию прошивок для IoT
Не обязательно сертификацию. Можно ввести ответственность за эксплуатацию. Рисуй что хочешь в прошивке, но если налажаешь, то тебе придётся выкупать партию обратно.
Ну вот Android переиспользуется в хвост и в гриву, а толку? В 2016 году вывод средств со счёта через банк-клиент на взломанном личном смартфоне стал чуть ли не самым популярным видом воровства в электронной банковской сфере. Проблема же не в том, сколько в прошивке багов интегрально, а в том, как быстро они исправляются и как часто обновляется устройство. То есть это опять же OPEX, который китайские производители нести не будут, а все остальные из-за этого не смогут.
Ответственность за эксплуатацию ровно так же нереализуема из-за однодневок, и ещё вдобавок крайне сложно формализуема. Баги были, есть и будут, ни один производитель не согласится подписаться под их отсутствием, либо будет делать полный аудит и статический анализ кода, что кратно удорожит конечное устройство и сделает его неконкурентоспособным.
Если прописывать в законе обязанность производителя выпускать своевременные обновления, то нужно будет согласовывать временные окна (типа, не более 8 часов [4? 10? 24? а если выходные и праздники? а как там с ТК?] с момента публикации данных об уязвимости, причём публикации на каком-то официальном ресурсе — не даркнет же в закон вписывать? а на чьи деньги содержать официальный ресурс, на отчисления с производителей? опять вырастает OPEX по сравнению с китайцами), вводить ответственность потребителя за несвоевременное обновле ой, да ладно, смысл продолжать, вы уже сами, наверное, в это перестали верить.
Ответственность за эксплуатацию ровно так же нереализуема из-за однодневок, и ещё вдобавок крайне сложно формализуема. Баги были, есть и будут, ни один производитель не согласится подписаться под их отсутствием, либо будет делать полный аудит и статический анализ кода, что кратно удорожит конечное устройство и сделает его неконкурентоспособным.
Если прописывать в законе обязанность производителя выпускать своевременные обновления, то нужно будет согласовывать временные окна (типа, не более 8 часов [4? 10? 24? а если выходные и праздники? а как там с ТК?] с момента публикации данных об уязвимости, причём публикации на каком-то официальном ресурсе — не даркнет же в закон вписывать? а на чьи деньги содержать официальный ресурс, на отчисления с производителей? опять вырастает OPEX по сравнению с китайцами), вводить ответственность потребителя за несвоевременное обновле ой, да ладно, смысл продолжать, вы уже сами, наверное, в это перестали верить.
Это решается просто. Декриминализуем вирусы и прочие вредоносные программы. Риски и ответственность ложатся на пользователя целиком. Государство помогает только информированием.
При ддос атаке ботнетов пострадавшая сторона запускает вирус и окирпичивает нападающие устройства.
Ставить себе ненадёжного китайца выйдет себе дороже. Страховка дороже выйдет, и не важно страховая этим занимается или ты сам покрываешь риски.
При ддос атаке ботнетов пострадавшая сторона запускает вирус и окирпичивает нападающие устройства.
Ставить себе ненадёжного китайца выйдет себе дороже. Страховка дороже выйдет, и не важно страховая этим занимается или ты сам покрываешь риски.
> Декриминализуем вирусы
Ахххаххаххаха ох.
Мне это отдалённо напоминает финал замечательного рассказа Роя Аксёнова:
Ахххаххаххаха ох.
Мне это отдалённо напоминает финал замечательного рассказа Роя Аксёнова:
В полном отчаянии король отменил все налоги и приказал своим подданным по первому требованию предоставлять уполномоченным лицам любые товары и услуги.То есть, например, если с вашей IP-камеры почту Клинтон взломают, вам сидеть пожизненно по делу о госизмене? Да люди просто повыкидывают эти камеры и всё. Или, в худшем случае, реально вас на вилы поднимут.
Добром это кончиться не могло. В тот же день из столицы уехало двадцать семь тысяч человек. На следующий — сбежали все, кто нашел нужным сбежать. Оставшиеся в городе немногочисленные хмурые личности похватали неприятного вида ржавые орудия умерщвления и начали стекаться к королевской резиденции.
К сожалению, не вижу тут другого выхода, кроме беспощадных штрафов и отключений всех подряд, по всей цепочке. Т.е. при наличии DDoS'а фиксируем, из подсетей каких провайдеров он идёт, и налагаем на них реальные, многомиллионные штрафы. Те охреневают, ищут конкретные ip, с которых всё это идёт, блокируют их и штрафуют их владельцев. Те в свою очередь охреневают и перенаправляют штраф производителю. Вот только тогда эти уроды и будут чесаться. Ибо сейчас им совершенно наплевать на безопасность — денег она не приносит, в отличии от продаж, и только всё усложняет. Но я вполне понимаю, что всё это вряд ли будет осуществлено. Так что нужно готовиться к тому, что всё больше и больше ресурсов будут атакованы и недоступны, а подавляющая часть передающихся данных скоро будет паразитным мусором.
Нереально.
В данный момент ни провайдер, ни физическое лицо, ни производитель не могут отвечать по закону за злонамеренные действия неустановленных третьих лиц. Изменение этого положения не решит проблему, но откроет большой спектр перспектив для злоупотребления правом и коррупции, поскольку в ПО были, есть и будут баги, и в том числе уязвимости, это неизбежно.
Если обязать производителей выпускать ПО без багов и уязвимостей, то стоимость вашего телевизора вырастет в 2-3 раза, при этом на рынке останутся и дешёвые варианты — от китайских фирм-«однодневок» с уставным капиталом 100 евро, которые будут выпускать телевизоры по 2 месяца и банкротиться при первом же иске.
Если ввести ещё и обязательную сертификацию и аудит безопасности этих телевизоров, то они начнут стоить столько, что проще IoT законодательно просто запретить, результат будет тот же, а труда будет намного меньше.
В данный момент ни провайдер, ни физическое лицо, ни производитель не могут отвечать по закону за злонамеренные действия неустановленных третьих лиц. Изменение этого положения не решит проблему, но откроет большой спектр перспектив для злоупотребления правом и коррупции, поскольку в ПО были, есть и будут баги, и в том числе уязвимости, это неизбежно.
Если обязать производителей выпускать ПО без багов и уязвимостей, то стоимость вашего телевизора вырастет в 2-3 раза, при этом на рынке останутся и дешёвые варианты — от китайских фирм-«однодневок» с уставным капиталом 100 евро, которые будут выпускать телевизоры по 2 месяца и банкротиться при первом же иске.
Если ввести ещё и обязательную сертификацию и аудит безопасности этих телевизоров, то они начнут стоить столько, что проще IoT законодательно просто запретить, результат будет тот же, а труда будет намного меньше.
Sign up to leave a comment.
Сторонние разработчики добавляют «глупые» функции в исходный код Mirai