Comments 59
Одному мне видится очевидный способ защиты от подобных атак: не покупать умные лампочки?
А когда в продаже иных не останется?
Вангую любительские прошивки типа openwrt, делающие умные лампочки глупыми. Внезапно окирпичивание превратится в фичу. Ну, если там есть аппаратные цепи, включающие свет при наличии фазы, если не поступило иных указаний от контроллера — в противном случае, всё же, какая-то минимально работающая прошивка понадобится :)
> если там есть аппаратные цепи, включающие свет при наличии фазы, если не поступило иных указаний от контроллера
Если бы я делал умные лампочки — я бы делал их так (сохранение базовой функциональности в случае отказа/сбоя контролера). Впрочем, я бы вряд ли стал делать умные лампочки — гораздо более интересной перспективой (с точки зрения DDoS-аттак в том числе) выглядит делать умными отдельные светоизлучающие диоды :) Чипы, использующиеся в кредитках, вполне подходят и по энергопотреблению, и по размерам.
Если бы я делал умные лампочки — я бы делал их так (сохранение базовой функциональности в случае отказа/сбоя контролера). Впрочем, я бы вряд ли стал делать умные лампочки — гораздо более интересной перспективой (с точки зрения DDoS-аттак в том числе) выглядит делать умными отдельные светоизлучающие диоды :) Чипы, использующиеся в кредитках, вполне подходят и по энергопотреблению, и по размерам.
Представляете новости: тестовый стенд для светодиодной ленты случайно заддосил маленькую страну!
>я бы делал их так: сохранение базовой функциональности в случае отказа/сбоя контролера
Во первых это актуально и для смартфонов.
Сейчас все повыбрасывали старенькие надежные звонилки, полностью доверив свою жизнь смартам, а зря.
При любом сбое (а сбои там не редкость — это очень сложное устройство, с тоннами глюков и ошибок, что должно быть знакомо владельцам полноценных компьютеров), смартфон превращается в бесполезный кусок пластика: батарейка есть, модуль связи есть, есть экран и сенсор, есть отдельные аппаратные контроллеры каждой из этих частей, а… ничего не работает. Нонсенс!
Поленились прикрутить дополнительный простенький контроллер, который все это свяжет в обход главного процессора и ОС. В итоге без ОС смарт не может звонить — глупо, но факт.
Таковы реалии общества потребления: внешние атрибуты важнее функционала. Смартфон не должен надежно обеспечивать связь, это не телефон нет, ему важнее рисовать картинки, а телефон — так, незначительная опция.
Подобная практика сегодня норма — никто на рынке не предусматривает запасного плана, даже если есть возможность, до упора экономят на разработке.
Устройство либо работает в штатном режиме, либо не работает вовсе — беги в магазин менять. Никаких аварийных режимов работы, никаких нештатных ситуаций не предусмотрено.
Остался ты за городом в поле со сломанным транспортом, захотел вызвать помощь и обнаружил что смарт внезапно глюканул — сам дурак.
Надежной связи тебе никто не обещал — для связи надо было брать простенькую звонилку, которая работает пока в батарейке есть энергия.
Теперь же выкручивайся, если сможешь. А ведь иногда от связи в прямом смысле зависит жизнь…
Ну а во вторых конкретно в этом с лучае это к лампочкам это неприменимо. Контроллер там как раз работает без сбоев, и даже управляет лампочкой.
Там проблема именно в удаленном обновлении прошивки — это солидная такая дыра в безопасности.
Как не шифруйся, но интерфейс торчит наружу, и рано или поздно, но его кто-то использует.
Самый надежный и правильный вариант — этого интерфейса наружу торчать не должно. Если и нужна возможность обновлений, то интерфейс должен быть с локальным доступом — например чтобы для обновления лампочку нужно было выкрутить и вкрутить в программатор, или подключить через отдельный разьем на корпусе (например приложить двумя гвоздиками к пластине программатора).
Выключатель тоже небезопасен — он ограничивает время доступа, но никто не гарантирует, что в то время, когда обновление разрешено, оно не скачается по воздуху с зараженного устройства.
Есть еще вопрос необходимости обновлений — много довольно сложных устройств, предназначенных для такого же режима работы (поставил и забыл) вообще не предусматривают обновлений прошивки. Никак вообще. Можно только перешить весь кристалл, если его выпаять, либо иногда оставляют незапаянный uart.
Если устройство исправно — оно служит штатно, не нуждаясь в обновлениях. Если неисправно — обменивается на исправное, а у неисправного обновление производится на заводе, если его решат повторно вернуть в продажу.
Зачем обновления лампочке — большой вопрос. Функционала там почти нет.
Ну и традиционная ошибка — используют свои протоколы и системы шифрования.
Если требуется надежное шифрование — оно не должно быть своим. Нужно использовать открытые методы, для них гарантируется определенная криптостойкость, они тысячи раз проверены, их сильные и слабые стороны известны.
В любом случае эту лампочку не спасет даже правильное шифрование: ее ресурсы очень ограничены, архитектура неудачна (интерфейс торчит наружу) — крайне просто заспамить лампочку запросами подключения и просто сделать недоступной для удаленного управления.
Как говорится не себе ни людям: если я не могу управлять — и ты тогда тоже не сможешь.
Во первых это актуально и для смартфонов.
Сейчас все повыбрасывали старенькие надежные звонилки, полностью доверив свою жизнь смартам, а зря.
При любом сбое (а сбои там не редкость — это очень сложное устройство, с тоннами глюков и ошибок, что должно быть знакомо владельцам полноценных компьютеров), смартфон превращается в бесполезный кусок пластика: батарейка есть, модуль связи есть, есть экран и сенсор, есть отдельные аппаратные контроллеры каждой из этих частей, а… ничего не работает. Нонсенс!
Поленились прикрутить дополнительный простенький контроллер, который все это свяжет в обход главного процессора и ОС. В итоге без ОС смарт не может звонить — глупо, но факт.
Таковы реалии общества потребления: внешние атрибуты важнее функционала. Смартфон не должен надежно обеспечивать связь, это не телефон нет, ему важнее рисовать картинки, а телефон — так, незначительная опция.
Подобная практика сегодня норма — никто на рынке не предусматривает запасного плана, даже если есть возможность, до упора экономят на разработке.
Устройство либо работает в штатном режиме, либо не работает вовсе — беги в магазин менять. Никаких аварийных режимов работы, никаких нештатных ситуаций не предусмотрено.
Остался ты за городом в поле со сломанным транспортом, захотел вызвать помощь и обнаружил что смарт внезапно глюканул — сам дурак.
Надежной связи тебе никто не обещал — для связи надо было брать простенькую звонилку, которая работает пока в батарейке есть энергия.
Теперь же выкручивайся, если сможешь. А ведь иногда от связи в прямом смысле зависит жизнь…
Ну а во вторых конкретно в этом с лучае это к лампочкам это неприменимо. Контроллер там как раз работает без сбоев, и даже управляет лампочкой.
Там проблема именно в удаленном обновлении прошивки — это солидная такая дыра в безопасности.
Как не шифруйся, но интерфейс торчит наружу, и рано или поздно, но его кто-то использует.
Самый надежный и правильный вариант — этого интерфейса наружу торчать не должно. Если и нужна возможность обновлений, то интерфейс должен быть с локальным доступом — например чтобы для обновления лампочку нужно было выкрутить и вкрутить в программатор, или подключить через отдельный разьем на корпусе (например приложить двумя гвоздиками к пластине программатора).
Выключатель тоже небезопасен — он ограничивает время доступа, но никто не гарантирует, что в то время, когда обновление разрешено, оно не скачается по воздуху с зараженного устройства.
Есть еще вопрос необходимости обновлений — много довольно сложных устройств, предназначенных для такого же режима работы (поставил и забыл) вообще не предусматривают обновлений прошивки. Никак вообще. Можно только перешить весь кристалл, если его выпаять, либо иногда оставляют незапаянный uart.
Если устройство исправно — оно служит штатно, не нуждаясь в обновлениях. Если неисправно — обменивается на исправное, а у неисправного обновление производится на заводе, если его решат повторно вернуть в продажу.
Зачем обновления лампочке — большой вопрос. Функционала там почти нет.
Ну и традиционная ошибка — используют свои протоколы и системы шифрования.
Если требуется надежное шифрование — оно не должно быть своим. Нужно использовать открытые методы, для них гарантируется определенная криптостойкость, они тысячи раз проверены, их сильные и слабые стороны известны.
В любом случае эту лампочку не спасет даже правильное шифрование: ее ресурсы очень ограничены, архитектура неудачна (интерфейс торчит наружу) — крайне просто заспамить лампочку запросами подключения и просто сделать недоступной для удаленного управления.
Как говорится не себе ни людям: если я не могу управлять — и ты тогда тоже не сможешь.
Останутся. Но в другой категории, как сейчас ламповые усилители. Кому такое окажется не по карману, будут делать «глупые» лампочки из сильно подешевевших к тому времени «умных»: заворачивать силовые ключи между блоком питания и светодиодами, разрывать цепь питания контроллера с WiFi-модулем. Исчезнувшие из продажи механические выключатели будут делать на коленке: корпус и механизм — 3D-печатью (которая тоже сильно подешевеет), контакты — из консервных банок.
Одному мне видится, что, судя по названию, лампочки заражаются не обычным вирусом, а сифилисом, СПИДом или гонореей?
Ну. Если есть вирус для лампочек то стоит начать продавать и антивирусы для лампочек. А маркетологи могут на таких лампочках писать — проверено антивирусом %name%. писать + антивирус для лампочек %name% в подарок.
Для устройств, подобных этим лампочкам, выход — возможность заблокировать обновление прошивки «по воздуху» или по сети, либо аппаратным переключателем, либо удалённо, без возможности разблокирования. Возможно имеет смысл законодательно требовать от производителей добавлять такую возможность во все подобные устройства.
Маркетологи погубят этот мир.
Это ведь их идея была отказаться от джамперов, которые разрешали перепрошить устройство.
Обновления будут сами ставится — пользователю ничего ненужно делать.
Хорошо что эти создания не подпускают к реакторам и ЯО. Иначе они бы там уже на улучшали.
Это ведь их идея была отказаться от джамперов, которые разрешали перепрошить устройство.
Обновления будут сами ставится — пользователю ничего ненужно делать.
Хорошо что эти создания не подпускают к реакторам и ЯО. Иначе они бы там уже на улучшали.
Хорошо если это была идея маркетологов — в этом случае есть шанс всё исправить после такой наглядной демонстрации их неправоты как этот случай. Хуже если это была идея ГБ-шников и разведчиков — если после перепрошивки умная лампочка становится «жучком», датчиком движения и ретранслятором для других устройств слежения, может в нужный момент ослепить противника, устроить DDOS-атаку, забить эфир, а умные чайники — одновременно устроить множество пожаров на нужном объекте или по всей территории нужной страны — вот он, дивный новый мир.
выход один, и по-моему очень логичный. Весь дом должен быть закрыт натом. Все приложения прямого контроля лампочки удалены за тотальной ненадобностью, а рулить ими должен центральный контроллер который нармально закрыт за фаерволлом и имеет надёжную авторизацию.
Это не поможет, если в радиусе 350 метров есть другие дома, в которых могут быть зараженные лампочки, перепрошитые по ZigBee из другого дома за 350 метров и так далее. Фундаментальная проблема уязвимости IoT-устройств с беспроводным управлением здесь проявилась в полной мере. При управлении по электросети таких проблем избежать на порядок проще.
Сильная криптография во все поля. Уникальные ключи для каждого аппарата, смена/добавление которых возможны только по проводам.
Сильная криптография не защитит от простого переполнения буфера, а оно встречается и в тех системах где к проблемам безопасности относились серьёзно, а не как Philips к проблеме взлома этих лампочек.
Но может защитить, например, от модификации прошивки.
Может защитить, а может и не защитить. Ведь переполнения буфера часто используют для того чтобы при помощи затирания стека передать выполнение коду в этом буфере, а он уже может и модифицировать прошивку. Есть и другие варианты. Кроме того специальные органы бдительно следят за тем, чтобы слишком сильная криптография не использовалась в массовых изделиях. Поэтому лучше всего не использовать радиоканал в устройствах, постоянно подключенных к электросети, а передавать данные по электросети. Ведь ZigBee,Z-wave и другие подобные протоколы не дают возможности связаться с устройствами напрямую со смартфона. А для управления лампочками достаточно низких скоростей обмена и самых простых и дешевых реализаций передачи данных по электросети.
У электросети есть свои заморочки. Там развязывающие трансформаторы нужны и т.д. да и не в лампочках дело. Сегодня лампочки, завтра — умное зеркало(а там нужна скорость), а городить огород очень не хочется, да и экономически не выгодно. Но имхо любая беспроводная связь в интернете вещей — это ДЫРИЩА… Даже если не получится взломать — всегда можно заддосить. Процессоры там слабые. И если вы заддосите лампочку — это одно, а если гаражные ворота или входной замок — это уже совершенно другое…
недавно тут видел статью про умный дом (очередную) у парней все хорошо вроде описано/продумано, но ни слова о безопасности...:(:(
недавно тут видел статью про умный дом (очередную) у парней все хорошо вроде описано/продумано, но ни слова о безопасности...:(:(
одним из решений может быть что-то типа PPOE — point to point over ethernet. т.е. каждая вещь подключается к серверу по защищенному каналу, что исключает перехват или подмену сообщения, но тут как минимум 3 проблемы:
— вычислительная мощность. если помигать лампочкой я могу attiny13, но поднять PPOE боюсь и середнячка stm32 может не хватить,
— опять пресловутая централизация — без сервера никуда, но сейчас и так все на MTTQ брокеров завязывают,
— дороговизна такого решения,
— проблему ДДОСа то вообще никак не решает, вычислительных мощностей даже на поток в 1Мбит/с большинству встраиваемых процессоров боюсь осилить будет сложно, выход ПЛИС или же SoC, но это совершенно другой ценовой диапазон…
А уж если захотеть навредить — Соната Р1 и др модификации и вся беспроводная связь превращается в тыкву…
— вычислительная мощность. если помигать лампочкой я могу attiny13, но поднять PPOE боюсь и середнячка stm32 может не хватить,
— опять пресловутая централизация — без сервера никуда, но сейчас и так все на MTTQ брокеров завязывают,
— дороговизна такого решения,
— проблему ДДОСа то вообще никак не решает, вычислительных мощностей даже на поток в 1Мбит/с большинству встраиваемых процессоров боюсь осилить будет сложно, выход ПЛИС или же SoC, но это совершенно другой ценовой диапазон…
А уж если захотеть навредить — Соната Р1 и др модификации и вся беспроводная связь превращается в тыкву…
В ipv6 всё будет без ната :)
Link-local адреса и фаервол — хорошее решение для ipv6!
когда-то Nat на самом деле был костылем, в связи с ограниченным диапазоном адресов и их дороговизной, но сейчас это инструмент безопасности, позволяющий скрыть от внешних глаз структуру внутренней сети
Будущее уже здесь :)
рубрика Internet of Shit
а слабо выпускать лампочки без возможности обновления прошивки?
Это чтобы при заражении их вирусом оставалось только расплющивать их молотком?
а откуда заражение возьмется в таком случае?
Если в лампочке есть прошивка/процессор/ОЗУ, то, найдя уязвимость в прошивке, будет и заражение. Но в этом случае уже без возможности исправить уязвимость.
Очень многие микроконтроллеры имеют возможность запретить перезапись памяти программ без возможности снять это запрет из самой программы. То есть даже если микроконтроллер имеет Фон-Неймановскую а не Гарвардскую архитектуру, и хакеру удалось заставить его исполнять загруженный в RAM код — заражение будет полностью устранено простым отключением питания.
> заражение будет полностью устранено простым отключением питания
Для этого нужно будет _одновременно_ отключить все аппараты в зараженной области (т.е. аппараты, имеющие возможность связи между собой). А если их там тысячи и тысячи? А если потом кто-то принесет с собой зараженный аппарат в эту область?
Не, тут нужно что-то принципиально иное — либо таки действительно везде Гарвардская архитектура, с физической невозможностью запуска чего-либо из ОЗУ (и потерей гибкости, связанной с обновлениями прошивки, плюс еще найденные уязвимости таки имеют место быть, хоть и не будет ботнета), либо, как я уже писал, криптография во все поля.
Для этого нужно будет _одновременно_ отключить все аппараты в зараженной области (т.е. аппараты, имеющие возможность связи между собой). А если их там тысячи и тысячи? А если потом кто-то принесет с собой зараженный аппарат в эту область?
Не, тут нужно что-то принципиально иное — либо таки действительно везде Гарвардская архитектура, с физической невозможностью запуска чего-либо из ОЗУ (и потерей гибкости, связанной с обновлениями прошивки, плюс еще найденные уязвимости таки имеют место быть, хоть и не будет ботнета), либо, как я уже писал, криптография во все поля.
Тогда концепция умной лампочки теряет смысл. Новые нескучные схемы моргания не залить.
Как лампочку назовёшь, так она и будет работать.
В случае массового заражения можно любой город иллюминацией превратить в филиал Упячки.
И эти люди на полном серёзе разрабатывают умные автомобили
Единственный способ заставить производителя задуматься, отправить malware с кодом стробоскопа в их офис.
Ну, умные автомобили — это не совсем то, что умные лампочки.
Но да, прежде чем дорожные знаки станут электронными, нужно продумать их модель безопасности, чтобы оставленный около дороги передатчик не мог вызвать глобальную аварию.
Так и представляю — передача сигнала от знака или маркера машине вместе с временной меткой и цифровой подписью этого самого знака.
Но да, прежде чем дорожные знаки станут электронными, нужно продумать их модель безопасности, чтобы оставленный около дороги передатчик не мог вызвать глобальную аварию.
Так и представляю — передача сигнала от знака или маркера машине вместе с временной меткой и цифровой подписью этого самого знака.
Концепция включил и забыл вылезла боком. потому что так проще для простых пользователей. Я вот одного не пойму, а чем им не угодил Wi-Fi зачем этот ZigBee при том ок, отключить автообновления допустим наверняка можно, а вот выключить этот ZigBee заставить его коннектится с кем попало это ведь уже никак
Именно так. Современные микромодули с Wifi отлично решат задачу обеспечения связью умных лампочек. Делают это, кстати, дешевле зигби, проблема которого изначально в наплевательском отношении к безопасности.
А вот Wifi в этом плане гораздо круче. Современные точки очень сложно задосить или атаковать стандартными способами. А если это jammer, убиващий в районе доступные диапазоны — на место очень быстро приедут ребята с пленгаторами.
Короче, кто-то, пооже, просто влепил туда 802.15.4 просто по причине того, что мог.
А вот Wifi в этом плане гораздо круче. Современные точки очень сложно задосить или атаковать стандартными способами. А если это jammer, убиващий в районе доступные диапазоны — на место очень быстро приедут ребята с пленгаторами.
Короче, кто-то, пооже, просто влепил туда 802.15.4 просто по причине того, что мог.
ZigBee, думаю, применили из-за его малой мгновенной излучаемой и потребляемой мощности. Насколько мне известно типичная излучаемая мощность для ZigBee, предназначенного для применения внутри помещений — 1мВт, а у Wifi — до 100мВт, разница в потребляемой мощности — соответствующая.
Возможно, но вы не учли некоторые аспекты.
1) Потребление в простое что у модулей ZigBee, что у WiFi примерно одинаковое.
2) Битрейт низкий, а, следовательно, и время передачи кадра у ZigBee в разы больше, чем у WiFi. Внутри помещения на дистанции в пару-тройку метров, как показывает практика, лучше использовать короткие сообщения на максимальной мощности и высоком битрейте, снижая эфирное время к минимуму, чем на низкой мощности пытаться с черепашей скоростью передать данные.
3) Если устройства работают в режиме ретранслятора или mesh сети — есть возможность передавать трафик через лампочку. В случае ZigBee это ограничивается служебными командами и точка, а с WiFi модулями можно передавать полезный трафик, например, изображение с дверного видеоглазка или домофона.
1) Потребление в простое что у модулей ZigBee, что у WiFi примерно одинаковое.
2) Битрейт низкий, а, следовательно, и время передачи кадра у ZigBee в разы больше, чем у WiFi. Внутри помещения на дистанции в пару-тройку метров, как показывает практика, лучше использовать короткие сообщения на максимальной мощности и высоком битрейте, снижая эфирное время к минимуму, чем на низкой мощности пытаться с черепашей скоростью передать данные.
3) Если устройства работают в режиме ретранслятора или mesh сети — есть возможность передавать трафик через лампочку. В случае ZigBee это ограничивается служебными командами и точка, а с WiFi модулями можно передавать полезный трафик, например, изображение с дверного видеоглазка или домофона.
2) Лампочке в для работы не нужен высокий битрейт — данных нужно передать всего несколько байт. А энергия, нужная для передачи кадра у WiFi, думаю, заметно больше. Поскольку источник питания маломощный — это означает увеличение размеров накопительного конденсатора.
3) Делать из лампочки с её источником питания объёмом около 1см2 ретранслятор видеопотока — не самое разумное решение. Наоборот, себестоимость лампочки нужно сделать как можно меньше, чтобы она как можно дольше смогла конкурировать на рынке.
3) Делать из лампочки с её источником питания объёмом около 1см2 ретранслятор видеопотока — не самое разумное решение. Наоборот, себестоимость лампочки нужно сделать как можно меньше, чтобы она как можно дольше смогла конкурировать на рынке.
Вы упорно гнете свою линию и даже не пытаетесь вдумчиво читать то что вам пишут.
Я в самом начале упомянул о том, что вайфай дешевле зигби.
В качестве дополнительных плюшек указал на сценарий (достаточно распространенный) когда высокая пропускна способность действительно необходима.
ОБъем лампочки совсем не 1см2, даже если бы написали 1 см^3, вы все равно пытаетесь выдать желаемое за действительое. Размеры реальных умных ламп кратно выше. И никаких проблем с размером конденсатора у них нет.
Касаемо энергии передачи — а вы не думайте, сначала почитайте и посчитайте сколько требуется энергии для передачи команды и на сколько цифры соотносятся.
Это будет уже нормальная дискуссия, а не интерпретация ваших фантазий на тему беспроводных сетей.
Я в самом начале упомянул о том, что вайфай дешевле зигби.
В качестве дополнительных плюшек указал на сценарий (достаточно распространенный) когда высокая пропускна способность действительно необходима.
ОБъем лампочки совсем не 1см2, даже если бы написали 1 см^3, вы все равно пытаетесь выдать желаемое за действительое. Размеры реальных умных ламп кратно выше. И никаких проблем с размером конденсатора у них нет.
Касаемо энергии передачи — а вы не думайте, сначала почитайте и посчитайте сколько требуется энергии для передачи команды и на сколько цифры соотносятся.
Это будет уже нормальная дискуссия, а не интерпретация ваших фантазий на тему беспроводных сетей.
Когда я написал про 1 см^3 — я имел ввиду совсем не общий внутренний объём лампы или AC/DC-источника питания, а максимальный объём, который может быть выделен под DC/DC или стабилизатор для питания контроллера и приёмопередатчика. При токе потребления Wi-Fi в режиме передачи 200..250мА и работе в режиме ретранслятора вписаться в такой объём может быть проблематично.
> вы не думайте, сначала почитайте и посчитайте
Я интуитивно прикинул, а вы сталкивались с этим на практике и уже вероятно точно посчитали — так приведите свою версию, возможно я вам поверю на слово. Ведь точный расчёт для сложных адаптивных алгоритмов передачи требует довольно много времени.
> вы не думайте, сначала почитайте и посчитайте
Я интуитивно прикинул, а вы сталкивались с этим на практике и уже вероятно точно посчитали — так приведите свою версию, возможно я вам поверю на слово. Ведь точный расчёт для сложных адаптивных алгоритмов передачи требует довольно много времени.
Там ничего сложного нет.
Для N стандарта это 135мА в режиме передачи.
Берем длину сообщения и делим на битрейт. Там получаем примерное время вещания в сети + 3% с большим запасом на преамбулу и служебные фреймы, хотя они и совсем короткие.
Разница в мощности передачи между зигби и вайфаем в дестки раз, а битрейт — в тысячи.
При каком угодно сценарии вайфай просто кладет зигби на лопатки по эффективности, превосходя на пару порядков.
Про безопасность я уже совсем молчу.
Для N стандарта это 135мА в режиме передачи.
Берем длину сообщения и делим на битрейт. Там получаем примерное время вещания в сети + 3% с большим запасом на преамбулу и служебные фреймы, хотя они и совсем короткие.
Разница в мощности передачи между зигби и вайфаем в дестки раз, а битрейт — в тысячи.
При каком угодно сценарии вайфай просто кладет зигби на лопатки по эффективности, превосходя на пару порядков.
Про безопасность я уже совсем молчу.
Sign up to leave a comment.
Вирус для умных лампочек заражает тысячи устройств за считанные минуты