Comments 14
Ключевое (жирный цвет — мой):
Распечатать и в рамочку…
Мне кажется в 90% случаев так… :((
По словам ИБ-эксперта столь серьезная ситуация с защищенностью устройств стала следствием сложившейся рыночной ситуации. На данный момент пользователи не осознают важность защиты покупаемых ими устройств и, соответственно, не готовы платить за это дополнительные деньги. В свою очередь, производители не заинтересованы в повышении осведомленности пользователей о возможных последствиях такого подхода — это повлечет для них дополнительные затраты.
Распечатать и в рамочку…
Мне кажется в 90% случаев так… :((
+1
Я лично, когда работал в W3C, много раз пытался поднять эту тему. Производители IoT делают шокирующие вещи. Они вполне способны в одной и той же презе написать на одном слайде «всё железо сейчас дешёвое, поэтому мы можем впихнуть полноценный комьпютер во что угодно», а на другом — «в силу фигового железа мы не можем сделать нормальные секьюрные протоколы, поэтому считаем нормальным передачу нешифрованного сигнала и аутентификацию по принципу ‘доверенная сеть’».
Увы, всем пофигу.
Увы, всем пофигу.
+21
Безопасность появляется в тот момент, когда устройство начинает использоваться людьми высокой квалификации.
Как показывает опыт, вся «безопасность» современных криптостойких соединений — фиговый листок, который в лучшем случае прикроет вас от любознательного соседа (и то, если тот — не хакер с опытом работы в каком-нибудь АНБ).
Все мы, как мне кажется, в первую очередь защищены «принципом неуловимого джо».
Как показывает опыт, вся «безопасность» современных криптостойких соединений — фиговый листок, который в лучшем случае прикроет вас от любознательного соседа (и то, если тот — не хакер с опытом работы в каком-нибудь АНБ).
Все мы, как мне кажется, в первую очередь защищены «принципом неуловимого джо».
0
Безопасность — это всего лишь отношение цены атаки к полученному профиту. Если для взлома нужен хакер с опытом работы в АНБ и ботнет — то это очень неплохая безопасность.
Сейчас стоимость атаки === 0. Даже делать ничего не надо, всё уже сделано за нас тем же Shodan-ом. И это в первую очередь вина производителя, который вообще ничего не делает для того, чтобы этот цена стала ненулевой.
Я бы даже сказал, что проблема не в жадности — всё-таки маржа на умных девайсах сейчас приличная, от внедрения https чай не разорятся — а просто в тупости. В индустрию приходят люди, которые вообще не понимают, что такое безопасность, и не считают нужным нанять специалиста (да-да, вот того хакера с опытом работы в АНБ) для разработки своих продуктов.
Сейчас стоимость атаки === 0. Даже делать ничего не надо, всё уже сделано за нас тем же Shodan-ом. И это в первую очередь вина производителя, который вообще ничего не делает для того, чтобы этот цена стала ненулевой.
Я бы даже сказал, что проблема не в жадности — всё-таки маржа на умных девайсах сейчас приличная, от внедрения https чай не разорятся — а просто в тупости. В индустрию приходят люди, которые вообще не понимают, что такое безопасность, и не считают нужным нанять специалиста (да-да, вот того хакера с опытом работы в АНБ) для разработки своих продуктов.
+10
Я, в общем и целом, с вами согласен. Кроме одного нюанса. И выскажу я сейчас, возможно, не самую популярную точку зрения, но всё же надеюсь на понимание.
Если вы не закрыли жалюзи на окнах в вашей квартире, то подсматривающий, конечно, нарушает вашу приватность, но… вы же не будете всерьез обвинять фирму-производителя жалюзей за то, что не обеспечила достаточную безопасность, так ведь? Но почему-то когда речь заходит о камерах наблюдения, то в их небезопасности виноваты производители.
Почему так?
Всякий раз, когда речь заходит о высокотехнологичном устройстве, пользователь представляется в роли этакого недееспособного идиотика, который слишком глуп, чтобы защитить себя и который ставит Эту Умную Штуку в своей спальне в надежде, что на адрес 123.45.67.89, ведущий прямиком в его постель, заглянет только он сам и его мама. То есть человек:
1. Либо не прочитал инструкцию к прибору, где всё написано черным по белому (надеюсь, таковая инструкция была приложена, если нет — то виновата действительно компания-производитель),
2. либо просто наплевал на то, кто может его увидеть сквозь «незашторенное окно». А то, что вуайерист не в соседней высотке, а на другом конце шарика — ничего страшного, какая разница.
Я считаю, что если вы ставите камеру в свой дом, то вы должны сами быть ответственными за security. Это жестоко, но справедливо. А производитель должен по умолчанию настраивать наиболее удобный режим трансляции. Чтобы человек, который ставит камеру на улице в своем дворе, и которому вообще наплевать, кто его двор увидит, мог просто поставить ее и включить.
Я не закончил выше свою мысль и меня, очевидно, не поняли. Разумеется, взлом имеет цену и в данном случае эта цена по неприятности оказалась равной 0. Но главная причина небезопасности — в повальной безграмотности населения. Я в свое время слышал от одного профессионального сисадмина, что если бы хотя бы 30% населения умели настраивать брендмауэр на роутере (и помогла с настройкам своим близким и знакомым), то такого понятия, как «ботнет» просто не существовало бы.
Здесь то же самое, я считаю.
Если вы не закрыли жалюзи на окнах в вашей квартире, то подсматривающий, конечно, нарушает вашу приватность, но… вы же не будете всерьез обвинять фирму-производителя жалюзей за то, что не обеспечила достаточную безопасность, так ведь? Но почему-то когда речь заходит о камерах наблюдения, то в их небезопасности виноваты производители.
Почему так?
Всякий раз, когда речь заходит о высокотехнологичном устройстве, пользователь представляется в роли этакого недееспособного идиотика, который слишком глуп, чтобы защитить себя и который ставит Эту Умную Штуку в своей спальне в надежде, что на адрес 123.45.67.89, ведущий прямиком в его постель, заглянет только он сам и его мама. То есть человек:
1. Либо не прочитал инструкцию к прибору, где всё написано черным по белому (надеюсь, таковая инструкция была приложена, если нет — то виновата действительно компания-производитель),
2. либо просто наплевал на то, кто может его увидеть сквозь «незашторенное окно». А то, что вуайерист не в соседней высотке, а на другом конце шарика — ничего страшного, какая разница.
Я считаю, что если вы ставите камеру в свой дом, то вы должны сами быть ответственными за security. Это жестоко, но справедливо. А производитель должен по умолчанию настраивать наиболее удобный режим трансляции. Чтобы человек, который ставит камеру на улице в своем дворе, и которому вообще наплевать, кто его двор увидит, мог просто поставить ее и включить.
Я не закончил выше свою мысль и меня, очевидно, не поняли. Разумеется, взлом имеет цену и в данном случае эта цена по неприятности оказалась равной 0. Но главная причина небезопасности — в повальной безграмотности населения. Я в свое время слышал от одного профессионального сисадмина, что если бы хотя бы 30% населения умели настраивать брендмауэр на роутере (и помогла с настройкам своим близким и знакомым), то такого понятия, как «ботнет» просто не существовало бы.
Здесь то же самое, я считаю.
+6
На эту тему я высказался сто лет назад: habrahabr.ru/post/102627
Предпринимаемые меры безопасности должны быть адекватны цене ошибки. Мост без перил — хреновая затея.
Предпринимаемые меры безопасности должны быть адекватны цене ошибки. Мост без перил — хреновая затея.
+4
В этом — согласен. Но тут же не «мост без перил». Тут — «замок от честного человека». Это — немного другое, всё же.
+1
Смотрел https://t.co/tTLo34dEzu
Столь малый уровень защищённости видеокамер от просмотра я раньше только в сериале #PersonOfInterest видел.
— Mithgol (@FidonetRunes) 25 января 2016
От ситуации https://t.co/863c280k8p должны волосы дыбом стать на голове, должны рождаться мысли о заговоре спецслужб, искусственных разумов.
— Mithgol (@FidonetRunes) 25 января 2016
-11
Без проплаченного аккаунта не оценить.
+1
Сложно сгенерировать пароль и распечатать его на стикере перед упаковкой товара?
И сделать кнопочку reset (утопленную в корпус), которая будет сбрасывать пароль, открывать админку, которая первым делом будет — та-да! — генерировать новый пароль.
2 простых действия. Этим можно будет отсечь 90% таких историй.
И сделать кнопочку reset (утопленную в корпус), которая будет сбрасывать пароль, открывать админку, которая первым делом будет — та-да! — генерировать новый пароль.
2 простых действия. Этим можно будет отсечь 90% таких историй.
+4
0
Sign up to leave a comment.
Что не так с безопасностью в Интернете Вещей: Как Shodan стал «поисковиком спящих детей»