Комментарии 23
Наверно 15 лет назад мы прикалывались на тему что злые хакеры ограбили холодильник подключившись через утюг - теперь это не кажется смешным
событию предшествовал судебный процесс между St. Jude Medical и исследовательской компанией Muddy Waters. Ранее она заявляла о существовании такой уязвимости, однако получила от производителя кардиостимуляторов лишь иск в суд.
Нашли уязвимость, за это их хотели засудить. В интересное время живем.
История старая, и не думаю. что скоро будут какие-то изменения. Для этого шаги должны делать и пользователи, и производители, и государство:
пользователи привыкнут к сетевой гигиене (перво-наперво не выставлять в сеть, особенно глобальную, то, что можно не выставлять. Прощай, распознавание голоса на серверах гигантов!),
производители найдут в себе совесть (однонаправленные каналы связи, независимая исполнительная и коммуникационные части, уход с полноценных ОС, традиционная инженерная культура разработки),
а государство с профессиональными сообществами доработают стандарты.
Я не думаю, что разработчиков будут когда-нибудь сажать за преступную небрежность: всё-таки дел в отношении производителей замков и сейфов немного, меньше, чем ограблений.
уход с полноценных ОС
Это утопия, слишком дорогая в реализации и сопровождении. В эту сторону уже врядли когда-то технология двинется.
Почему? RTOS не намного дороже и значительно секурнее. Вообще мне не очень понятно, зачем нужно то самое сопровождение. Как часто вы обновляете ПО микроволновки или холодильника? Достаточно четко очертить круг сценариев использования и проработать его, можно даже упороться по верификации. Конечно, всегда найдётся кадр, сваривший пельмени в чайники или погладивший носки принтером, но на него все будут смотреть как на идиота.
Вы в это верите? Какую сетевую гигиену можно ожидать от людей выставляющих всю свою жизнь в соц сети? От людей досихпор ведущихся на тупые банковские разводы?
Люди на столько привыкли к облачным сервисам, что перестали задумываться о том где и как хранятся их персональные данные.
Крупные корпорации отдали критически важную информацию в паблик облака. О какой сетевой гигиене может вообще идти речь?
Это зависит от уровня шумихи, связанной с уроном от выложенных данных, в идеале, конечно, если бы "обманутые" пользователи пытались судиться с облаком или иным пабликом. А если урона нет, то может всё хорошо? :) Про банковские разводы: это про "Ваша карта заблокирована, сообщите CVV и номер из SMS" или про условия банковского обслуживания и программы лояльности?
Про CVV.
Вот именно, что пока человек на не ощутит реальный урон на себе (потеряет деньги) никакая шумиха не напугает. Ну подумаешь чайник начал ддосить, ну сброшу до заводских настроек. Ну утекли ПД, ну написал/позвонил +1 лишний спамер.
То, что кто-то потерял деньги, это ни о чём не говорит другим людям. Собственно, гигиена начинается с объяснений друзьям/родственникам/в школе/etc "не делай так" Конечно, это ничего не гарантирует, сбитые при переходе на красный свет пешеходы подтверждают это.
Сейчас ситуация обратная: знакомые требуют регистрироваться в соцсетях и мессенджерах, "а как мы общаться будем?", а рекрутеры могут отказать человеку без профиля в соцсети или с пустым профилем. "Как общаться, как общаться"... есть что сказать - позвони, хочешь потрындеть - пошли пить пиво.
Прощай, распознавание голоса на серверах гигантов!
Сразу затеплилась надежда на толчок в развитии качественных оффлайновых распознавалок. Но… проблема в том, что в подавляющем большинстве общества это никому не нужно — люди вообще не задумываются как, и где, и что происходит, отсюда такое наплевательское отношение к расшариванию, не то что своих ПД, а своей жизни в целом.
Качественные оффлайновые распознавалки вполне себе существуют, особенно учитывая, что распознать голос одного конкретного человека на конкретном языке значительно проще, чем распознать любой голос на любом языке. Но даже voice recognition tutorial на питоне начинаются с "вот так подключаемся к серверам гугл/амазон".
Я игрался с Dragon/Drafonfly и Flashlight/ASR, но не дошел до уровня внедрения глубже "прикольно, работает".
Я — нет. Из «вещей» есть только чайник с bluetooth, просто потому что продавец посоветовал по критерию надежности. Ни разу не воспользовался этой функциональностью, все равно воду нужно наливать руками:)
Я буквально вчера заказа комплектующие к умному дому.(для начала датчик освещённости и диммер)
Но тут нюанс. Я решился попробовать умный дом только когда это стало возможно на собственном сервере без облаков.
Воду можно налить заранее. И умный чайник в теории позволит сделать себе кнопку нагрей воду до 78 градусов, чтобы я заварил себе зелёный чай.
Если считать самопал, то таки да: датчик перелива расширительного бачка и пара датчиков на утечку газа и сухой ход насоса. Но скорее всего не тру: к wifi не подключены, в облака не лезут, снаружи локалки недоступны :)
Пользуюсь МиХом, но это пока. Хочу все-таки сделать внутри дома всю автоматизацию в ДМЗ, а всякую ерунду типа прогноза погоды и прочего уже с доступом в интернет делать.
Не зря родилась поговорка «The S in IoT stands for Security».
"Многие IoT-устройства не имеют встроенной защиты от злоумышленников " - дело не в простоте устройств, а в их дешевизне. Исключением являются медицинские устройства класса III по классификации FDA, да и то, только потому, что это жестко регулируемый класс устройств, разработка которого влетает в копеечку.
Во все эти дешевые (и зачастую маленькие) девайсы, просто не впихнуть нормальный функционал с PKI, брэндмауэрами и проч. К тому же, многие конторы все езе разрабатывают конкретные устройства, а не решения в виде замкнутых экосистем.
Зачем утюгу выход в интернет? Зачем у кардиостимулятора распространенный беспроводной протокол передачи данных?
Надо рублем голосовать за такие устройства, которые работают оффлайн. Поместить их в VLAN. Подключаться к ним издалека через VPN к домашней сети. Иметь настроенный файрволл, IPS/IDS. Блокировать любые попытки куда-до достучаться как от устройства умного дома, так и к нему, за исключением четко определенных.
Вы можете сказать, что это сложнааа и обычный юзер такое не сможет / захочет. Да, всё так. Именно поэтому такой подход нужно продвигать в качестве отраслевого стандарта, в идеальном случае - предписания регуляторов. Собиратели персональных данных за нас это делать не будут.
От кофеварки до кардиостимуляторов. Боимся IoT вместе