Первыми, само собой, идут устройства - "вещи", которые и составляют основу "Интернета вещей". Компоненты "умного дома", "умного офиса", "умные автомобили", датчики состояния окружающей среды, живых организмов и прочее.
Все они для подключения к Интернет имеют:
- операционную систему (как правило, довольно урезанную);
- реализацию сетевого стека (для подключения к сети);
- прикладную часть, которая устанавливается на ОС.
name="'more'">
- Операционная система (SSH, telnet). Взлом чреват полным контролем над устройством, перехватом управления и использованием как площадки для атак (DDoS и не только). Полученный через SSH доступ с правами суперпользоватлея позволить поставить все недостающее для реализации атаки ПО. Затем можно использовать взломанное устройство как jumphost при атаке, а можно сделать его членом ботнета. Фантазия ограничивается самим хакером и его целями. Как правило, пользователь понятия не будет иметь о проведенном взломе, если хакерские действия не повлияют на функционал.
- Приложение (web-interface либо собственная разработка). Взлом приведет к компрометации тех данных, ради которых и подключалось устройство к Интернет. Камера будет доступна через Интернет всем, кто смог подключиться. Автомобиль тоже сможет быть управляемым через Интернет. Возможные ужасы (малая толика) описаны в заметке "Интернет вещей и безопасность людей . Коммерческая тайна, безопасность и неприкосновенность личной жизни становятся зависимыми от маленьких, простеньких, неимоверно тупых, но управляемых через Интернет устройств.
- Выделение отдельного сегмента сети
- Контроль целостности системных файлов
- Резервное копирование
- Контроль изменения конфигурации
- Контроль уязвимостей
- Управление обновлениями
- Парольные политики
Соответственно, поскольку покупатель сам не позаботится о безопасности вещей, которые будет оставлять в Интернете, вендор должен реализовать в ПО многие функции самостоятельно так, чтобы они, с одной стороны, не ограничивали пользователя, не привносили в его жизнь элемент контроля со стороны производителя, а с другой - повышали уровень безопасности устройств.
Что может и должен делать производитель устройств "интернета вещей" в первую очередь:
- Внести в инструкцию по эксплуатации памятку о мерах информационной безопасности, рисках подключения устройства в Интернет и необходимых действиях со стороны пользователя.
- Hardening устройств: отключение неиспользуемых сервисов и безопасная конфигурация используемых.
- Принудительная смена пароля по умолчанию и парольные политики, предотвращающие использование простых паролей.
- Обеспечить поддержку работы в безопасной архитектуре.
- Внедрить контроль безопасности кода ПО.
- Тестирование безопасности устройств и приложений.
- Автоматическая проверка критичных обновлений, исправляющих баги по безопасности.
- Удобное, очевидное для пользователя оповещение о необходимости обновления.
- Простой для пользователя и быстрый процесс обновления ПО.
Ответ тоже прост и очевиден: должен, потому что берешь за это деньги. И если хочешь, чтобы твои устройства потом имели конкурентное преимущество, или, хотя бы, были ненамного хуже других игроков рынка в этой нише - позаботься об удобной для пользователя безопасности самостоятельно. А вдобавок учти, что когда-нибудь через твое же дырявое устройство могут атаковать и тебя. Журналисты не упустят шанса раструбить об этом. Весь цифровой мир содрогнется от смеха. И чем громче будет смех, тем сильнее будет просадка акций.
Apple и Google начали думать за пользователя в свое время, и сейчас видно, где они, а где их конкуренты. Так что вперед.