IoT небезопасен, сообщают исследователи

05.01.2018

БОСТОН — эксперты по безопасности Чарли Миллер и Крис Валасек сказали, что Интернет Вещей не может быть безопасным, но его можно приручить.

Опираясь на свой опыт взлома автомобиля, они провели утро, рассматривая большую вселенную безопасности IoT, и признали, что всегда будут тысячи подключенных устройств, которые никогда не будут безопасными, и что индустрия должна уделять первоочередное внимание личной безопасности и безопасности автомобилей и медицинских изделий, например зубных щеток, и дверным замкам.

«Мы пишем код, и мы не совершенны. Проблема в том, что серьезная безопасность стоит дорого. Вы не можете просто искать уязвимости. Вам необходимо отправить товар и принять тот факт, что вы не можете решить проблему безопасности », — сказал Миллер, который вместе с Валасеком являются главными независимыми архитекторами безопасности автомобилей в GM Cruse Automation. Комментарии были сделаны во время основного выступления на конференции Flight 2017 Black Duck Software.

Проблема, по их словам, заключается в том, что основная миссия бизнеса — это не глобальная или личная безопасность, так как никогда не будет экономически выгодно обеспечивать безопасность мирового класса в устройствах, которые массово производятся. Производители устройств не могут продавать ИТ-безопасность как функцию продукта и не могут передать затраты по обеспечению безопасности на клиента.

«Зубная щетка IoT с безопасной платформой обойдется в миллионы долларов на этапе создания, и еще миллионы — для поддержки продукта в будущем», — сказал Валасек. Стоимость для потребителей составит 400 долларов за зубную щетку и, в конечном итоге, не сможет конкурировать с зубной щеткой за 4 доллара, которая рекламируется как продукт с «хорошим» уровнем безопасности.

«В отличие от продавца автомобилей, который за дополнительную плату устанавливает вам дополнительные подушки безопасности, компания-разработчик программного обеспечения не может продавать вам пакеты безопасности», — сказал Миллер. «Разработчик не может сказать потенциальному клиенту, если вы хотите получить пакет безопасности к вашему программному обеспечению, то это будет стоить вам еще 1000 долларов».

Затем возникает проблема количественного определения типа безопасности, которая может понадобиться для продукта. Например, существует большая разница между небезопасным подключенным тостером и камерами безопасности, захваченными для выполнения DDoS-атак. По словам экспертов, определение приоритетов, требующих большей безопасности, является большой проблемой.

Приводя в качестве примеров взломанные инсулиновые насосы, кардиостимуляторы и автомобили, оба эксперта выступали за то, чтобы сообществу безопасности необходимо сосредоточить большее количество времени на этих проблемах безопасности по сравнению с другими, не столь важными.

«Мы учимся на наших ошибках. У нас были проблемы в безопасности с серверами и браузерами. Но теперь мы смогли обеспечить их необходимый уровень безопасности. И это прекрасно, — сказал Миллер. «Люди хотят раз и навсегда решить проблему безопасности. Но это невозможно. Вы никогда не сможете сделать что-то, что невозможно будет взломать. Но мы можем сделать это трудным.»

Глядя в будущее, мы должны понимать, что автономные транспортные средства представляют собой особую проблему. «Автономные транспортные средства — это вещи следующего уровня, о которых нужно беспокоиться при взломе автомобилей», — сказал Миллер.

«Когда мы взламывали автомобили Jeep, у нас были руль и педали тормоза, чтобы можно было остановиться, если что-то пойдет не так во время взлома», — сказал Валасек. «Без этого вы будете беспощны, если ваш автомобиль будет взломан».

«В 2014 году это был случай, когда наш CAN-BUS Jeep имел так много доступа к функциям автомобиля, что это позволило нам получить доступ к управляющему блоку автомобиля. Автономные транспортные средства разрабатываются так, чтобы иметь возможность внешнего управления, — добавил Миллер. Миллер и Валасек заявили, что безопасность должна быть первой мыслью и первостепенной задачей в разработке автономных транспортных средств. Для большей части компаний, создающих предметы с доступом в сеть, безопасность не должна быть их главной задачей.

«Если вы беспокоитесь о том, что вас атакуют, то беспокоиться нужно не об управляемых через интернет лампочках. Это не сайт страховой компании Equifax, взлом которого привел к утечке персональных данных 145 миллионов человек, — сказал Валашек. Преодоление ошибок сервера и сетевых хаков требует более традиционных средств защиты от мяса и картофеля.

«Интересно говорить о взломе устройств IoT. Но не позволяйте этому отвлекать вас от необходимости обеспечения защиты от реальных способов взлома вашего предприятия. Сосредоточьтесь на реальных атаках, — сказал Миллер. «Не удивляйтесь, если зубные щетки IoT в мире будут взломаны. Сосредоточьтесь на действительно важных вещах».