Пятница! Это — доклад Артёма ximaera Гавриченкова с конференции «Хакер, вендор, клиент», прошедшей 21 апреля в Москве. За видео в конце публикации спасибо Кириллу Ермакову.
Снова здравствуйте.
С чего бы начать? Вы удивитесь — с глобального потепления.
Глобальное потепление — это процесс, начавшийся примерно в 50-60 гг. прошлого века вследствие индустриализации и характеризуется постепенным, и постоянным, повышением средней температуры поверхности Земли.
Вот так выглядит изменение температуры земной поверхности в среднем за 5 лет, с 1950 года по 2014 год. Более тёплыми: красными и оранжевыми тонами, выделены те участки, где потепление было больше, то есть температура выросла сильнее; а серым и синим выделяются те, где наоборот, было какое-то похолодание или не было заметного потепления за указанный период.
Отметим, что места, где не было заметного потепления — это в первую очередь океаны, а на пространстве над материками температура значительно увеличилась. То есть в тех местах, где в основном человек и вёл свою деятельность.
Учёные долго изучали этот процесс и построили математические модели, котороые помогли описать, что же, и как, происходит. Модели были и те, что учитывают только человеческий фактор, и другие — рассматривающие лишь естественные факторы, для того чтобы понять насколько этот процесс естественен. Потому что было некоторое предположение, мол: «Это нормальное природное явление, пик перед грядущим ледниковым периодом, солнце чуть сильнее греет Землю и париться не о чем. Люди здесь не при чём».
Но, модели, которые использовали только естественные факторы, не смогли объяснить то, что происходило — реальной картины из исходных данных не получалось.
В частности, используя только естественные факторы, нельзя никак объяснить, почему воздух нагревается именно над материками. Помимо этого, при солнечном нагреве равномерно должны прогреваться все слои атмосферы Земли: верхняя (стратосфера) и нижняя (тропосфера), а в реальности нагревалась лишь нижняя часть — то есть тепло шло откуда-то ниже.
Наверное, после всех этих аргументов мало кто будет спорить с тем, что к этому привела деятельность человека. Теперь внимание. Глобальное потепление, само по себе, проблемой не является — оно следствие человеческой активности: парникового эффекта, деятельности заводов, транспортных выбросов, агрессивной индустриализации, ожесточённой конкуренции, дешёвых товаров, заводов в странах третьего мира, где работают низкоквалифицированные сотрудники.
Почему мы не видим этих проблем, а обсуждаем лишь следствия? Потому что всё меняется, когда за дело берутся они: политики…
… деятели искусств…
… политики, считающие себя деятелями искусств, как Альберт Гор.
Всё это приводит, естественно, к иронии, сарказму и недоверию к научным данным, потому что когда выступают разные люди, не дающие никаких обоснований тому, о чём они говорят — выглядит странно.
А доклад-то про интернет вещей. Это что такое?
Это, например, камеры. Здесь я привёл список уязвимых к RCE камер, на которых возможно повышение привилегий — это дешёвые IP-камеры. Особенно мне нравится производитель с названием Sricam, очень нравится — обязательно куплю себе такую.
Помимо камер, это также телевизоры — всё, что можно купить за 20 000 рублей и шильдик производителя отвалится очень быстро, хотя, как мы знаем, Samsung тоже уязвим (то есть у него есть телевизоры и дороже указанного ценового порога).
Что ещё? Китайские смартфоны. Ширпотреб всякий. Остальное, типа автопилотируемых автомобилей и бортовых систем самолётов — уже фигня по-сравнению с камерами.
Естественно, что всё это — то, что перечислено на слайде, никак и никем не аудируется, не обновляется. И, естественно, что вопросы безопасности данного жуткого парка устройств, которые никогда не патчатся, а производитель закрывается при возникновении малейших проблем, привлекают деятелей искусства.
По некоторым оценкам рынок интернета вещей к 2020 году должен достичь $2 млрд, в то время как рынок безопасности IoT должен достичь $36 млрд, что больше почти в 20 раз. Маркетинг ведь тоже искусство.
Всё это ерунда, потому что о какой безопасности можно вообще говорить?
В начале этого года мир узнал об уязвимостях в enterprise-grade сетевом оборудовании — новости шли одна за другой. Исследователи верно подметили: «Не то чтобы в последнее время прошивки сетевых устройств стали небезопасные — они всегда такими были». Просто в последнее время за них взялись и обнаружилось, что внутри всё плохо. Дыры находятся даже в сложном оборудовании стоимостью в сто и тысячи раз больше, чем эта несчастная IP-камера.
Мы не можем, как правильно замечает Paul Vixie, даже обезопасить устройства и инфраструктуры стоимостью в миллионы и сотни миллионов долларов. А кто-то пытается думать, что можно каким-то образом обезопасить весь этот китайский ширпотреб. Самое интересное — это и не нужно.
В интернете вещей, как в угрозе безопасности, ничего принципиально нового нет, за исключением разве что мультипликатора — это удар в сторону доступности, атак на отказ в обслуживании. Почему? Потому что 10 лет назад было принято строить «периметр», где снаружи всё грязно, а внутри всё чисто и хорошо. Это не работало уже тогда.
Поэтому те меры, которые строились с умом — они работают до сих пор и могут выдержать не только то, что было в 13-15 годах, но и зараженные смартфоны, камеры и даже холодильники. Правильно построенная распределённая система оказывается готовой к мультипликатору, который даёт интернет вещей.
Да, у Akamai были проблемы с одной из подсетей во время атак Mirai, после чего Кребс ушел в Google Cloud и я не слышал, чтобы падал поиск Google. У них были проблемы, но правильно построенная система изолирует отдельные компоненты, таким образом глобальных проблем не произошло. Проблемы были у одного из вендоров — ну, что поделать.
А у кого тогда будут проблемы? Они будут у тех, у кого нет систем безопасности вообще. Тут история простая: видите, что надвигается дождь — повседневное метеорологическое явление, делаете вывод о том, что вам нужен зонт. Имеет смысл вовремя о нём озаботиться. Под угрозой ведь оказываются самые обыкновенные пользователи.
Тут у меня крамольная мысль — я её обосную. Понятно, что рядовые пользователи, которые ходят в кино и ничего не знают про безопасность, не будут интегрировать или выбирать какое-то решение по IoT-security. Они выберут «наиболее безопасное решение». Это смешно звучит, обдумайте: «Вася Пупкин из Урюпинска выбирает наиболее безопасный телевизор». Кажется странным, но дело в том, что такой прецедент уже был.
На этом слайде 3D-модель центра безопасности построенного в 2000 году компанией Volvo, для исследования безопасностей её автомобилей — посмотрите, это сложнейшее инженерное сооружение, которое стоило очень дорого. Оно необходимо чтобы моделировать многофакторные аварии, в которые автомобиль может попадать в реальной жизни.
Это дало определённый скачок, одновременно со схожими действиями Еврокомиссии в то же время, безопасности вождения, после которого в современном автомобиле, на самом деле, достаточно сложно погибнуть. Начала этот процесс Volvo и, что самое интересное — это повлияло на продажи. Грамотный маркетолог, глядя на это, смог поднять продажи со словами, что «Volvo безопаснее конкурентов».
Пока гром не грянет — мужик не перекрестится. Но когда гремит буря, люди крестятся быстро и интенсивно. Либо интернет вещей действительно превратится в такую угрозу жизни и безопасности человека и, тогда, эта проблема будет решаться, либо он в неё не превратится и проблемы не будет.
Откуда — спросите вы, тогда берутся все эти решения по защите интернета вещей? На этой неделе закончился двухдневный CISO-форум. Я посмотрел материалы и больше половины докладов там было о различного вида compliance.
Что такое comliance? Это важная штука, особенно в современном мире. Действительно, нужно суметь не сесть за то, каким образом вы реализуете политику безопасности — мир меняется, он усложняется. И, можно сказать, что хакерские доклады — не для CISO-форума, есть ZeroNights и с этим можно туда.
Так что же такое compliance? Это выполнение политик, которые кто-то устанавливает: государство, начальство, кто-то третий. Соблюдение политик и соответствующего законодательства.
Многим людям приходится сталкиваться, буквально, со следующим — в гости приходят люди в пиджаках и говорят: «В новостях было об интернете вещей. Вы, как отдел информационной безопасности, что планируете с этим делать?» Очень плохо звучит ответ: «Ничего».
К другим людям приходят другие люди в пиджаках и говорят: «Там вышел маркетинговый отчёт о формировании нового рынка объёмом в $36 млрд, почему мы не на нём?» Странно отвечать: «Потому что это глупость».
А потом эти люди встречаются: одним нужно что-то продать, а другим нужно что-то купить и тут появляется решение. Решение решает какую-то проблему. Но проблема не в интернете вещей и отдельной железкой её решить невозможно, потому что вопрос фундаментальный. Вопрос в патчах, вопрос в подготовке этого железа ещё до стадии производства.
О решении какой проблемы мы вообще говорим, из тех тысяч сложностей, что встречаются в интернете вещей? Интернет вещей — это реальная угроза, или маркетинг? А глобальное потепление? Я не знаю, но синоптики обещают, что лето будет жарким — не это, так следующее точно.
Видеозапись всей конференции:
Автор: Qrator Labs