Три способа создания безопасного IoT-устройства

При должном внимании на этапе разработки, устройства Интернета вещей можно оснастить возможностью обновления программного обеспечения по воздуху, чтобы минимизировать будущие недочеты.

Создание безопасного продукта Интернета вещей (IoT) требует времени, опыта и понимания дальнейшего развития экосистем. Но не всегда разработчики защищают устройства от неправомерных действий. Пользователи в свою очередь полагают, что у устройства IP-адрес надежно скрыт от «плохих парней», взламывающих устройства по всему Интернету. На самом деле существует множество скриптов и программ, построенных для простого сканирования всего диапазона допустимых IP-адресов для обычных устройств и уязвимых систем. Чтобы работа в Интернете была более безопасной, следует поддерживаться трех правил.

Не использовать общие пароли по умолчанию

Большинство скомпрометированных данных IoT-устройств стали уязвимыми благодаря установленным по умолчанию учетным записям. Именно это привело к созданию одной из крупнейших ботнет-сети Mirai в 2016 году.

Если у пользователя нет физического доступа к устройствам, то он не сможет угадать значение по умолчанию. Это не идеальный подход, но он закрывает бэкдоры.

Вместо всем известным связкам «admin-12345» или одинаковым паролям у сотни тысяч устройств производители могут, например, напечатать этикетку для устройства со случайным паролем. Производители беспроводных маршрутизаторов постепенно переходят на такую модель: их оборудование выходит с конвейера разными паролями.

Закройте бэкдоры и порты

Многие устройства, используемые в бот-сетях IoT, имели открытые порты telnet. Этот небезопасный сервис позволял производителям удаленно входить на устройства для поддержки, обслуживания или внесения изменений в базовую прошивку.

Самая большая ошибка, допущенная производителями IoT-устройств – открытие входящих портов.

Гораздо лучше вместо этого создавать исходящие соединения TCP/IP с доверенными хостами. Этот шаг остановил бы распространение ботнета Mirai, который использовал открытые порты telnet и SSH.

Для удаленного доступа или обслуживания устройства можно использовать функции SSH (обратное туннелирование). Используя существующие соединения для обмена сообщениями (например, MQTT), разработчики могут указать устройству «домашний телефон» и по необходимости «дозваниваться» до сервера управления.

При таком подходе хакеры, которые стучатся в «виртуальные двери» устройств пользователей, никогда не получат ответа. В качестве бонуса этот подход также позволяет решить проблему соединения с устройствами, которые клиенты надежно разместили за NAT.

Создание безопасных веб-приложений

Существует небольшое количество устройств IoT, в которых встроен веб-сервер. И это делает устройство отличной автономной платформой: пользователь может ввести IP-адрес своего принтера или камеры безопасности и управлять устройством, просматривать его статус из любого браузера.

Производителям при этом нет надобности в предоставлении облачных сервисов.

Разработчики устройств IoT не всегда знают, как создавать безопасные веб-приложения. К примеру, Open Web Application Security Project (OWASP) имеет список топ-10 наиболее распространенных уязвимостей веб-приложений. Это отличный ресурс для любого потенциального веб-разработчика.

В марте 2017 года компания Dahua, крупный производитель камер безопасности и цифровых видеорегистраторов (DVR), выпустила исправление безопасности для ряда своих устройств. Производителю необходимо было устранить проблему со встроенным веб-сервером на своих устройствах. Проблема позволила хакеру использовать созданный адрес URL для извлечения всех имен пользователей и паролей девайсов.

Если разработчики владеют искусством создания защищенных веб-приложений, то они должны быть готовы к появлению новых неизвестных уязвимостей. Очень важно иметь систему, позволяющую быстро обновлять веб-приложения по необходимости, чтобы можно было исправлять будущие ошибки. Тогда устройства будут более защищены в течение всего жизненного цикла.

Автор: Эрик Бигонесс, главный инженер IoT в DornerWorks