Снова здравствуйте.
С чего бы начать? Вы удивитесь — с глобального потепления.
Глобальное потепление — это процесс, начавшийся примерно в 50-60 гг. прошлого века вследствие индустриализации и характеризуется постепенным, и постоянным, повышением средней температуры поверхности Земли.
Вот так выглядит изменение температуры земной поверхности в среднем за 5 лет, с 1950 года по 2014 год. Более тёплыми: красными и оранжевыми тонами, выделены те участки, где потепление было больше, то есть температура выросла сильнее; а серым и синим выделяются те, где наоборот, было какое-то похолодание или не было заметного потепления за указанный период.
Отметим, что места, где не было заметного потепления — это в первую очередь океаны, а на пространстве над материками температура значительно увеличилась. То есть в тех местах, где в основном человек и вёл свою деятельность.
Учёные долго изучали этот процесс и построили математические модели, котороые помогли описать, что же, и как, происходит. Модели были и те, что учитывают только человеческий фактор, и другие — рассматривающие лишь естественные факторы, для того чтобы понять насколько этот процесс естественен. Потому что было некоторое предположение, мол: «Это нормальное природное явление, пик перед грядущим ледниковым периодом, солнце чуть сильнее греет Землю и париться не о чем. Люди здесь не при чём».
Но, модели, которые использовали только естественные факторы, не смогли объяснить то, что происходило — реальной картины из исходных данных не получалось.
В частности, используя только естественные факторы, нельзя никак объяснить, почему воздух нагревается именно над материками. Помимо этого, при солнечном нагреве равномерно должны прогреваться все слои атмосферы Земли: верхняя (стратосфера) и нижняя (тропосфера), а в реальности нагревалась лишь нижняя часть — то есть тепло шло откуда-то ниже.
Наверное, после всех этих аргументов мало кто будет спорить с тем, что к этому привела деятельность человека. Теперь внимание. Глобальное потепление, само по себе, проблемой не является — оно следствие человеческой активности: парникового эффекта, деятельности заводов, транспортных выбросов, агрессивной индустриализации, ожесточённой конкуренции, дешёвых товаров, заводов в странах третьего мира, где работают низкоквалифицированные сотрудники.
Почему мы не видим этих проблем, а обсуждаем лишь следствия? Потому что всё меняется, когда за дело берутся они: политики…
… деятели искусств…
… политики, считающие себя деятелями искусств, как Альберт Гор.
Всё это приводит, естественно, к иронии, сарказму и недоверию к научным данным, потому что когда выступают разные люди, не дающие никаких обоснований тому, о чём они говорят — выглядит странно.
А доклад-то про интернет вещей. Это что такое?
Это, например, камеры. Здесь я привёл список уязвимых к RCE камер, на которых возможно повышение привилегий — это дешёвые IP-камеры. Особенно мне нравится производитель с названием Sricam, очень нравится — обязательно куплю себе такую.
Помимо камер, это также телевизоры — всё, что можно купить за 20 000 рублей и шильдик производителя отвалится очень быстро, хотя, как мы знаем, Samsung тоже уязвим (то есть у него есть телевизоры и дороже указанного ценового порога).
Что ещё? Китайские смартфоны. Ширпотреб всякий. Остальное, типа автопилотируемых автомобилей и бортовых систем самолётов — уже фигня по-сравнению с камерами.
Естественно, что всё это — то, что перечислено на слайде, никак и никем не аудируется, не обновляется. И, естественно, что вопросы безопасности данного жуткого парка устройств, которые никогда не патчатся, а производитель закрывается при возникновении малейших проблем, привлекают деятелей искусства.
По некоторым оценкам рынок интернета вещей к 2020 году должен достичь $2 млрд, в то время как рынок безопасности IoT должен достичь $36 млрд, что больше почти в 20 раз. Маркетинг ведь тоже искусство.
Всё это ерунда, потому что о какой безопасности можно вообще говорить?
В начале этого года мир узнал об уязвимостях в enterprise-grade сетевом оборудовании — новости шли одна за другой. Исследователи верно подметили: «Не то чтобы в последнее время прошивки сетевых устройств стали небезопасные — они всегда такими были». Просто в последнее время за них взялись и обнаружилось, что внутри всё плохо. Дыры находятся даже в сложном оборудовании стоимостью в сто и тысячи раз больше, чем эта несчастная IP-камера.
Мы не можем, как правильно замечает Paul Vixie, даже обезопасить устройства и инфраструктуры стоимостью в миллионы и сотни миллионов долларов. А кто-то пытается думать, что можно каким-то образом обезопасить весь этот китайский ширпотреб. Самое интересное — это и не нужно.
В интернете вещей, как в угрозе безопасности, ничего принципиально нового нет, за исключением разве что мультипликатора — это удар в сторону доступности, атак на отказ в обслуживании. Почему? Потому что 10 лет назад было принято строить «периметр», где снаружи всё грязно, а внутри всё чисто и хорошо. Это не работало уже тогда.
Поэтому те меры, которые строились с умом — они работают до сих пор и могут выдержать не только то, что было в 13-15 годах, но и зараженные смартфоны, камеры и даже холодильники. Правильно построенная распределённая система оказывается готовой к мультипликатору, который даёт интернет вещей.
Да, у Akamai были проблемы с одной из подсетей во время атак Mirai, после чего Кребс ушел в Google Cloud и я не слышал, чтобы падал поиск Google. У них были проблемы, но правильно построенная система изолирует отдельные компоненты, таким образом глобальных проблем не произошло. Проблемы были у одного из вендоров — ну, что поделать.
А у кого тогда будут проблемы? Они будут у тех, у кого нет систем безопасности вообще. Тут история простая: видите, что надвигается дождь — повседневное метеорологическое явление, делаете вывод о том, что вам нужен зонт. Имеет смысл вовремя о нём озаботиться. Под угрозой ведь оказываются самые обыкновенные пользователи.
Тут у меня крамольная мысль — я её обосную. Понятно, что рядовые пользователи, которые ходят в кино и ничего не знают про безопасность, не будут интегрировать или выбирать какое-то решение по IoT-security. Они выберут «наиболее безопасное решение». Это смешно звучит, обдумайте: «Вася Пупкин из Урюпинска выбирает наиболее безопасный телевизор». Кажется странным, но дело в том, что такой прецедент уже был.
На этом слайде 3D-модель центра безопасности построенного в 2000 году компанией Volvo, для исследования безопасностей её автомобилей — посмотрите, это сложнейшее инженерное сооружение, которое стоило очень дорого. Оно необходимо чтобы моделировать многофакторные аварии, в которые автомобиль может попадать в реальной жизни.
Это дало определённый скачок, одновременно со схожими действиями Еврокомиссии в то же время, безопасности вождения, после которого в современном автомобиле, на самом деле, достаточно сложно погибнуть. Начала этот процесс Volvo и, что самое интересное — это повлияло на продажи. Грамотный маркетолог, глядя на это, смог поднять продажи со словами, что «Volvo безопаснее конкурентов».
Пока гром не грянет — мужик не перекрестится. Но когда гремит буря, люди крестятся быстро и интенсивно. Либо интернет вещей действительно превратится в такую угрозу жизни и безопасности человека и, тогда, эта проблема будет решаться, либо он в неё не превратится и проблемы не будет.
Откуда — спросите вы, тогда берутся все эти решения по защите интернета вещей? На этой неделе закончился двухдневный CISO-форум. Я посмотрел материалы и больше половины докладов там было о различного вида compliance.
Что такое comliance? Это важная штука, особенно в современном мире. Действительно, нужно суметь не сесть за то, каким образом вы реализуете политику безопасности — мир меняется, он усложняется. И, можно сказать, что хакерские доклады — не для CISO-форума, есть ZeroNights и с этим можно туда.
Так что же такое compliance? Это выполнение политик, которые кто-то устанавливает: государство, начальство, кто-то третий. Соблюдение политик и соответствующего законодательства.
Многим людям приходится сталкиваться, буквально, со следующим — в гости приходят люди в пиджаках и говорят: «В новостях было об интернете вещей. Вы, как отдел информационной безопасности, что планируете с этим делать?» Очень плохо звучит ответ: «Ничего».
К другим людям приходят другие люди в пиджаках и говорят: «Там вышел маркетинговый отчёт о формировании нового рынка объёмом в $36 млрд, почему мы не на нём?» Странно отвечать: «Потому что это глупость».
А потом эти люди встречаются: одним нужно что-то продать, а другим нужно что-то купить и тут появляется решение. Решение решает какую-то проблему. Но проблема не в интернете вещей и отдельной железкой её решить невозможно, потому что вопрос фундаментальный. Вопрос в патчах, вопрос в подготовке этого железа ещё до стадии производства.
О решении какой проблемы мы вообще говорим, из тех тысяч сложностей, что встречаются в интернете вещей? Интернет вещей — это реальная угроза, или маркетинг? А глобальное потепление? Я не знаю, но синоптики обещают, что лето будет жарким — не это, так следующее точно.
Видеозапись всей конференции:
Комментарии (8)
Ugrum
05.05.2017 17:27+1Интернет вещей — маркетинг или реальная угроза
.
Это реальная угроза маркетингом.
fivehouse
05.05.2017 18:35-2Глобальное потепление это И реальная угроза И маркетинг. Реальная угроза это потому, что оно неизбежно наступит. Лет через 300-400. И совсем не такое катастрофическое как на картинках. А маркетинг же это потому, что пытаются щелчками пальцев разогнать несуществующих тигров. И цену на щелчки пальцами уже установили. И бюрократы-паразиты себе должности выбили для регулировки этих самых щелчков пальцами. Маркетингом это еще стало когда стало ясно, что не одно поколение паразитов сможет превосходно и с шиком жить регулируя нерегулируемое, вдалбливая массам ложь с помощью пропаганды. А вот IoT это скорее чистый маркетинг. Интернет это сеть обмена информацией между интеллектуальными агентами (людьми), когда каждый преследует свою цель в обмене. И цели могут меняться во времени. А какую цель преследует SMART телевизор получая фильм по WiFi? Никакую. Вот это «никакую» и есть истинная цена IoT-у. А соединить лампочки со смартфоном по Bluetooth это прикольно. Но врядли это IoT.
Vkuvaev
06.05.2017 00:04Ну это может оказаться и не лампочки а сотни и десятки интеллектуальных датчиков или непосредственно технологических устройств в единой технологической цепочке. Все управляемое единой системой. И будучи взломанной по объективным причинам, вся система вместе с тех процессом накрываются, приводя предприятие к коллапсу. (Например центрифуги для обогащения урана :)
С другой стороны, трудно избежать проникновения интеллектуальных устройств в дом. Легко, поэтому, представить, что подключенные к web устройства наделенные функциями управления, в том числе, становятся жертвами атаки, просто из-за недомыслия или беспечности производителя. А дальше ущерб домохозяйству зависит от функций атакованного устройства.
Судя по росту популярности ransomware, если можно хоть как-то пошантажировать людей, этим вскоре воспользуются.
1+1=2
Так что, я бы не «клал» на безопасность в том, что называется IoT. А то не ровен час, что обнаружите свой холодильник с дефейсом и угрозой начать разогревать все содержимое если не переведете 200 руб. Немножко, но на хлеб хватит.
Vkuvaev
05.05.2017 21:06На слайде где речь про 1,8 млрд $ речь идет о рынке платформ IOT. Я со слайда читаю. Более того на нем же написано, что он часть материнского рынка IOT. Это иои неправильная интерпретация в докладе или подгонка под тему. Нашел навскидку следующее The worldwide market for Internet of Things (IoT) is $16.3 billion in 2016 anticipated to reach $185.9 billion by 2023. Это от того же агентства abnewswire.
Ловкие выводы по причинам глобального потепления просто пугают. Физика моделей сложна неимоверно, количество климатических моделей где-то в районе сотни-сотен. И вдруг вы все расставили по местам. Супер.
Vkuvaev
05.05.2017 21:30Ну и добавлю, что слова политика безопасности в ИТ не имеют ничего общего с общим значением слова политика. Термин политика в ИТ имеет отношение к верхнеуровневым документам, которые регламентируют различные области ИТ. Это сродни закону в государстве. Это никак с маркетингом не связано ни с хорошим ни с грязным.
cssmajor
05.05.2017 22:12Ученые объяснить нормально не могут почему ледниковый период случился ) Данных нет до этого. Есть же средневековое похолодание. Слишком много факторов, чтобы сказать точно. И это далеко не такая важная как проблема отходов. Это то, что уже задевает нынешнее поколение.
А интернет вещей это маркетинг. Причем может работать на кого угодно, но не для вас.
MoreBeauty
Ну я даже не знаю. Что вы как маленькие? Для бизнеса выгоднее бороться с симптомами.