Программные риски:защита открытого исходного кода в IoT

Сейчас в мире используется 7 миллиардов устройств Интернета вещей. Ожидается, что к 2025 году это число утроится и достигнет беспрецедентных 21,5 миллиарда устройств, говорит Лев Лесохин из CAST . . Рынок устройств Интернета вещей (IoT) резко вырос - теперь производители устройств IoT, желающие заработать на гонке за внедрением IoT, отчаянно пытаются вывести свои продукты на рынок. В непрекращающейся гонке за продуктами не все программное обеспечение для IoT-устройств соответствует высочайшим стандартам.

Чтобы быстро вывести на рынок новые продукты и функции, у нас мало времени для написания собственного кода, особенно когда заранее разработанные пакеты и фреймворки можно бесплатно загрузить из сообществ с открытым исходным кодом, таких как GitHub и Apache . Однако с кодом IoT, как и со всем в жизни, вы получаете обратно то, что в него вложили. Отчет Software Intelligence Report 2018 от CAST показал, что многие проекты с открытым исходным кодом плохо соблюдают правила безопасности.

Бесплатный открытый исходный код не имеет встроенной водонепроницаемой защиты. В гонке за рынком многие компании жертвуют безопасностью ради скорости, отказываясь от строгих проверок безопасности, которые учитывают структуру и внутреннее устройство такого кода. Каждое устройство Интернета вещей, а их все семь миллиардов, также должно работать с безопасным программным обеспечением, которое достаточно надежно, чтобы отражать действия хакеров.

Открытый исходный код может быть написан кем угодно. Большая часть кода программного обеспечения, написанного для устройств IoT, также написана инженерами из мира встроенного программного обеспечения автономных устройств. Это резко контрастирует с программным обеспечением, созданным для обработки данных крупных корпоративных транзакций, частью которых являются устройства IoT. Защита данных в этом последнем контексте требует особого опыта и навыков, которыми обладают далеко не все разработчики.

В реальности, что любой, независимо от опыта разработки, может внести свой вклад в программное обеспечение с открытым исходным кодом, гораздо сложнее обеспечить соблюдение стандартов безопасности и качества. Неэффективный, небрежный или даже вредоносный код может остаться незамеченным.

Так много недостатков, но покупатели вряд ли заметят. Многие рассматривают устройства Интернета вещей через призму бизнеса - как средство достижения такой стратегической цели, как повышение эффективности производства. Ирония заключается в том, что, хотя устройства Интернета вещей достаточно сложны, чтобы их можно было настроить против их владельцев, они часто не считаются достаточно сложными, чтобы их можно было защитить от атак.

Взгляд всего мира прикован к вашему коду

Ошибки в проприетарном внутреннем коде действительно случаются, но только разработчики, нанятые для написания кода, могут когда-либо знать о них. Исходный код будет приватным и недоступным для посторонних глаз. Однако так же, как открытый исходный код легко доступен для бизнеса, это то же самое для всех остальных. Код, возможно, изучался многими разработчиками и, возможно, хакерами, прежде чем он был включен в кодовую базу, от которой зависит устройство Интернета вещей.

Американская розничная сеть Target стала жертвой кражи данных кредитной карты на сумму 220 миллионов долларов США (194 миллиона евро) еще в 2013 году, когда злоумышленники обнаружили слабое место в системе климат-контроля, которую использовала сеть.

Учетные данные были украдены у поставщика системы климат-контроля и не изменились при развертывании в Target, что сделало каждую установленную систему полностью уязвимой.

Проверьте себя, прежде чем разрушить себя

Хотя уязвимости невозможно полностью исключить, их вероятность можно снизить с помощью трех основных шагов:

Важным первым шагом является понимание производителем того, что входит в поставляемое им программное обеспечение IoT. Открытый исходный код при осторожном использовании может быть очень полезным. Однако, чтобы защитить всех участников, от разработчиков до конечных пользователей, происхождение используемого кода должно быть отслежено вплоть до его корней и сопоставлено с известными уязвимостями.

Следует уделять этому как можно больше времени и проявлять настоящую осторожность. После изготовления маловероятно, что какие-либо проблемы, обнаруженные постфактум, будут исправлены, как это произошло в случае с Target, где доступ к системам был сравнительно легким. Хотя производители IoT-устройств могут стремиться опередить конкурентов, им следует знать, что любые проблемы могут существовать очень долго.

Программное обеспечение необходимо анализировать от начала до конца, потому что код на устройстве больше не является автономным. После сканирования компании должны немедленно приступить к работе. Устранение всех выявленных уязвимостей и усиление транзакций с низкой устойчивостью. Целью должно быть устранение как можно большей технической задолженности кода, создание надежной системы, которая выдержит испытание временем и защитит своих будущих владельцев.

В конце концов, помните, что офисы поставщика систем климат-контроля Target были посещены секретной службой США, и компания все еще участвует в продолжающемся расследовании, которое обошлось им в 18,5 миллиона долларов (16,3 миллиона евро). Этого не должно случиться ни с кем другим, и этого можно избежать.

Автор этого блога - Лев Лесохин, исполнительный вице-президент по стратегии и аналитике CAST.