Как известно, буква S в аббревиатуре IoT означает Security

Jul 10, 2019 13:23

"I work in IT, which is the reason our house has:
- mechanical locks
- mechanical windows
- routers using OpenWRT
- no smart home crap
- no Alexa/Google Assistant/...
- no internet connected thermostats"

На самом деле, IoT штука в целом удобная.


Например, автоматическое включение света утром не раз спасало меня от опозданий на работу.

Но есть целая куча огромных "НО". Большая часть IOT-устройств имеет фундаментальные недостатки, которые с точки зрения параноика типа меня ставят на них крест.
Во-первых они в большинстве своём не получают обновлений безопасности. Мало какая даже крупная компания поддерживает устройства больше пары лет. Про мелких китайцев даже говорить нечего. Что из этого следует? Что устройства можно взломать одним движением левой пятки. Причем это даже не "кому я нужен", нет. Их взломает чей-то бот в полностью автоматическом режиме. И будет майнить на вашей розетке биткойны, рассылать спам или делать еще какую-нибудь дрянь.
Вторая проблема серьезнее. Если на первую еще как-то можно закрывать глаза ("Пускай ломают, мне пофиг"), то вот вторая прямо влияет на функционал. А проблема в том, что большая часть IoT решений работает через облако. Вернее, само устройство это тупой исполнительный механизм, который взаимодействует с вами через сервера производителя. Да, почти все мобильные клиенты и большая часть автоматизации работает "где-то там". Чем это плохо? А тем, что когда производителю надоест поддерживать сервера для взаимодействия с вашими железками, они превратятся в тыкву (недавний скандал с умными телевизовами Sony). Или его может купить другая компания и закрыть сервис (такое было, например, с часами Pebble - их купил Fitbit и просто выключил все онлайновые сервисы).
То есть ваши устройства напрямую зависят от доброй воли производителя. И - будучи совершенно исправными могут просто перестать работать. Например, многие умные термостаты в принципе не имеют физического интерфейса управления, все только через облако.
Третья проблема это "шпионаж". Вернее сбор с продажа ваших личных данных (например, разговоров) третьим лицам. Это то, что делает гугл, который, как ВНЕЗАПНО оказалось, встраивает микрофоны в свои термостаты Nest. Причем изначально это не было известно и об этом не говорилось, просто в какой-то момент в них ВНЕЗАПНО включили функцию голосовго управления. И не надо говорить, что гугол такой хороший и блюдёт вашу privacy - это компания, весь бизнес которой построет на продаже ваших данных, хотите вы того или нет. Конечно они стараются собрать о вас всё, что только возможно.

Но все эти "НО" не ставят крест на IoT как таковом. Технология-то сама по себе неплохая. Просто нужно искать децентрализованные и вендоронезависимые решения. На стандарторизованых, пускай даже и проприетарных протоколах (хотя открытые лучше, разумеется).
Если ваши умные железки работают без интернета через хаб, который стоит у вас в квартире и не завязан на какой-то онлайновый сервис (или может быть перенастроен на любой другой), то почему бы и нет?
Другое дело в том, что такие решения обычно сложнее в установке и настройке.
Например, моя домашняя система (пока доблестные электрики не подали две фазы и не выжгли все устройства) работала автономно, на raspberryPi с модулем Z-Wave.

С чем всё однозначно плохо?
С умными колонками - стопроцентно шпионский девайс.
С умными замками - почти всегда они спроектированы криворукими хипстерами, и имеют нулевую безовасность как и механической, так и с IT-шной стороны. Впрочем, как замок на калитку наверное может сойти.
С роутерами-от-провайдера. Они как правило отвратительно сконфигурированы, не обновляются и имеют кучу дыр. В итоге из них собирают отличные ботнеты. Оно вам надо? OpenWRT или RouterOS куда надёжнее.

С чем более-менее?
Есть пусть и пропритарные, но оффлайновые решения, с локальными хабами или без, причем некоторые можно собрать на RaspberryPi или другой линукс-машинке. Есть открытые софтовые хабы, типа OpenRemote.

Но, повторюсь, в целом ситуация очень и очень плохая. Почти никто не пытается создать надёжные и защищенные устройства, и уж тем более не старается заботится о своевременно обновлении и закрытии уязвимостей. В нашем киберпанке ближайшего десятилетия скорее всего можно будет похачить чужую квартиру, не затратив особых усилий. И - что хуже - машину. Автопроизводители не умеют в IT, безопасность и по моему ощущению, нанимают к себе в авто-IT исключительно неспособных к развитию людей. И такими темпами штуки "взломать чужую машину и впилить её в стол на скорость 150км/ч будут доступны не только профессионалам (это уже есть!), но и школьникам-script-kiddie. У которых вполне может хватить ума разбить вам машину просто шутки ради. This entry was originally posted at https://snownoise.dreamwidth.org/180002.html Now there are
comments in the original post.

hardware

Previous post Next post
Up