Pull to refresh

Comments 14

Ключевое (жирный цвет — мой):
По словам ИБ-эксперта столь серьезная ситуация с защищенностью устройств стала следствием сложившейся рыночной ситуации. На данный момент пользователи не осознают важность защиты покупаемых ими устройств и, соответственно, не готовы платить за это дополнительные деньги. В свою очередь, производители не заинтересованы в повышении осведомленности пользователей о возможных последствиях такого подхода — это повлечет для них дополнительные затраты.

Распечатать и в рамочку…

Мне кажется в 90% случаев так… :((
Я лично, когда работал в W3C, много раз пытался поднять эту тему. Производители IoT делают шокирующие вещи. Они вполне способны в одной и той же презе написать на одном слайде «всё железо сейчас дешёвое, поэтому мы можем впихнуть полноценный комьпютер во что угодно», а на другом — «в силу фигового железа мы не можем сделать нормальные секьюрные протоколы, поэтому считаем нормальным передачу нешифрованного сигнала и аутентификацию по принципу ‘доверенная сеть’».

Увы, всем пофигу.
Безопасность появляется в тот момент, когда устройство начинает использоваться людьми высокой квалификации.

Как показывает опыт, вся «безопасность» современных криптостойких соединений — фиговый листок, который в лучшем случае прикроет вас от любознательного соседа (и то, если тот — не хакер с опытом работы в каком-нибудь АНБ).

Все мы, как мне кажется, в первую очередь защищены «принципом неуловимого джо».
Безопасность — это всего лишь отношение цены атаки к полученному профиту. Если для взлома нужен хакер с опытом работы в АНБ и ботнет — то это очень неплохая безопасность.

Сейчас стоимость атаки === 0. Даже делать ничего не надо, всё уже сделано за нас тем же Shodan-ом. И это в первую очередь вина производителя, который вообще ничего не делает для того, чтобы этот цена стала ненулевой.

Я бы даже сказал, что проблема не в жадности — всё-таки маржа на умных девайсах сейчас приличная, от внедрения https чай не разорятся — а просто в тупости. В индустрию приходят люди, которые вообще не понимают, что такое безопасность, и не считают нужным нанять специалиста (да-да, вот того хакера с опытом работы в АНБ) для разработки своих продуктов.
Я, в общем и целом, с вами согласен. Кроме одного нюанса. И выскажу я сейчас, возможно, не самую популярную точку зрения, но всё же надеюсь на понимание.

Если вы не закрыли жалюзи на окнах в вашей квартире, то подсматривающий, конечно, нарушает вашу приватность, но… вы же не будете всерьез обвинять фирму-производителя жалюзей за то, что не обеспечила достаточную безопасность, так ведь? Но почему-то когда речь заходит о камерах наблюдения, то в их небезопасности виноваты производители.

Почему так?

Всякий раз, когда речь заходит о высокотехнологичном устройстве, пользователь представляется в роли этакого недееспособного идиотика, который слишком глуп, чтобы защитить себя и который ставит Эту Умную Штуку в своей спальне в надежде, что на адрес 123.45.67.89, ведущий прямиком в его постель, заглянет только он сам и его мама. То есть человек:
1. Либо не прочитал инструкцию к прибору, где всё написано черным по белому (надеюсь, таковая инструкция была приложена, если нет — то виновата действительно компания-производитель),
2. либо просто наплевал на то, кто может его увидеть сквозь «незашторенное окно». А то, что вуайерист не в соседней высотке, а на другом конце шарика — ничего страшного, какая разница.

Я считаю, что если вы ставите камеру в свой дом, то вы должны сами быть ответственными за security. Это жестоко, но справедливо. А производитель должен по умолчанию настраивать наиболее удобный режим трансляции. Чтобы человек, который ставит камеру на улице в своем дворе, и которому вообще наплевать, кто его двор увидит, мог просто поставить ее и включить.

Я не закончил выше свою мысль и меня, очевидно, не поняли. Разумеется, взлом имеет цену и в данном случае эта цена по неприятности оказалась равной 0. Но главная причина небезопасности — в повальной безграмотности населения. Я в свое время слышал от одного профессионального сисадмина, что если бы хотя бы 30% населения умели настраивать брендмауэр на роутере (и помогла с настройкам своим близким и знакомым), то такого понятия, как «ботнет» просто не существовало бы.

Здесь то же самое, я считаю.
На эту тему я высказался сто лет назад: habrahabr.ru/post/102627

Предпринимаемые меры безопасности должны быть адекватны цене ошибки. Мост без перил — хреновая затея.
В этом — согласен. Но тут же не «мост без перил». Тут — «замок от честного человека». Это — немного другое, всё же.
Не вижу разницы. Незапароленная веб-камера гораздо опаснее незапароленного роутера. В частности, работа домушников существенно упрощается — сразу видно, что в доме есть, где лежит, когда хозяева приходят-уходят и так далее. Простор для шантажа тоже немаленький.
Без проплаченного аккаунта не оценить.
UFO just landed and posted this here
Сложно сгенерировать пароль и распечатать его на стикере перед упаковкой товара?
И сделать кнопочку reset (утопленную в корпус), которая будет сбрасывать пароль, открывать админку, которая первым делом будет — та-да! — генерировать новый пароль.
2 простых действия. Этим можно будет отсечь 90% таких историй.
HP вот с доступом к системе упралвения серверами iLO уже делает так лет 10, если не больше. У каждого сервера тэг с паролем имеется, рандомно сгенерированным.
Sign up to leave a comment.