Разработчикам об информационной безопасности в интернете | SHIFU.IO
Переводы
Информационная безопасность в Интернете
Перевод 29.11.2017
Внимание всем разработчикам устройств… Пожалуйста, остановитесь и задумайтесь на секунду,   прежде чем добавлять подключение к Интернету еще на одном устройстве. 

Готовы ли вы полностью оплатить стоимость на обеспечение безопасности этого устройства в Интернете на протяжении всей его жизни? 

Если нет, вы избегаете истинной цены этого устройства, и вы слепо вносите свой вклад в серьезную проблему безопасности, которая вы уже имеете. 

Но давай, я знаю, это похоже на такую замечательную идею! Я знаю, что ваше устройство может стать следующей значимой вещью. Но … 

Когда вы подключаете устройство к общедоступному Интернету, вы фактически несете ответственность не только за владельцев и пользователей этого устройства, но и за всех других пользователей и устройств в Интернете. 

Если ваше устройство взломано, влияние этого намного больше, чем та головная боль, которую это вам дает. И, да, эта головная боль может быть серьезной. 

Когда производители автомобилей проектируют и поставляют автомобиль, они берут на себя ответственность за выпуск и обеспечение отзывов на весь срок службы автомобиля. Кроме того, NTSB требует, чтобы производители автомобилей быстро ремонтировали автомобили при возникновении конструктивных дефектов. 

Аналогичным образом, разработчики устройств несут ответственность за уход за устройством, которое они производят на протяжении всего срока службы устройства. Если устройство должно быть открыто в общедоступном Интернете, оно должно иметь производителя, который сможет обеспечить информационную безопасность на протяжении всего срока службы. 

По мере того как мы внедряем устройства глубже в структуру общества - в больницах, важнейших элементах инфраструктуры и другой технике, нуждающейся в безопасности, как мы можем позволять что-нибудь меньшее?

Сумасшедшие устройства IOT и ужасающая безопасность

За прошедший год мы увидели сумасшедшее множество устройств, «улучшенных» благодаря их подключению к Интернету: лотки для яиц, дозаторы для собак, спортивные трекеры для собак, двери для собак, электроинструменты (что может пойти не так), детские игрушки, автомобили, бесчисленные веб-камеры, детские комбинезоны, зубные щетки, расчески, зеркала, туалеты (ум немного боится этого), кровати и, конечно же, подушки. Наверное, это может дать совершенно новое значение для разговоров на подушках.


В течение многих лет я работал со встроенными устройствами, и мне нравилось наблюдать, как два встроенных веб-сервера получают рыночное продвижение в Embedthis Software. Со временем я видел множество примеров ужасных методов безопасности. Я потерял подсчет количества раз, когда видел устройства с пустыми или тривиальными паролями по умолчанию, легко взламываемые учетные записи, формы входа без шифрования, распространенные недостатки XSS и т. д. Я видел ужасно плохие методы безопасности и повсеместное отсутствие понимания и оценки основных принципов безопасности. Это не только проблема с молодыми производителями, но я видел это с крупными производителями транспортных устройств в объемах десятков миллионов единиц. 


Итак, как мы создаем безопасные устройства?

Хорошей новостью является то, что ответы хорошо распространены и понятны в общем веб-пространстве. Плохая новость заключается в том, что разработчики устройств IOT широко не использует это. Хотя это не исчерпывающий список, разработчик устройств должен по крайней мере сделать следующее, чтобы обеспечить безопасный дизайн и реализацию:

• Наем персонала, который специально обучен и опытен в области безопасности в Интернете

• Приоритет функций безопасности и безопасности как таковой в устройстве с самого начала

• Убедитесь, что устройства могут быть автоматически и безопасно обновлены, и исправлены на протяжении всего срока службы устройства для любой обнаруженной уязвимости, не требуя вмешательства пользователя

• Поддержание персонала и инфраструктуры для подготовки и доставки обновлений безопасности на весь срок службы устройства

• Защитите данные на устройстве, используя надежное шифрование

• Используйте TLS для шифрования сообщений и аутентификации ,и авторизации конечных точек связи

• Используйте лучшие практики для входа в систему и сброса пароля - не пренебрегайте этим

• Храните пароли с использованием криптографических хэшей с высокими рабочими факторами, такими как «bcrypt»

• Выполните проверку безопасности всего проекта и на протяжении его реализации

• Проведите подробное тестирование на проникновение и слабые места устройства

Разработчик устройств НИКОГДА не должен:

• Использовать стандартные или пустые пароли в заводских настройках.

• Иметь какие-либо недокументированные и неопубликованные средства доступа к устройству, включая учетные записи

• Использовать базовую или краткую HTTP-аутентификацию (они оба имеют критические недостатки в реализациях браузера и не могут надежно реализовать выход из системы)

 

Если все разработчики устройств будут делать это, и если пользователи будут требовать такое, тогда Интернет Вещей будет процветать, и мы все будем богаче от этого. Без этого ... подумайте о том, как будет выглядеть будущее. 

 

Источник: https://goo.gl/aZymhO

Перевод 29.11.2017