Projekt OWASP TOP 10 dla programistów… sprzętu AGD

Już niedługo na exploit-db.org będzie wysyp exploitów w rodzaju „Bosch KGV36VL30E fridge Remote Fruit&Vegetable Container Opener”

:D

Help, mój ekspres leje wino zamiast kawy!

@MateuszM

Niestety, ale to już się dzieje i nie liczyłbym tutaj na zdrowy rozsądek kogokolwiek (a producentów tym bardziej).

„Internet of Things” pojawił się w idealnym momencie. Ten moment to XXI wiek i praktycznie stagnacja, jeśli chodzi o nowe rozwiązania techniczne w produkowanym sprzęcie. Przez jakiś czas producenci zarówno sprzętu AGD, RTV jak i samochodów próbowali grać nutą „eko”, ale i to po jakimś czasie stało się oklepane i konsumenci już nie łykają tak łatwo zielonej propagandy.

Internet i generalnie komputery (w sensie komputerów osobistych, nie np. sterujących silnikiem) pierwsi z powodzeniem zaczęli wykorzystywać wg. mnie producenci samochodów (wszystkie systemy infotainment, nawigacja połączona z mapami Google, połączenia z centrami alarmowymi itp.), a zaraz po nich branża RTV (Smart TV, VoD wbudowane w telewizory itd.). Teraz nadeszła kolej na branżę AGD.

XX wiek stał pod znakiem konkurencji technicznej. Nowe generacje samochodów czy sprzętu faktycznie wprowadzały nową jakość (np. ewolucja diesli od rzędowej pompy wtryskowej, poprzez turbodoładowanie, wtrysk bezpośredni, aż po najnowsze układy Common Rail; automatyczne skrzynie biegów – od nieruchawych 3-biegowych ze sprzęgłem hydrokinetycznym, po dzisiejsze 7-io czy nawet 8-io biegowe, sekwencyjne skrzynie z podwójnym sprzęgłem).
To samo branża RTV czy audio – od czarnobiałych kineskopów po kolorowe ekrany plazmowe i wyświetlacze LCD wysokiej rozdzielczości.

To się skończyło, ciężko wymyślec i wprowadzić do produkcji coś naprawdę innowacyjnego (4D to nie innowacja, to tylo zwiększanie ilości pikseli). Wszystko, co nowe, powiela znane schematy, tylko w nowszym opakowaniu. I tu nadeszło zbawienie w postaci internetu i social media. Szlak przetarły urządzenia w postaci tabletów, smartfonów i komputerów przenośnych. Producenci zobaczyli, że konsumenci lubią kolorowe wyświetlacze, najlepiej dotykowe. No i zaczęła się jazda bez trzymanki, której efektem będzie (już jest?) „Internet of Things” – wszystko, co tylko spełnia jakąś funkcję użytkową, od teraz będzie mogło spełniać ją równocześnie udostępniając do tego dostęp poprzez internet i wyświetlacz.

To jest oczekiwane zbawienie dla całego światowego przemysłu i coś, co może ponownie napędzić konsumpcję do skali znanej z lat 80-tych i 90-tych. Wszystko oczywiście ubierze się w odpowiednią otoczkę marketingową, okrasi olśniewającymi reklamami itd. Wszystko w imię nowych zysków.

A druga strona medalu – wiemy, co nas czeka. W parze z pośpiechem kierującym chęcią bycia lepszym, pierwszym itd. nie pójdzie na pewno jakość softu w takich sprzętach. Dodatkowo ich podpięcie do internetu zwielokrotni ryzyko. Botnety oparte o urządzenia AGD, włamania do sieci domowych i firmowych poprzez podatne interfejsy administracyjne takich urządzeń (że piszę bzdury? A ataki na sieci korporacyjne z wykorzystaniem np. drukarek? A dziury w urządzeniach sieciowych, o których pełno można przeczytać choćby na Sekuraku?).

Każde urządzenie mające adres IP i dostępne z zewnątrz będzie potencjalnie nowym punktem wejścia do dowolnej sieci. Cieszy to, że OWASP jako jedna z pierwszych organizacji widzi to zagrożenie i już nas na nie szykuje.

To już było – początki internetu (lata 90-te) i ataki na serwery, których oprogramowanie nie było przystosowane do obrony przed nowymi zagrożeniami, potem początek ery www i „ataki” na ciasteczka przechowujące 'admin=1′, zanim webmasterzy nie nauczyli się, że choć ciasteczek „nie widać”, to one jednak są :). Potem nadeszła era Web 2.0 – i znowu, zanim cały światek programistyczny się ogarnął, takie rzeczy jak SQLi, słabe mechanizmy autoryzacji, LFI, RFI, ataki poprzez niezabezpieczone requesty asynchroniczne i tak dalej były chlebem powszednim.

To samo czeka „Internet of Things”.

Jedyne, czego się obawiam, to to, że wielu programistów nie nadąża za rozwojem tych zagrożeń. O ile zagrożenia z ery początków internetu i ery 'admin=1′ w ciasteczku raczej mamy za sobą (przynajmniej nie są to tak powszechne podatności, jak wtedy), o tyle zagrożenia związane z Web 2.0 nadal pozostają słabą stroną dużej części aplikacji webowych.

Gdy nałożymy na to początkową fazę IoT, możemy mieć problem. Duży problem. Naprawdę stoimy przed ogromnym wyzwaniem, jak przeciętnemu, nie obeznanemu z bezpieczeńswtem użytkownikowi – to bezpieczeńswto zapewnić. Na producentów nie ma co liczyć, każdą wpadkę będą łatać na bieżąco, pijarowo zamiatając problem pod dywan. Jak pokazuje historia, nawet bardzo duże wpadki w obszarze security nie zaszkodziły mocno żadnej firmie, bo po prostu takie rzeczy owszem, są medialne, ale tylko przez moment, i konsumenci szybko zapominają (bo to trudny temat).

@MateuszM
Zapomniałeś, że żyjemy w czasach, w których na pierwszym miejscu stawia się zysk i ciągłe wzrosty (wszystkiego: sprzedaży, zysku R/R, udziału w rynku). Komu nie „wzrasta”, ten się cofa.

Idee, filozofie i zasady odeszły w kąt i stały się domeną pasjonatów. A rynek – rynek rządzi się prawem $$$.

Przemysł wkracza w erę IoT, gdzie wszystkie urządzenia będą „smart” i „intelligent” i to będzie teraz mocno eksponowane.
Jeśli konsumenci będą chcieli oglądać „misia kolabora” na ekranie lodówki – to zapewniam Cię, że taka lodówka na rynku się pojawi i nikt nie będzie przejmował się głosem paru krytyków, że nie bardzo chłodzi.