Латание брешей в существующих устройствах, подключенных к Интернету, — задача не из легких, однако Федеральная торговая комиссия США уверена, что адекватное решение можно найти, если приложить к этому все возможные усилия.

На днях американский регулятор запустил IoT Home Inspector Challenge, открытый конкурс на приз за лучшее решение по патчингу подключенных к Интернету устройств потребительского класса, используемых в домах. Для некоторых IoT-устройств любое решение, созданное в рамках данного конкурса, выльется в апгрейд, поскольку систем автоматизированного обновления для них не существует. Претенденты на участие в конкурсе должны до 22 мая представить подробное описание инструмента, способного защитить пользовательские устройства, на которых работает уязвимое ПО. Победители будут объявлены в конце июля; за лучшее решение будет выплачено $25 тыс., предусмотрены также поощрительные премии размером $3 тыс.

По словам Рут Йодаикен (Ruth Yodaiken), атторнея из подразделения ФТК по защите приватности и персональных данных, комиссия озаботилась проблемой защиты привязанных к дому IoT-устройств еще в 2013 году и не раз принимала меры против компаний, не использующих механизмы защиты в своих устройствах. Нынешний конкурс — уже четвертый случай реализации закона America COMPETES Act (о конкурентоспособности США) от 2007 года; он демонстрирует положительный сдвиг в сторону реально ощутимой защиты потребителя.

«Мы ждем подробную документацию, в которой была бы рассмотрена разработка устройства с пояснением для наших экспертов, каким образом решается проблема, — пояснила Йодаикен. — Участником может стать кто угодно. Такие конкурсы хороши тем, что иногда в них принимают участие не профессионалы, а просто умельцы, желающие защитить потребителя в его доме и способные получить поистине замечательные и новаторские результаты».

Со слов Йодаикен, подготовка конкурса началась еще до октябрьских DDoS против DNS-провайдера Dyn и других веб-сервисов. Эти атаки лишний раз подчеркнули важность защиты подключенных к Интернету устройств. «Об уязвимости этих устройств к атакам много говорили и ранее, однако после октябрьских атак такие дискуссии вспыхнули с новой силой, поскольку злоумышленники задействовали устройства, размещенные в домах пользователей, — подтвердила Йодаикен. — Я бы охарактеризовала это как сложную обстановку, которую мы пока пытаемся разрядить хотя бы в малой мере. Джинн вырвался из бутылки, и все увидели, что бывает, когда подключаешь устройства к Интернету. Мы надеемся, что это породит новые идеи».

Правила подачи заявок в рамках IoT Home Inspector Challenge и детали оформления изложены на специализированном сайте ФТК. Конкурсантам рекомендуется уделять основное внимание патчингу, особо оговорены вшитые в код дефолтные и слабые пароли, вроде тех, списком которых оперирует Mirai. Участников конкурса также просят прилагать к документации короткий видеоролик, демонстрирующий работу предлагаемого инструмента.

«Подобный инструмент может представлять собой физическое устройство для домашней сети, которое проверяет наличие обновлений и устанавливает их на другие IoT-устройства в этой сети, — сказано на сайте ФТК. — Это могут быть приложение или облачный сервис, позволяющий по введенному номеру модели IoT-устройства получить информацию о порядке установки обновлений. Панель управления или другой пользовательский интерфейс могут информировать пользователя о том, какие устройства уже обновлены, какие содержат пока не пропатченные уязвимости и даже какие уже не поддерживаются производителем».

Категории: Главное, Кибероборона, Уязвимости