Европейский институт телекоммуникационных стандартов (European Telecommunications Standards Institute, ETSI) опубликовал технические спецификации, призванные повысить безопасность бытовых IoT-устройств. Авторы рекомендаций рассчитывают, что документ поможет производителям избавить продукты от множества мелких проблем, которые сегодня приводят к серьезным последствиям.

По словам экспертов ETSI, растущая популярность Интернета вещей создает множество проблем — угрозы приватности и персональным данным, IoT-ботнеты и разрушительные DDoS-атаки. Предложенные меры отвечают на все эти угрозы, закладывая базовые установки для защиты как самих устройств, так и построенных на них сервисов.

Заводские пароли. Все коды доступа к IoT-устройствам должны быть уникальными. Производителям следует убрать функции, позволяющие вернуть некое базовое значение пароля.

Обновление ПО. Все IoT-устройства, попадающие под действие нового стандарта, должны иметь функцию безопасного апдейта. Кроме того, производители или поставщики сервисов должны оперативно доносить до пользователей информацию об актуальных версиях ПО. Те продукты, которые невозможно обновить по воздуху, следует изолировать до замены аппаратной начинки.

Работа с важной информацией. Все логины, пароли и прочие закрытые данные необходимо держать в защищенном хранилище. При этом не стоит прописывать их в коде устройства, поскольку такая информация восприимчива к реверс-инжинирингу.

Безопасная передача данных. IoT-устройства должны использовать шифрование при любых процессах, связанных с удаленным управлением и настройкой.

Сокращение площади атаки. Эксперты призывают производителей использовать принцип минимальных прав. Это означает, что программные процессы должны исполняться только на том уровне привилегий, который необходим для текущих задач. Все неиспользуемые компоненты — программные модули, сетевые порты и прочее — должны прекращать работу, а разработчикам не следует оставлять в коде скрытые функции.

Целостность ПО. Чтобы преступник не мог подменить прошивку устройства, необходимо проверять ее с помощью защищенных аппаратных модулей. При обнаружении вмешательства соответствующие уведомления должны получить и владелец гаджета, и разработчик.

Проверка поступающих данных. Все команды и прочая информация, которую можно ввести через пользовательский интерфейс, должны проходить валидацию перед тем, как устройство примет их в обработку.

Защита персональных данных. Потребители Интернета вещей должны четко понимать, какую конфиденциальную информацию использует устройство, зачем это нужно и кто может ее просмотреть. Любые связанные с этим процессы можно запускать только с согласия пользователя. При необходимости владелец устройства должен иметь возможность быстро удалить все свои данные.

Устойчивость к сбоям. Компаниям следует свести к минимуму зависимость от внешних сетей — электрических и коммуникационных. При возобновлении коммуникации IoT-устройство должно возвращаться к нормальной работе максимально бесшовным образом.

Авторы подчеркивают, что рекомендации ориентированы именно на потребительский сектор Интернета вещей. Стандарты безопасности для промышленности и здравоохранения будут сформированы отдельно.

В январе инженеры BlackBerry предложили IoT-специалистам набор средств разработки с расширенными функциями безопасности. Их решения защищают пользователей от компрометации устройств и упрощают производителям хранение наиболее ценной информации.

Категории: Вредоносные программы, Главное, Кибероборона, Хакеры