НОВИНИ

Як убезпечити оновлення бібліотек локальних IoT-пристроїв

2021-08-28
Автор: Телесфера

 

Дослідники безпеки стурбовані наслідками зростаючої популярності у виробників пристроїв Інтернету Речей (IoT) сторонніх бібліотек - готових наборів коду, які ті можуть використовувати в своїх пристроях, замість того, щоб писати код з нуля. При такому підході будь-яка вразливість в часто використовуваних бібліотеках автоматично переноситься на величезну масу пристроїв IoT.

У дослідженні, представленому на недавньому симпозіумі з безпеки USENIX, співробітники Факультету комп'ютерних наук (CSD) Університету Карнегі-Меллона (CMU) перевірили 122 програмні прошивки для 27 різних пристроїв розумного будинку, випущених за останні вісім років. Їх мета полягала в тому, щоб дізнатися, наскільки широко використовуються загальні бібліотеки серед постачальників пристроїв, чи оновлюються ці бібліотеки для усунення вразливостей і наскільки швидко ці патчі потрапляють в кінцеве IoT-обладнання.

Вони виявили, що відставання в застосуванні загальнодоступних критичних виправлень безпеки у ряді бібліотек досягало сотень днів. Головний же висновок дослідження полягає в тому, що покладатися на те, що окремі постачальники Інтернету речей будуть оперативно оновлювати використовувані ними бібліотеки, в цілому, проблематично: це вимагає від останніх занадто великих зусиль, але дає їм дуже мало натомість.

Щоб допомогти усунути величезну загрозу для домашнього середовища IoT від неакуратно оновлюваних бібліотек, команда CMU запропонувала нову систему під назвою Capture. Вона дає їм змогу в локальній мережі, такій як домашня мережа Wi-Fi, використовувати централізований хаб, який контролює їх безпеку і регулярність оновлення бібліотек.

Щоб гарантувати ізоляцію Capture, автори додали новий інтерфейс Virtual Device Entity (VDE), який полегшує управління доступом між пристроями з нульовою взаємною довірою, що знаходяться на одному хабі, створюючи окремий інстанс VDE для кожного з них.

Код для Capture з відкритим вихідним кодом доступний на Github.

При тестуванні нової системи кілька пристроїв IoT були успішно модифіковані для роботи з Capture з мінімальним збитком для їх продуктивності: затримка збільшилася менш, ніж на 15%, а використання ресурсів - менш, ніж на 10%. Було показано, що один Capture Hub зі вельми скромним апаратним забезпеченням здатний підтримувати сотні пристроїв, гарантуючи актуальність їх загальних бібліотек.

Не тільки користувачі розумних домашніх пристроїв отримають вигоду від додаткового захисту, яку може забезпечити Capture - у використанні системи можуть бути зацікавлені і самі постачальники пристроїв, так як це позбавляє їх від необхідності самостійно стежити за підтриманням безпеки своєї продукції - справа, з якою вони в будь-якому випадку часто не справляються.

Розробники системи визнають кілька істотних її недоліків, наприклад той факт, що Capture створює єдину точку відмови. Ці обмеження - предмет подальшої роботи.

Джерело: https://ko.com.ua/kak_obezopasit_obnovlenie_bibliotek_lokalnyh_iot-ustrojstv_138474


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Cisco: гібридна робота веде до відмови від паролів

Cisco: гібридна робота веде до відмови від паролів

Cisco опублікувала новий звіт по ведучому рішенню багатофакторної аутентифікації (MFA) і безпечного доступу Duo Security, який підтвердив, що підприємства відмовляються від використання паролів для захисту гібридних працівників і переходять до природніх (low-friction) методів аутентифікації.

Aruba Instant On або Aruba Instant: що з них підходить саме вам?

Aruba Instant On або Aruba Instant: що з них підходить саме вам?

Компанія Aruba Networks, що входить до складу Hewlett Packard Enterprise (HPE), менше року тому випустила Instant On - рішення для точок доступу all-in-one. Воно обіцяє спростити, оптимізувати і забезпечити безпеку як дротових, так і бездротових мереж для бізнесу. Проте, це звучить підозріло схоже на Aruba Instant, який також пропонує рішення все-в-одному для підприємств зі складними мережевими потребами. Дуже легко заплутатися в цих схожих назвах, що багато хто і робить. У чому ж різниця і які пристрої підходять саме вашому бізнесу?

Як убезпечити оновлення бібліотек локальних IoT-пристроїв

Як убезпечити оновлення бібліотек локальних IoT-пристроїв

Дослідники безпеки стурбовані наслідками зростаючої популярності у виробників пристроїв Інтернету Речей (IoT) сторонніх бібліотек - готових наборів коду, які ті можуть використовувати в своїх пристроях, замість того, щоб писати код з нуля. При такому підході будь-яка вразливість в часто використовуваних бібліотеках автоматично переноситься на величезну масу пристроїв IoT.