Здравствуйте, Sinclair, Вы писали:

N>>Только вот тут начинается особенность — нормальные люди все эти потрошка не выставляют в интернет голым мировым задом даже при наличии адресов. Им дают link-local, site-local (да, формально устаревшие), и прочее. Это если вообще у них будут IP адреса, а не локальные идентификаторы какой-то другой системы. Времена энтузиазма 90-х, когда думали, что можно выставить всех напрямую, давно прошли (ну, у вменяемых, разумеется. в разум комитетов я давно не верю), каждый очередной CVE и смысл буквы S в аббревиатуре IoT этому помогает.

S>У меня есть сомнения в критериях нормальности тут. Потому что вы пересказываете иными словами историю ранней IP-телефонии, когда каждый телефон при пробуждении тупо шёл по ftp://localname/mymacadress.xml и качал свою конфигурацию (включая SIP username & password). Потому что "нормальные люди все эти потрошка не выставляют в интернет голым мировым задом", сталбыть и секьюрности никакой не надо.
S>А потом наступил Cloud IP Telephony, когда у пользователя телефоны вполне себе торчат во внешнюю сеть, и никакого локального FTP-сервера для файлов конфигурации не существует.
S>И тут-то все и забегали — внезапно выяснилось, что толковые пацаны успешно угоняют пользовательские аккаунты и прекрасно звонят родственникам в антарктиду за счёт посторонних абонентов.

S>А всего-то надо было с самого начала вклеивать в устройства поддержку SSL и идентификацию по device certificate.

Да, позиция понятна и какая-то аналогия есть. Но очень ограниченная и как раз из первой части понятно, почему.

Когда были первые IP-телефоны, у них были крайне ограниченные ресурсы. Это ведь ещё 90-е. Что можно было поставить, например, в Cisco ATA186, Sipura 2000 и тому подобные железяки?
Я их разбирал. Внутри у SPA2000 (позднее Cisco PAP2) были:
1) Процессор — не помню как звался, но на MIPS-X(!), разработанный для проигрывания VideoCD(!) и потому имевший аппаратные подпорки для ITU-T кодеков.
2) ISA сетевуха Realtek 8019.
3) Силовой чип для поддержки абонентской линии. (В последующих зверях типа SPA841 — для телефонной трубки.)

Впихнуть туда что-то, умевшее SSL, просто не получалось (или жестоко тормозило). Это началось уже начиная с первой половины 2000-х, и началось именно с замены железа.

А вот в случае IoT всё сильно разнообразнее. В какой-нибудь электросчётчик впихнуть то, что умеет сформировать, закодировать и подписать пакет данных, не проблема: если оно сожрёт дважды в сутки два ватта в течение трёх секунд, никто и не заметит. Но там есть и такие устройства, которые должны висеть на внешней стене дома и работать 5 лет от одной батарейки — и при этом регулярно слать свой статус.

(Справедливости ради, такие устройства и не будут цепляться к 5G или что там сейчас. У них будет LoRa или что-то похожее. Вот там вообще раутинга не будет, только точка-точка.)

Но я согласен с тем, что нормальная защита в IoT придёт ещё не скоро. По этой аналогии или нет, но в ближайшие надцать лет выпускать их в большой внешний мир будет нежелательно.

S>Аналогичные проблемы были с железом для видеоконференций: дегенераты-электронщики всё проектировали в парадигме "secured perimeter" и "corporate VPN". Поэтому примерно любой желающий с порт-сканнером мог безо всяких кредов зайти и посмотреть на митинг румы штаб-квартир корпораций из Fortune 500.

А это уже проблема администрирования. Для видео нет портящих тут картину жёстких лимитов по железу, иначе оно не работало бы. Но запрос на "secured perimeter" и "corporate VPN" шёл и идёт не от электронщиков, а как раз от корпоративных админов и безопасников. Потому что те люди, что есть, не потерпят чрезмерных ограничений со стороны техники, они с ними не справятся. А защита в стиле "попал в периметр — уже имеешь какие-то права" это то, что работает как адекватный компромисс между шлепанутыми менеджерами по маркетингу и шизанутыми безопасниками.

S>IoT — это ровно та же история, когда мы применяем "простую железку", и нам категорически не хочется думать ни о правилах файрволла для неё, ни о том, чтобы её как-то конфигурировать "локально".
S>Воткнул — работает. Отсканировал QR-код, зарегистрировал на себя у вендора, и настроил через вендорскую же контрольную панель. То, что лампочка с выключателем будут общатся по локальной сети — это, конечно плюс; но возможность выключить утюг, уже сидя в самолёте таки требует доступа в большой интернет.
S>И вот иллюзия того, что от хакеров можно защититься NAT-ом, а не криптографией — это иллюзия. Если протокол засекьюрен, то наличие прямого доступа ничем хакерам не поможет. (на всякий случай напомню, что примерно любой желающий сейчас эксплуатирует домашний роутер на белом IP-адресе; так что как минимум одна железка из дома торчит наружу — и никаких массовых взломов этих роутеров не происходит). Если не засекьюрен — то никакой NAT не спасёт: рано или поздно атака будет выполнена.

Это всё потому так, что тема тех же раутеров уже стабилизировалась — что они делают, как и почему. Любой очередной Лян Ляо, решивший производить теперь с клубничным вкусом, просто берёт готовую разработку вплоть до корпуса и мажет его клубникой со своей грядки.
А для IoT до стабилизации ещё долго.

А стабилизируется IoT — ещё что-то выползет...