| +22 голоса |
|
Исследователи безопасности обеспокоены последствиями растущей популярности у производителей устройств Интернета Вещей (IoT) сторонних библиотек – готовых наборов кода, которые те могут использовать в своих устройствах, вместо того, чтобы писать код с нуля. При таком подходе любая уязвимость в часто используемых библиотеках автоматически переносится в огромную массу устройств IoT.
В исследовании, представленном на недавнем симпозиуме по безопасности USENIX, сотрудники Факультета компьютерных наук (CSD) Университета Карнеги-Мэллона (CMU) проверили 122 программных прошивки для 27 различных устройств умного дома, выпущенных за последние восемь лет. Их цель заключалась в том, чтобы узнать, насколько широко используются общие библиотеки среди поставщиков устройств, обновляются ли эти библиотеки для устранения уязвимостей и насколько быстро эти патчи попадают в конечное IoT-оборудование.
Они обнаружили, что отставание в применении общедоступных критических исправлений безопасности у ряда библиотек достигало сотен дней. Главный же вывод исследования заключается в том, что полагаться на то, что отдельные поставщики Интернета вещей будут оперативно обновлять используемые ими библиотеки, в целом, проблематично: это требует от последних слишком больших усилий, но дает им очень мало взамен.
Чтобы помочь устранить огромную угрозу для домашней среды IoT от неаккуратно обновляемых библиотек, команда CMU предложила новую систему под названием Capture. Она позволяет устройствам в локальной сети, такой как домашняя сеть Wi-Fi, использовать централизованный хаб, контролирующий их безопасность и регулярность обновления библиотек.
Чтобы гарантировать изоляцию Capture, авторы добавили новый интерфейс Virtual Device Entity (VDE), который облегчает управление доступом между устройствами с нулевым взаимным доверием, находящимися на одном хабе, создавая отдельный инстанс VDE для каждого из них.
Код для Capture с открытыми исходниками доступен на Github.
При тестировании новой системы несколько устройств IoT были успешно модифицированы для работы с Capture с минимальным ущербом для их производительности: задержка увеличилась менее, чем на 15%, а использование ресурсов – менее, чем на 10%. Было показано, что один Capture Hub со весьма скромным аппаратным обеспечением способен поддерживать сотни устройств, гарантируя актуальность их общих библиотек.
Не только пользователи умных домашних устройств получат выгоду от дополнительной защиты, которую может обеспечить Capture – в использовании системы могут быть заинтересованы и сами поставщики устройств, так как это избавляет их от необходимости самостоятельно следить за поддержанием безопасности своей продукции – дело, с которым они в любом случае часто не справляются.
Разработчики системы признают несколько существенных её недочётов, например тот факт, что Capture создает единую точку отказа. Эти ограничения – предмет дальнейшей работы.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +22 голоса |
|
