Kas jāņem vērā, iegādājoties internetam pieslēgtu ierīci

apr. 09 2017

Arvien vairāk industriāli attīstītajā pasaulē sāk izmantot internetam pieslēgtas ierīces (t.s. lietu/lietisko internetu jeb IoT — Internet of Things), kuru ražotāji apgalvo, ka tās atvieglo mūsu sadzīvi, bet nereti tās sagādā tikai papildu rūpes un raizes.

Šeit ir uzskaitīts, kas jāņem vērā, iegādājoties IoT ierīci savā mājā vai birojā.

Saturs

Vai ierīces programmatūra ir atvērtā pirmkoda programmatūra?

Ja ierīces programmatūra nav atvērtā pirmkoda programmatūra, iespējams, ka ražotājs:

  • neinteresējas, kādu programmatūru ierīcē viņš izmanto un patiesībā nezina, kas tajā notiek;
  • pārkāpj kāda cita ražotāja patentus, autortiesības vai zīmola ierobežojumus (t.s. "intelektuālās tiesības") un riskē, ka konkurenti tā biznesu var iznīcināt, iesūdzot to tiesā;
  • cenšas panākt drošību no nezināšanas;
  • ierīcei ir ieplānojis novecošanos un to, ka jums būs jāpērk jaunākā ierīces versija, kad tas izlaidīs jaunāku "un labāku" ierīces versiju.

Pilnībā uzticēties varat tikai tām ierīcēm, kurās izmanto atvērto pirmkodu.

Svarīgi ir ne tikai redzēt ierīcē izmantoto pirmkodu, bet arī iespējai no tā pašam iegūt ejošu programmu, jo tikai tā varat būt pilnīgi droši, ka ierīcē izmanto to kodu, kuru varat apskatīt. Kods nav obligāti jākompilē katram. Pietiek, ka to var izdarīt pietiekami daudz interesentu.

Vai ierīce atbalsta interneta protokola 6. versiju (IPv6)?

Ja ierīce neatbalsta IPv6, tās ražotāji neinteresējas par tās nākotni un ilgtspējīgu darbību. Interneta protokola 4. versija (IPv4), atbalsta tikai nepilnus 4 miljardus publisko adrešu un praktiski visas no tām jau ir aizņemtas. Tāpēc, sazinoties ar IPv4, ierīces izmanto privātas, no publiskā tīkla nesasniedzamas, aiz NAT paslēptas adreses. Un tāpēc jūs nevarat pieslēgties savai ierīcei tieši uz globāli zināmu un sasniedzamu IP adresi, bet tā vietā gan jūs, gan jūsu IoT ierīce ražotāja "mākonim" kā publiski sasniedzamam starpniekam pieslēdzas. Šis starpnieka nepārtraukta darbība nosaka visu IoT ierīču darbību:

  • Ja tajā vai tā izmantotajā Amazon, Goole, Microsoft vai SAP servisā notiek kāda ķibele, jūsu ierīce nedarbosies.
  • Ja to uzlauž, visticamāk ļaundari iegūs pieeju arī jūsu ierīcei un datiem tajā.
  • Nebrīnieties, ka jūsu ierīce nestrādās, ja ražotājs pārtrauks savu biznesu, pārdosies vai apvienosies ar kādu citu kompāniju.

Ierīču ražotāju atrunas par to, ka daudzi interneta pakalpojumu sniedzēji (ISP) nenodrošina IPv6, ir tikai atrunas. Jo tieši ar to pašu (tikai pretēji) atrunājas ISP, sakot, ka nav pietiekami daudz ierīču, kas IPv6 prastu izmantot.

Vai ierīce saziņā izmanto atzītus interneta standartus?

Bez saziņas lietu internets būtu tikai lietas. Datu pārraide ir to pamatīpašība, tāpēc ir svarīgi, lai saziņas pārtvērēji pārraidītos datus nevarētu noklausīties un uzlauzt. Ja ierīce datu pārraidi šifrē ražotāja "īpaši izstrādātā superdrošā" veidā, tas ir tikai nedaudz drošāk, kā  nešifrēt nemaz. Ražotāju "īpaši izstrādātos drošais protokols" ir izstrādāts nevis datu drošai pārraidei, bet gan konkurences mazināšanai, jo konkurentiem ir jāsaprot, kā tieši attiecīgā ierīce veic šifrēšanu un pārvaldību.

Ja ierīce izmanto atzītus interneta standartus, tās ražotājs jūsu drošību vērtē augstāk par savām privilēģijām.

Nozarē atzīti standarti datu pārraidē un šifrēšanā ir, piemēram: IPsec, DDS, TLS, PPTP, HTTPS, SSH, AES, RSA. Standartu ievērošana nodrošina to, ka:

  • dati tiek šifrēti uzticamā un grūti uzlaužamā veidā,
  • jūs varat savietot dažādu ražotāju ierīces, kas izmanto kopīgu datu apmaiņas standartu.

Vai ražotājs regulāri publicē ierīces programmatūras atjaunojumus?

Ja ierīces ražotājs regulāri nepublicē programmatūras atjaunojumus, viņu neinteresē pārdoto ierīču un to lietotāju liktenis. Ja ierīcei nav paredzēta (vēlams automātiska) programmatūras atjaunošana, tā ir tikai vienas dienas spēļmantiņa "gadžetu mīlētājiem", jo, agrāk vai vēlāk, tā kļūs par krakeru, spameru u.c ļaunprāšu izmantotu līdzekli.

Pēdējo lielāko interneta darbības traucējumu ASV vēsturē radīja uzlauztas IoT ierīces.

Vai ražotājs piedāvā ierīces tehnisko atbalstu?

Ja ražotājs nenodrošina tehnisko atbalstu, viņš jau savā biznesa plānā ir paredzējis ar šādām izmaksām nerēķināties un galvenais tam ir radīt jūsos atkarību. Viņu plāns ir padarīt jūs atkarīgus, un jūsu atkarību pārvērst naudā. Tāpat kā smēķētāju, alkoholiķu u.c. atkarīgo veselība, jūsu drošība un privātums ir jūsu pašu ziņā.

Vai ierīces ražotājam ir laba reputācija?

Neviens nav pasargāts no kļūdām, bet ir svarīgi, vai no tām mācās. Ja ražotāja ierīcē ir atklāta drošības kļūda ir svarīgi, vai tas ir veicis pasākumus, lai tas neatkārtotos.

  • Vai kļūdas labojumi ir izplatīti ātri?
  • Vai ir aprakstīts, kas mainīts ierīces iestatījumos, dizainā, pārvaldības paņēmienos?

Ja kādi pētnieki ir norādījuši uz ierīces nedrošību, kā ražotājs uz to ir reaģējis?

  • Vai ir iesūdzējis tos tiesā?
  • Vai ir pieņēmis kritiku un ieviesis uzlabojumus?

Vai nepastāv līdzīgas ierīces bez interneta pieslēguma?

Vairums IoT ierīču ir sen zināmas ierīces (printeri, tosteri, ledusskapji, plītis u.tml.), kurām ražotāji ir pievienojuši mikroshēmu ar pielāgotu operētājsistēmu (t.s. System on Chip — SoC) divu iemeslu dēļ:

  • Tagad to var atļauties.
  • Var nopelnīt, sniedzot citus pakalpojumus, var pārdodot datus par jums tālāk reklāmdevējiem u.c.

Ja sabiedrībā jau sen ir zināma līdzīga ierīce, kuru var itin labi lietot arī bez pieslēguma internetam, ir gana liela varbūtība, ka attiecīgā IoT ierīce nav īstais ražotāja peļņas avots. Iespējams, ka šī ierīce ir ceļš uz jūsu privāto dzīvi un īstais bizness ir dati (un zināšanas) par jums.

Ko darīt, ja uz kādu jautājumu atbilde ir "Nē"?

Ja uz kādu no šiem jautājumiem atbilde ir "Nē", tad no veselā saprāta un IT labās prakses viedokļa ierīce nav gatava lepni pārstāvēt lietu internetu un nav pelnījusi atrasties jūsu mājā vai birojā.

Jūs varat lietot šādu ierīci tik un tā, mainīt noklusētās nedrošās paroles uz grūti uzminamām, ierobežot ierīču piekļuves tiesības, ieviest papildu autentifikācijas veidus, cīnīties ar ierīču iestatījumiem, baudīt un mēģināt. Bet sekas, kā jebkurai dēkai, var būt neparedzamas.

Izveidojis Valdis Vītoliņš 2017-04-09 17:20
Pēdējais mainījis Valdis Vītoliņš 2017-04-10 12:22
 
Xwiki Powered
Creative Commons Attribution 3.0 Unported License