В последнее время ИБ-эксперты со всего мира заговорили о безопасности интернета вещей. О том, что IoT-устройства, как правило, защищены из рук вон плохо, известно давно, однако череда недавних DDoS-атак заставила обратить на данную проблему пристальное внимание. Напомню, что за последние пару месяцев ботнеты, созданные на базе трояна Mirai, использовались для атак на европейского хостера OVH (1,1 Тб/с), известного ИБ-журналиста Брайана Кребса (620 Гбит/с), а также на DNS-провайдера Dyn, что вообще привело к недоступности огромного числа интернет-ресурсов.
Ботнеты из IoT-устройств сейчас настоящий тренд, их формируют вредоносы Mirai, GafGyt, LuaBot, Kaiten, BillGates, Rex, IRCTelnet и другие. Что характерно, малварь просто находит «умные» устройства с открыты портами Telnet или SSH, а затем использует для взлома обычный брутфорс. Проблему признают все, включая Марка Шаттлврота (Mark Shuttleworth), основателя Canonical:
«Мы всегда смотрели на Windows, как на уязвимую платформу, но теперь старые Linux-устройства оказались настоящей уязвимостью».
Облегченная альтернатива дистрибутива Ubuntu — Ubuntu Core существует давно, однако у специалистов имелось немало претензий к дистрибутиву, который предназначен для IoT-устройств, контейнеров, промышленного оборудования, дронов и так далее. Теперь разработчики уверяют, что в Ubuntu Core 16 они, в частности, поработали именно над безопасностью, и IoT-устройства, которые чаще всего работают под управление Linux-систем, смогут стать лучше.
Основным нововведением является использование технологии Snappy, которая, по словам разработчиков Canonical, защитит IoT-устройства от хакеров и потери данных. Данный метод упаковки (snaps) Linux-приложений и компонентов позволяет убедиться, что все надежно защищено, подписано, монтируется в режиме read-only и так далее. Технология Snappy должна защитить компоненты IoT-устройств от малвари, так как вредоносам станет значительно труднее вмешаться в работу основных библиотек и процессов, а также что-либо подменить.
Поработали разработчики и над обновлениями, потому что попытка «заткнуть дыры» и замена прошивки на IoT-устройствах – это отдельная головная боль. Теперь ОС поддерживает атомарное обновление (при помощи snap-пакетов), а значит, производители смогут осуществлять безопасное обновление отдельных компонентов системы. Также появилась поддержка так называемых transactional update, а значит, если в процессе установки обновления что-то пошло не так, старая прошивка вернется на место, и устройство продолжит свою работу.
«Производителям не нужно устройство с их брендом, на которое невозможно доставить обновления, а если возможно, то его все равно никто не обновляет, — говорит Шаттлворт. — Сейчас все приходят к мнению, что они несут ответственность за всё, что продали».
Разработчики Ubuntu уже сотрудничают с такими крупными вендорами как IBM и Dell, чтобы наконец дать производителям возможность доставлять обновления на свои устройства автоматически, в случае обнаружения проблем. По сути, это некий аналог over-the-air обновлений Android, только продуманный куда лучше и синхронизированный с составом Ubuntu Linux.
