Частина 1. Загрози у світі речей інтернету (Безпека інтернету речей)

Сфера Інтернету речей: Ризики та Превентивні заходи

Це може включати в себе оновлення програмного забезпечення, використання надійних методів аутентифікації та шифрування даних, а також навчання користувачів правилам кібербезпеки. Це сприяє зменшенню загроз та забезпечує безпеку та приватність в IoT-середовищі. Якщо ви живете в багатоквартирному будинку, то, ймовірно, вас оточують об’єкти Інтернету речей (Internet of Things – IoT). Сотні людей щогодини кидаються по вулиці «Комп’ютери на колесах», кожен з яких напханий датчиками, процесорами і мережевим обладнанням. Багатоповерхові будинки усіяні безліччю антен і тарілок, підключених до інтернету і підключають мережу персональних помічників, розумних мікрохвильових печей, терморегуляторів. Десь у небі мобільні центри обробки даних передають інформацію зі швидкістю сотні кілометрів на годину, залишаючи слід даних ширшим, ніж слід літака. Відвідайте завод, лікарню або магазин електроніки, і ви будете здивовані тим, наскільки широко поширені інтернет-пристрої. З огляду на, що навіть фахівці трактують поняття «Інтернет речей» зовсім по-різному, в цій книзі ми будемо розуміти під ним фізичні пристрої, які мають функціональність комп’ютера, здатні передавати дані по мережі і не вимагають людино-комп’ютерної взаємодії. Для хакерів інфраструктура Інтернету речей – це світ можливостей: мільярди взаємопов’язаних пристроїв, які передають і поширюють дані, створюють величезну платформу для експериментів, виробництва, використання систем і доведення їх до межі. І перш ніж зануритися в технічні деталі злому і захисту Інтернету речей, поговоримо про безпеку Інтернету речей як такого – розберемо його юридичні, практичні та особисті аспекти.

Чому захист IoT важливий?

Можливо, ви знаєте статистику: до 2025 року з’являться десятки мільярдів нових пристроїв IoT, що додасть десятки мільярдів доларів до світового ВВП. Але це станеться тільки в тому випадку, якщо все піде за планом і нові пристрої розкупляться відразу. У той же час ми бачимо проблеми з безпекою, захистом, конфіденційністю та надійністю даних, які перешкоджають реалізації. Міркування щодо безпеки можуть впливати на покупку, а також на ціну пристрою. Повільний розвиток індустрії Інтернету речей пояснюється не лише економічними причинами.

Пристрої IoT можуть полегшити життя в багатьох сферах. У 2016 році на автомагістралях США загинуло 37 416 людей, і, за даними Національного управління безпеки дорожнього руху, 94% цих смертей сталися через людську помилку. Безпілотні автомобілі можуть значно зменшити кількість аварій і зробити дороги безпечнішими – за умови, що вони надійні. В інших сферах життя ми також очікуємо вигоди від впровадження інноваційних технологій.

Наприклад, кардіостимулятори, які щодня надсилають дані лікарям, можуть значно знизити смертність від серцевих нападів. Однак в дискусії, проведеній Товариством серцевого ритму, лікар з Міністерства у справах ветеранів США зазначила, що її пацієнти відмовляються від імплантатних пристроїв, побоюючись злому. Багато виробничників, урядовці та дослідники безпеки вважають, що криза довіри затримає розвиток життєво важливих технологій на роки або десятиліття. Природно, коли технологія активно впроваджується в наше життя, ми повинні твердо знати (а не просто припускати), що вона виправдає довіру.

Згідно з опитуванням споживчого ставлення до Інтернету речей, ініційованим урядом Великобританії, 72% респондентів переконалися, що такі пристрої вже мають систему безпеки. Тим часом для солідної частини виробників безпека пристроїв Інтернету речей є другорядним фактором.

У жовтні 2016 року відбулися атаки ботнету Mirai, які викликали занепокоєння урядів США та інших держав. Ці зростаючі серії атак були націлені на сотні тисяч недорогих персональних пристроїв і використовували загальні заводські паролі, такі як admin, password і 1234. Зрештою, це призвело до  розподіленої атаки типу «відмова в обслуговуванні» (Distributed Denial of Service, DDoS), спрямований на постачальника системи доменних імен (DNS) Dyn, обслуговуючи багатьох американських гігантів, таких як Amazon, Netflix, Twitter, The Wall Street Journal, Starbucks і т. д. Атака на клієнтів, доходи і репутацію тривала більше восьми годин.

Багато хто вважає, що це справа рук хакерів, які працюють на інші держави. За Mirai швидко послідували атаки WannaCry і NotPetya, які завдали загальних збитків на трильйони доларів, включаючи злом систем Інтернету речей, які використовуються у виробництві та допоміжних приміщеннях. Уряд має підстави сумніватися, наскільки добре він захищає своїх громадян. За своєю суттю WannaCry і NotPetya є атаками програм-вимагачів, які запускають експлойт EternalBlue, націлений на вразливість комп’ютера в реалізації мережевого протоколу програмного рівня Windows Server Message Block (SMB).

У грудні 2017 року, коли стало відомо, що Mirai була розроблена групою підлітків, уряди в усьому світі зрозуміли, що безпека IoT потребує ретельного вивчення. Можливі три підходи до безпеки Інтернету речей: залишити все як є, оснастити ненадійні пристрої системою захисту або зобов’язати виробників передбачити такий захист спочатку. У разі сценарію статус-кво використання Інтернету речей завдасть регулярної шкоди суспільству.

Додавання захисних функцій після покупки призведе до появи нових компаній, які заповнять нішу, не зайняту виробниками, і в результаті покупець буде змушений переплачувати. Третій сценарій – впровадження захисту у виробництво обладнання – є найкращим для споживачів з точки зору усунення проблем і ризиків, а ціноутворення також є найбільш ефективним. Давайте скористаємося прикладом з минулого, щоб показати, як можуть працювати ці три сценарії, особливо два останніх. Наприклад, будівлі в Нью-Йорку часто забезпечують зовнішні шляхи евакуації на випадок пожежі.

Це збільшує витрати на евакуацію та шкодить тим, хто знаходиться всередині та зовні (див. статтю «Як пожежні сходи стали прикрасою», опубліковану в The Atlantic). Зараз аварійні виходи встановлюються всередині будівель, і люди захищені краще, ніж будь-коли. Подібним чином внутрішній захист пристроїв IoT забезпечить функції, яких немає у зовнішніх рішень, як-от встановлення оновлень і нового обладнання, моделювання загроз, як складати чашки з інгредієнтами – про все це ви дізнаєтеся з книги.

Зверніть увагу, що перераховані вище варіанти не є взаємовиключними – ринок Інтернету речей може підтримувати всі три сценарії.

Чим захист IoT відрізняється від традиційного захисту ІТ?

Технологія Інтернету речей має кілька ключових відмінностей від більш традиційних інформаційних технологій (ІТ). I Am the Cavalry, глобальна громадська ініціатива, спрямована на захист наукової спільноти, порівняла ці два на науковій основі, і результати цього порівняння наведено нижче. Наслідки помилок у захисті Інтернету речей можуть у деяких випадках призвести до смерті людини.

Крім того, вони можуть завдати шкоди репутації компанії чи цілої галузі, а також впевненості в здатності уряду захистити громадян за допомогою заходів контролю та регулювання. Наприклад, атака WannaCry, яка призвела до перебоїв у роботі медичних закладів на кілька днів, поставила під загрозу життя пацієнтів, які повинні були дотримуватися суворого графіку прийому ліків, а також були схильні до інсультів чи інфарктів. Злочинці здійснюють напади, керуючись різними мотивами, переслідуючи різні цілі, використовуючи різні методи та можливості.

Деякі не прагнуть поставити під загрозу життя і здоров’я людини, навпаки, готові до цього вдатися. Наприклад, лікарні часто стикаються з атаками програм-вимагачів, оскільки потенційна шкода для пацієнтів збільшує ймовірність і швидкість платежів. Технічні характеристики пристроїв IoT, включаючи системи безпеки, створюють обмеження, яких немає у звичайних ІТ-пристроїв. Наприклад, розмір і потужність кардіостимуляторів перешкоджають застосуванню традиційних методів ІТ-безпеки, призначених для більших і потужніших пристроїв. Пристрої Інтернету речей часто працюють у певних контекстах і середовищах, у тому числі в повсякденному житті, де ними керують люди, які не мають знань або ресурсів для розміщення та безпечного керування ними. Водіям автомобілів зі смарт-контролем важко оновити систему самостійно, наприклад, встановивши антивірусне програмне забезпечення. Також малоймовірно, що пересічний споживач зможе швидко і компетентно відреагувати на проблему безпеки, яка виникає.

Але ми очікуємо подібних дій від компанії. З економічної точки зору, виробництво інтелектуальних пристроїв має тенденцію максимізувати вартість самих пристроїв та їх компонентів, що робить додавання захисних заходів дорожчим. Багато з цих пристроїв орієнтовані на покупців з обмеженим бюджетом, які також не мають досвіду вибору і настройки такого обладнання. Крім того, витрати, пов’язані з вразливістю пристроїв, часто не несуть ті, хто їх безпосередньо використовує. Наприклад, У ботнеті Mirai використовувалися стандартні паролі прошивок – більшість користувачів не здогадуються, що потрібно змінити пароль, встановлений виробником, або не знають, як це зробити! Mirai коштувала економіці Сполучених Штатів мільярди доларів, націлившись на стороннього постачальника DNS, який не керував жодним із пристроїв, які постраждали від атаки.

Час проектування, розробки, впровадження, експлуатації та виведення з експлуатації пристроїв часто вимірюється десятиліттями. Час відгуку також може збільшуватися залежно від налаштувань пристрою, контексту та робочого середовища. Наприклад, контрольоване через Інтернет обладнання на електростанціях зазвичай служить більше 20 років без необхідності заміни. Але атаки на постачальників електроенергії в Україні спричинили збій систем лише через кілька секунд після того, як зловмисники взяли під контроль інфраструктуру компанії.

У чому особливість злому Інтернету речей?

Оскільки безпека Інтернету речей істотно відрізняється від безпеки ІТ, для злому систем Інтернету речей потрібні інші методи. Такі системи зазвичай включають окремі пристрої та датчики, мобільні додатки, хмарну інфраструктуру та протоколи мережевого зв’язку. Останні включають протоколи мережевого стека TCP/IP (наприклад, mDNS, DNS-SD, UPnP, WS-Discovery та DICOM), а також протоколи, що використовуються в радіостанціях малого радіусу дії (наприклад, NFC, RFID, Bluetooth та BLE), середньої дальності (наприклад, Wi-Fi, Wi-Fi Direct та Zigbee) та далекобійних (наприклад, LoRa, LoRaWAN та Sigfox).

На відміну від традиційних тестів безпеки, тестування безпеки IoT включає тестування та часто розбирання обладнання, роботу з мережевими протоколами, які зазвичай не зустрічаються в інших середовищах, аналіз управління пристроями через мобільні додатки та вивчення взаємодії пристроїв із хмарними веб-сервісами через API. Всі ці деталі будуть розглянуті в інших розділах.

Для прикладу розглянемо розумний дверний замок. На рис. На рисунку 1.1 представлена стандартна схема інтелектуальних замикаючих пристроїв. Управління смарт-замком здійснюється з мобільного додатку споживача через Bluetooth Low Energy (BLE), а додаток зв’язується з серверами розумного блокування в хмарі (або, як іноді кажуть, чужим комп’ютером) за допомогою API, який працює по протоколу HTTPS. У цій схемі смарт-замок залежить від мобільного пристрою користувача з виходом в інтернет, що забезпечує прийом будь-яких повідомлень з хмарного сервера.

Всі три компоненти (замок, мобільний додаток і хмара) взаємодіють і покладаються один на одного, щоб створити систему IoT, яка забезпечує широке поле для атак. Уявіть, що станеться, якщо ви відкличете цифровий ключ для гостя Airbnb за допомогою цієї розумної системи замикання. Від імені власника номера і пристрою розумного замка мобільний додаток може відправити в хмару повідомлення про скасування ключа гостя. Природно, при виконанні цієї дії вам не доведеться перебувати поруч із замкненою кімнатою і замикати. Після отримання сигналу скасування на сервер сервер надсилає спеціальне повідомлення смарт-замку для оновлення списку контролю доступу (ACL). Якщо зловмисник переведе свій телефон в режим польоту, то смарт-замок не зможе використовувати його в якості ретранслятора для отримання цього оновлення з сервера і надасть доступ до вашої квартири.

Проста атака, описана вище – обхід недійсності – є хорошим прикладом уразливості, з якою ви можете зіткнутися при зломі Інтернету речей. Обмеження використання невеликих, недорогих пристроїв ще більше підвищують вразливість цих систем. Таким чином, замість використання криптографії з відкритим ключем, яка вимагає значних ресурсів, пристрої Інтернету речей зазвичай покладаються тільки на симетричні ключі для шифрування своїх каналів зв’язку. Ці криптографічні ключі часто не є унікальними і запрограмовані на мікропрограму або апаратне забезпечення, що дозволяє зловмисникам витягувати їх, а потім повторно використовувати на інших пристроях.

Методи, стандарти та інструкції

Традиційним підходом до вирішення проблем безпеки є впровадження стандартів. За останні кілька років люди намагалися вирішити проблеми безпеки Інтернету речей, застосовуючи багато методів, правил та інших матеріалів. Хоча стандарти спрямовані на консолідацію галузей навколо загальних найкращих практик, сама кількість регулювання створює фрагментовану картину, викликаючи розбіжності щодо того, що і як це робити. Але ми можемо отримати значну користь від вивчення різних стандартів і практик, навіть якщо ми визнаємо, що немає консенсусу щодо найкращого способу захисту пристроїв IoT.

Почнемо з того, що ми розрізняємо документи, пов’язані з внутрішньою структурою, і документи, які визначають функцію. Ці два аспекти взаємопов’язані, адже технічні пристрої підвищують безпеку користувача. І навпаки, те, що не інтегровано в дизайн пристрою, обмежує функціональність: наприклад, це виключає безпечне оновлення програмного забезпечення, надійність наданих даних, ізоляцію та сегментацію в пристроях, а також швидке сповіщення про проблеми. Інструкції, надані виробниками, галузевими органами чи державними установами, можуть поєднувати обидва типи пояснювального матеріалу.

По-друге, розрізняйте настанови та стандарти. Перший визначає типи завдань, а другий визначає процеси та специфікації для виконання цих завдань. І те, і інше важливо, але навчальні матеріали більш актуальні та широко застосовуються, оскільки стандарти безпеки швидко застарівають і часто мають обмежений обсяг. У той же час деякі стандарти є надзвичайно корисними та визначають ключові компоненти технології Інтернету речей, такі як сумісність, наприклад IPv4 і Wi-Fi.

У цій книзі ми будемо посилатися на методології та стандарти, якщо це необхідно, щоб надати розробникам і користувачам інструкції щодо усунення потенційних проблем із інструментами, технологіями та процесами, які ми описуємо.

Ось приклади стандартів, настанов і навчальних матеріалів:

• Стандарти. Європейський інститут телекомунікаційних стандартів (ETSI), заснований в 1988 році, виробляє понад 2000 стандартів щорічно. Його технічна специфікація з кібербезпеки Інтернету речей містить умови для розробки безпечних пристроїв IoT. Національний інститут стандартів і технологій (NIST) і Міжнародна організація зі стандартизації,  ISO) опублікувати ряд стандартів, які підтримують захист пристроїв IoT;

• Рекомендаційні матеріали. Міжнародний масовий рух I Am The Cavalry (заснований у 2013 році) включає членів спільноти дослідників безпеки. Його клятва Гіппократа щодо розумних медичних пристроїв (рисунок 1.2) описує цілі та можливості проектування та розробки медичних пристроїв. Багато з викладених тут принципів були включені в регуляторні критерії FDA для затвердження медичних виробів.  Інші методології включають Керівні принципи кібербезпеки Національного інституту стандартів і технологій США, включаючи ті, що застосовуються до володіння та експлуатації пристроїв IoT, Керівні принципи безпеки Інтернету речей Cisco та Структуру контролю безпеки безпеки Інтернету речей Альянсу хмарної безпеки;

• Інструкції та довідкові матеріали. Open Web Application Security Project (OWASP), запущений в 2001 році, вийшов далеко за рамки діяльності однойменної організації. Його списки «топ-10» стали потужним інструментом для розробників програмного забезпечення та відділу IT-закупівель і використовуються для підвищення рівня безпеки в різних проектах. У 2014 році був опублікований перший список «топ-10», пов’язаних з сегментом інтернету речей (рис. 1.3). Його остання версія (на той час написання статті) припадає на 2018 рік.

Інші керівні та довідкові матеріали включають Національний інститут стандартів та технологій США Базовий рівень Інтернету речей та Національне управління телекомунікацій та інформації США (National Telecommu-nications and Information Administration, NTIA) для Інтернету речей, Європейського агентства мережевої та інформаційної безпеки (ENISA) Основні рекомендації щодо безпеки Інтернету речей, Глобальної асоціації систем мобільного зв’язку (GSMA), Рекомендації та оцінки безпеки Інтернету речей та Фонду безпеки IoT (IoT Security Foundation).

Приклад: виявлення проблеми безпеки, звітування про неї та повідомлення про неї

Хоча дана книга в основному присвячена технічним аспектам, слід зазначити, що існують і деякі інші фактори, що впливають на вивчення безпеки Інтернету речей. Ці фактори, з досвіду, включають компроміси, які неминучі при розкритті уразливості, і те, що слід враховувати фахівцям з безпеки, виробникам і широкій громадськості в цьому відношенні. Приклад нижче опише успішне дослідження безпеки Інтернету речей. Ми розповімо, як це було проведено і що призвело до успішного результату.

У 2016 році Джей Редкліфф, дослідник безпеки з діагнозом діабет I типу, виявив три уразливості в пристрої інсулінової помпи Animas OneTouch Ping і повідомив про це виробнику. Роботи з тестування почалися кількома місяцями раніше: він купив пристрої, побудував випробувальну лабораторію і визначив ймовірні загрози. Крім того, Джей звернувся за юридичною консультацією, щоб переконатися, що тестування не суперечить законодавству штату і штату.

Головною метою Джея був захист пацієнтів, тому він подав свій звіт відповідно до політики виробника щодо розкриття вразливостей. За допомогою електронної пошти, телефону та особистих розмов Джей обговорив технічні деталі, можливі наслідки проблеми та кроки, необхідні для їх усунення. Переговори тривали кілька місяців, в ході яких Редкліфф продемонстрував використання слабких місць в роботі пристрою і надав перевірочний код.

Пізніше, дізнавшись, що виробник не планує впроваджувати будь-які технічні виправлення до випуску нової моделі насоса, Джей публічно розкрив інформацію про уразливість, але з наступним застереженням: «Якщо хто-небудь з моїх дітей захворіє на діабет і медичний персонал порекомендує їм отримати помпу, я без вагань виберу модель OneTouchPing, навіть якщо вона не ідеальна». https://blog.rapid7.com/2016/10/04/r7-2016-07-multiple-vulnerabilities-in-animas-onetouch-ping-insulin-pump/.

Джей працював майже рік, щоб знайти вразливість і виправити її. Він повинен був представити свою роботу на великій конференції після того, як виробник повідомить пацієнтів, для яких вона важлива. Багато пацієнтів використовували пошту як основне джерело інформації, і розсилка була призначена тільки після цього повідомлення. Джей прийняв важке рішення скасувати свій виступ на конференції, щоб пацієнти могли дізнатися про проблему від свого лікаря або компанії, а не від новинної статті.

Ви можете винести ряд уроків з ситуацій, з якими мають справу досвідчені дослідники безпеки, такі як Джей.

• Вони враховують можливу реакцію з їхньої пошуки. Джей не тільки заздалегідь роз’яснив юридичні аспекти, але й переконався, що його тестування не зашкодило нікому за межами лабораторії. Крім того, він подбав про те, щоб пацієнти дізнавалися про технічні проблеми від людей, яким довіряють, що знизить тривожність і не спричинить за собою відмову від використання технологій порятунку життя.

• Вони інформують про проблему, але не втручаються в процес прийняття рішень. Джей зрозумів, що виробник  не хоче витрачати багато грошей на оновлення старих пристроїв і зосередився на створенні нових продуктів, які врятують ще більше людей і полегшать їм життя. Замість того, щоб наполягати на виправленні старих моделей, він прислухався до думки виробника.

• Вони подають приклад. Джей, як і багато інших дослідників охорони здоров’я, налагодив довгострокові відносини з пацієнтами, регуляторами, лікарями та виробниками. До певної міри це означало відмову від уваги громадськості та оплачуваних проектів, а також необхідність бути виключно терплячими. Але результати говорять самі за себе. Провідні виробники виробляють найбезпечніші медичні вироби за всю історію, залучаючи до цього дослідницьку спільноту такі події, як Biohacking Village на конференції DEF CON.

• Вони знають закон. Дослідникам безпеки вже давно доводиться стикатися зі звинуваченнями в правопорушеннях. Часто це були необґрунтовані атаки, але в деяких випадках була причина. Хоча експерти все ще розробляють стандартизовану мову для регулювання програм розкриття та вразливостей, було мало (якщо взагалі було) судових позовів проти дослідників розкриття інформації.

Думки експертів: навігація в Інтернеті речей

Ми звернулися до кількох визнаних експертів у галузі права та державної політики, щоб проінформувати читачів про теми, які традиційно не висвітлювалися в книгах з досліджень безпеки. Харлі Гейгер згадує два закони, які застосовуються до дослідників безпеки в США, а Девід Роджерс пояснює, які заходи вживаються для підвищення безпеки пристроїв Інтернету речей у Великобританії.

Закони злому Інтернету речей

Харлі Гайгер, директор з державної політики, Rapid7

Мабуть, два найважливіших федеральних закони, що впливають на дослідження IoT, – це Закон про авторське право в цифрову епоху (DMCA) та Закон про комп’ютерне шахрайство та зловживання (CFAA). Давайте подивимося на ці похмурі закони.

Багато оцінок безпеки IoT обходять слабкий захист програмного забезпечення, але Закон про авторське право в цифрову епоху в більшості випадків забороняє обхід технологічних захисних заходів (TPM), таких як шифрування, вимоги до автентифікації, і кодування регіону, з метою доступу до захищених авторським правом творів (наприклад, програмного забезпечення) без дозволу власника авторських прав. Для цього раніше Перевірка безпеки вимагає дозволу від виробників програмного забезпечення, яким оснащені ваші пристрої IoT, включаючи ті, якими ви володієте! На щастя, існує спеціальний виняток для надійного тестування безпеки, що дозволяє дослідникам ігнорувати технологічний захист і не питати дозволу у власника авторських прав. Глава Бібліотеки Конгресу дозволив цей виняток на прохання спільноти дослідників безпеки і її союзників.

Станом на 2019 рік дослідження, яке відповідає Закону про авторське право в цифрову епоху, відповідає наступним критеріям:

1. проводиться на пристрої, придбаному на законних підставах (наприклад, авторизованому власником комп’ютера);

2. виконується виключно з метою тестування або виправлення вразливостей у системі захисту пристрою;

3. не завдає шкоди навколишньому середовищу (наприклад, не може проводитися на АЕС або перевантаженій магістралі);

4. інформація, отримана в результаті дослідження, використовується в першу чергу для підвищення безпеки або захисту пристроїв, комп’ютерів або їх користувачів (а, наприклад, не з метою піратства);

5. дослідження не порушує інші закони, включаючи, але не обмежуючись Актом про комп’ютерне шахрайство та зловживання.

Є два винятки, з яких тільки один забезпечує реальний захист. Цей більш серйозний виняток повинен оновлюватися кожні три роки главою Бібліотеки Конгресу, і ступінь захисту може змінюватися при її оновленні. В результаті можуть бути виявлені деякі з найважливіших результатів досліджень в юридичному аспекті. Остання версія винятку в Законі про авторське право в цифрову епоху,  Застосовується до тестування безпеки (2018), доступне за посиланням https://www.govinfo. gov/content/pkg/FR-2018-10-26/pdf/2018-23241.pdf#page=17/.

Закон про комп’ютерне шахрайство та зловживання також часто використовується; як ви, можливо, помітили, він з’являється у наведеній вище цитаті із Закону про авторське право в цифрову епоху. Цей акт є основним федеральним законом США про боротьбу з хакерськими атаками, і, на відміну від Закону про авторське право в цифрову епоху, в ньому не описані заходи щодо захисту тестування безпеки. Цей акт зазвичай поширюється на доступ до комп’ютерів інших людей,  а також зловмисна діяльність проти них  без дозволу їх власника (а не власника авторських прав на програмне забезпечення, як у випадку з  DMCA). Що робити, якщо пристрій IoT було виділено вам компанією, в якій ви працюєте, або школою, і ви вирішили дослідити пристрій на надійність без їх відома? Суди досі сперечаються з цього приводу. Це одне з спірних місць в Законі про комп’ютерне шахрайство та зловживання,  Яка, до речі, була прийнята на озброєння більше 30 років тому. Однак, якщо ви вторгнетеся в пристрій IoT, який належить вам або який його власник надав вам для тестування, ви, швидше за все, відповідаєте закону – як DMCA, так і CFAA. З чим ми вас і вітаємо.

Але почекайте! Багато інших законів можуть бути пов’язані з дослідженнями безпеки Інтернету речей, особливо урядові закони про хакерство, які можна тлумачити ще ширше і більш розпливчасто, ніж Закон про комп’ютерне шахрайство та зловживання. (Цікавий факт: хакерський закон Вашингтона забезпечує особливий правовий захист для так званих білих хакерів або етичних хакерів.) Не думайте, що ваше дослідження безпеки Інтернету речей не виникне тільки тому, що воно проводиться в суворій відповідності з законом DMCA і законом CFAA – хоча це непогано для початку!

Якщо ви заплуталися в численних законах і боїтеся щось порушити, то ви не самотні. Закони на цю тему складні, вони є головоломкою навіть для гострих умів юристів і державних службовців – але в той же час ведеться інтенсивна кропітка робота по уточненню і посиленню правової охорони досліджень у сфері безпеки. Ваш голос і досвід роботи з суперечливими законами, що стримують цінні дослідження безпеки Інтернету речей, можуть послужити вам хорошу службу в дебатах про реформування DMCA, CFAA та інших законів.

Висновок

Сфера Інтернету речей стрімко розвивається. Кількість, типи та використання цих «речей» змінюються швидше, ніж можуть бути опубліковані нові книги про них. На той час, коли ви прочитаєте ці рядки, з’явиться якась інша новинка, про яку ми ще нічого не знаємо. Тим не менш, ми впевнені, що ця книга містить цінні ресурси та посилання, які дозволять вам розвинути свої навички незалежно від того, що вам доведеться перевірити через рік чи десятиліття.

Ми використовували матеріали з книги “The Definitive Guide to Attacking the Internet of Things ”, яку  написали Фотиос Чанцис, Иоаннис Стаис, Паулино Кальдерон, Евангелос Деирменцоглу и Бо Вудс.