Перейти к содержанию
    

Обсуждение облаков для IoT платформ

12 hours ago, skv8016 said:

Почистили бы тему лучше. С такими подходами и "широтой" кругозора Буран бы не взлетел

Вы наверно не поняли суть дискуссии. 
Я абсолютно тоже за то чтобы основа умного дома была па ПЛК. 
Когда юзеру надоест играться и он захочет просто надежного функционирования он не пожалеет что поставил ПЛК.
Но пока юзер свежий он желает геймификации процесса. 
И вот как геймифицировать разработку умного дома с ПЛК?  
А просто. Ставит ПЛК от Wago, а на фоновый линуксовый юзерспейс Wago накатывает Azure IoT SDK
Получает и защищенность наследованную от железа Wago и доступ к облачным сервисам. 
И там в облаках его фантазиям нет предела.
Он и логи туда отправит, и алярмы настроит, и со своей мобилы всем рулит, и атаки на умный дом анализирует, и машинлёнинг подключит для обнаружения  аномалий в функционировании, и предиктивное обслуживание попробует, и со сторонними сенсорами интегрирует .
Словом  будет на волне технологий.     
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

On 10/5/2020 at 11:41 AM, AlexandrY said:

А я тем временем посмотрел что из себя Zephyr представляет.  Все же нет. Это слишком корявая платформа. 
Она еще не скоро станет юзабельной.
Для сборки и компиляции требует строго линукса, но BSP для большинства плат ограничивается UART-ом и прочей мелкой периферией. Эт не серьезно.
Использованием аппаратного security там еще и не пахнет. 

Как же быстро вы опустились на землю со своего утверждения:

On 10/1/2020 at 4:31 PM, AlexandrY said:

Уже сейчас на зефире можно сделать все что требуется для связи с облаками. 

:biggrin:

 

У меня все же сейчас другие мысли по поводу кибербезопасности: Просто паранойя по этому поводу уже заходит так далеко, что скоро придется шифровать CAN и RS485 трафик, так как очумелые ручки доморощенных IoTишников уже залазят и туда. Да что там - ведь хакнуть железяку можно даже через какой-нибудь пин, который вдруг окажется 1-wire enabled.

У меня уже сейчас спрашивают насчет шифрования реалтаймового трафика по процессинговой шине - я говорю - ну да, давайте пропишем ключи, будем все шифровать, только от перформанса там ничего не останется и отладка будет просто замечательной.

Поэтому пока у меня простая позиция: защиту от хакинга при физическом доступе к железяке делать я пока делать не буду. Пусть этим пока занимаются другие, которым надо защищаться от всяких джейлбрейков и очумелых пользователей, сующих левые прошивки в автопилоты и т.д. У меня пока защита будет только от облачного доступа.

4 hours ago, AlexandrY said:

И вот как геймифицировать разработку умного дома с ПЛК?  
А просто. Ставит ПЛК от Wago, а на фоновый линуксовый юзерспейс Wago накатывает Azure IoT SDK
Получает и защищенность наследованную от железа Wago и доступ к облачным сервисам. 

Зачем так сложно? Harmony iPC от Шнайдера уже включает в себя Node-Red. Соединяешь кликами и подключаешься к любым облакам. И заметьте, с кибербезопасностью там тоже все ОК.

Причем необязательно сразу брать индустриальное железо - можно поиграться и отладить все на том же дешевом  RPi, а потом перенести весь свой код за пару часов. А то получается, что гейминг должен быть дорогим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

10 hours ago, syoma said:

У меня все же сейчас другие мысли по поводу кибербезопасности: Просто паранойя по этому поводу уже заходит так далеко, что скоро придется шифровать CAN и RS485 трафик, так как очумелые ручки доморощенных IoTишников уже залазят и туда. Да что там - ведь хакнуть железяку можно даже через какой-нибудь пин, который вдруг окажется 1-wire enabled.

Э нет, одно дело хакнуть железку на столе, и за это денег не платят. И совсем другое хакнуть ее в находясь в сети. За это платят хорошие деньги. 
Вот к примеру совсем недавно настала необходимость апгрейдить фирмваре в WiFi модулях. 
А уязвимость была вот эта - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9502
Как видите все просто. Захватывают управление вашим WiFi модулем и привет.
Эт не говоря еще о том что призраки Mirai плодятся и размножаются в сети с невиданной скоростью.
Каждую неделю буквально о них новости. А ведь их цель тот самый встраиваемый линукс.   
 

А так да, сейчас принято защищать и полевые шины. В том же Zephyr уже есть протокол IPv6 over CAN !
Про  Single Pair Ethernet (SPE)   писал. Он легко может заменить RS485 и CAN вместе взятые.  

А вот в этом месте, я не спустился, а обошел стороной. 

10 hours ago, syoma said:

Как же быстро вы опустились на землю со своего утверждения:

У Zephyr хороший BSP только для i.MX RT.  Там есть весь стек из коропки для выхода в облака. Любители командной строки и тулсов под линукс в принципе будут удовлетворены. 
Но у меня пока друга платформа на основе технологий Azure. По мощности middleware даже лучше зефира. 
 

iPC от Шнайдера впечатления не произвели.
Важен ведь не сам Node-RED, а его палитра. А палитра у Шнайдера - слезы. Адруинщики смеються. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

26 minutes ago, AlexandrY said:

Вот к примеру совсем недавно настала необходимость апгрейдить фирмваре в WiFi модулях. 
А уязвимость была вот эта - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9502
Как видите все просто. Захватывают управление вашим WiFi модулем и привет.

Ну значит WiFi пропустим и перейдем сразу к 3G/4G :biggrin:. Заказал себе Huawei E3372 и буду прикручивать его к RPi для выхода в Инет. Если получится, то в скорости поставлю на объект для полевых испытаний. 
Возиться с Google IoT не хочется, подключу его, наверное к какому нибудь облачному брокеру типа CloudMQTT, да начну мониторить понемножку. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

53 minutes ago, syoma said:

Ну значит WiFi пропустим и перейдем сразу к 3G/4G :biggrin:. Заказал себе Huawei E3372 и буду прикручивать его к RPi для выхода в Инет. Если получится, то в скорости поставлю на объект для полевых испытаний. 
Возиться с Google IoT не хочется, подключу его, наверное к какому нибудь облачному брокеру типа CloudMQTT, да начну мониторить понемножку. 

Сомневаюсь в эффективности такого решения.
Я беру HUAWEI E5576-320 4G и ложу его туда где лучше сигнал, а не где находится хост и продолжаю работать через WiFi.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

8 hours ago, AlexandrY said:

Я беру HUAWEI E5576-320 4G и ложу его туда где лучше сигнал, а не где находится хост и продолжаю работать через WiFi.

Вы говорите о том, как все любят хакать из сети и тут же оставляете такую жирную завлекаловку в виде Wi-Fi. Класс :acute:

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

9 hours ago, syoma said:

Вы говорите о том, как все любят хакать из сети и тут же оставляете такую жирную завлекаловку в виде Wi-Fi. Класс :acute:

Я просто минимизирую комплекс рисков, а не тупо иррациональные страхи. 
Во-первых патч у меня есть и за WiFi уже спокойней.  Во-вторых я ж не подключаю некий Huawei напрямую к USB, как это делаете вы.
Huawei,  как известно, ловко прикидывается загрузочным диском и легко инжектируют хосту все что захочет.
Т.е. в моем случае уровень слепого доверия гораздо меньше чем  в вашем. 
В крайнем случае я могу использовать несколько WiFi-4G роутеров и иметь резервные выходы в сеть.
Еще есть возможность поставить агента Azure Defender for IoT и фиксировать любые подозрительные активности.   
Ну и на последок у меня есть фишка автоматической смены  MAC адреса и если что вообще могу снять питание с WiFi. 
А можете ли вы программно снять питание со своего USB? 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

On 10/7/2020 at 5:14 PM, AlexandrY said:

Т.е. в моем случае уровень слепого доверия гораздо меньше чем  в вашем.

Нет смысла обсуждать, что лучше а что хуже. В каждом способе есть свои недостатки и преимущества с точки зрения Cybersecurity. Важно их понимать и грамотно использовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

59 minutes ago, syoma said:

Нет смысла обсуждать, что лучше а что хуже. В каждом способе есть свои недостатки и преимущества с точки зрения Cybersecurity. Важно их понимать и грамотно использовать.

Забавное суждение о кибербезопасности.
Ее невозможно понимать в смысле знать, как невозможно знать все исходники и алгоритмы.
За ней можно только следить. 
Вы ж RPi взяли именно для того чтобы меньше знать что там внутри. Не так ли? Причем в ущерб всем остальным параметрам. 
Где тут грамотность? Просто подняли риски ну или стоимость владения. 
 
Вот вчера опять пришла новая весть как ломают линуксовые дивайсы - https://www.zdnet.com/google-amp/article/new-heh-botnet-can-wipe-routers-and-iot-devices/  

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

29 minutes ago, AlexandrY said:

Забавное суждение о кибербезопасности.
Ее невозможно понимать в смысле знать, как невозможно знать все исходники и алгоритмы.
За ней можно только следить. 

Ну я кой-какие курсы заканчивал. И там объясняли, что за кибербезопаснотью нельзя просто следить. Это наука о минимизации рисков и их последствий, в которой в первую очередь надо смотреть на возможности для атак, оценивать риски, а потом рассказывали как минимизировать возможность их наступления, или ущерба от них или увеличивать возможность их обнаружения.

Как пример, вот Вы рассказываете байки про всякие исходники, Open-Source, встраиваемый Линукс и т.д. А Cybersecurity експерт что говорит? Он говорит: "Ок, opensource использовать надо, так как без него уже невозможно сделать нормальную разработку за нормальные деньги и сроки. Но можно ли уменьшить Cybersecurity риски, если используешь Open-source? Есть ли разница между Open Source Проектом А и Open Source проектом Б с точки зрения кибер-безопасности? А она есть. Например проект А имеет 400 меинтейнеров и регулярные коммиты, а проект Б - всего 10 и коммит раз в полгода. Вопрос: в каком проекте будут быстрее находиться и устраняться уязвимости и патчи появляться быстрее? В проекте А, конечно. Ведь там код просматривается 400-ми пар глаз и шанс увидеть уязвимость многократно возрастает. А теперь вопрос 3 на засыпку - есть не-опенсоурс проект C, альтернатива A и Б, платный, но фирма не такая уж большая и не очень понятно, кто этот проект использует. Будет ли он лучше с точки зрения Cybersecurity, чем проект А? "

 

 

29 minutes ago, AlexandrY said:

Вы ж RPi взяли именно для того чтобы меньше знать что там внутри. Не так ли? Причем в ущерб всем остальным параметрам.

Где тут грамотность? Просто подняли риски ну или стоимость владения. 

Нет. Взял потому, что оценил риски и понял, что на данном этапе разработки ущерб от них несущественен. А потом их можно будет закрыть тем или иным способом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

11 hours ago, syoma said:

Ведь там код просматривается 400-ми пар глаз и шанс увидеть уязвимость многократно возрастает. А теперь вопрос 3 на засыпку - есть не-опенсоурс проект C, альтернатива A и Б, платный, но фирма не такая уж большая и не очень понятно, кто этот проект использует. Будет ли он лучше с точки зрения Cybersecurity, чем проект А? "

Про это тоже была недавно новость - https://habr.com/ru/company/digital-ecosystems/blog/522364/
Т.е. все эти 400 пар глаз мало чего стоят. Даже наоборот , если много глаз, то жди беды. Вспомним призказку про 7-мь нянек. 
Не глаза, а тестирование нужно надежному софту. Но чем жёстче требования к тестированию и качеству опенсорса тем меньше этих мантайнеров.
Потом опенсорс взломать гораздо проще чем закрытый.
А ещё программисты в один миг превращаются в циничных хакеров и могут совершенно безнаказано вставлять куски кода в виде идеальной мишени под атаку типа Spectre или bugdoor. Глаза  становяться бесполезны, даже AI не распознает подвох.  
А вот сертифицированный TUV and UL проприетраный код так не зарядишь бэкдорами. 
Вообщем достаточно отбросить иллюзию о 400 честных и бескорыстных мантайнерах, как вся ваша логика по поводу опенсорса рушится.

  

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1 hour ago, AlexandrY said:

Про это тоже была недавно новость - https://habr.com/ru/company/digital-ecosystems/blog/522364/
Т.е. все эти 400 пар глаз мало чего стоят.

Можете обьяснить, как вы на основе этой новости делаете такой вывод?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

12 hours ago, AlexandrY said:

Вообщем достаточно отбросить иллюзию о 400 честных и бескорыстных мантайнерах, как вся ваша логика по поводу опенсорса рушится.

Ну логика о том, что проприетарный софт лучше тестируется или поддерживается тоже заслуживает критики. Вы же не знаете сколько там программистов крутится и сколько незакрытых баг-репортов? А сертифицированный код - ну это вы серьезно такой используете и покупали на него лицензию или тоже теоретизируете?

Но вопрос был не об этом, а о том, что с точки зрения кибербезопасности надо смотреть на риски, а не сразу констатировать - это лучше, а это хуже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

On 10/10/2020 at 11:33 AM, syoma said:

Ну логика о том, что проприетарный софт лучше тестируется или поддерживается тоже заслуживает критики. Вы же не знаете сколько там программистов крутится и сколько незакрытых баг-репортов? А сертифицированный код - ну это вы серьезно такой используете и покупали на него лицензию или тоже теоретизируете?

Но вопрос был не об этом, а о том, что с точки зрения кибербезопасности надо смотреть на риски, а не сразу констатировать - это лучше, а это хуже.

Тут уже многократно повторяли что Azure RTOS это ThreadX, а там тотально все сертифицировано и TUV и UL. Я думал это уже все знают.
Сейчас как раз имеем в разработке шлюз на Azure RTOS в Azure IoT Hub. 

Про риски тоже интересно. Наверно только свои риски оцениваете.
А то что такие шлюзы будут работать в инфрастуктуре юзеров и какой ущерб юзерам принесут? 
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

42 minutes ago, AlexandrY said:

Тут уже многократно повторяли что Azure RTOS это ThreadX, а там тотально все сертифицировано и TUV и UL. Я думал это уже все знают.
Сейчас как раз имеем в разработке шлюз на Azure RTOS в Azure IoT Hub. 

Ну вот смотрите, очередной ваш аргумент улетучивается.

Quote

Потом опенсорс взломать гораздо проще чем закрытый

Исходники Azure RTOS сейчас открыты для всех  https://github.com/azure-rtos/threadx. Следовательно, исследовать и найти в них уязвимости может любой хакер, также как и в опенсорс. Зачем же вы ее используете? И вообще зачем мелкомягкие выложили их в открытый доступ, если это был такой хороший proprietary и сертифицированный код?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...