Jump to content

    
Sign in to follow this  
smart_pic

Обсуждение облаков для IoT платформ

Recommended Posts

12 hours ago, skv8016 said:

Почистили бы тему лучше. С такими подходами и "широтой" кругозора Буран бы не взлетел

Вы наверно не поняли суть дискуссии. 
Я абсолютно тоже за то чтобы основа умного дома была па ПЛК. 
Когда юзеру надоест играться и он захочет просто надежного функционирования он не пожалеет что поставил ПЛК.
Но пока юзер свежий он желает геймификации процесса. 
И вот как геймифицировать разработку умного дома с ПЛК?  
А просто. Ставит ПЛК от Wago, а на фоновый линуксовый юзерспейс Wago накатывает Azure IoT SDK
Получает и защищенность наследованную от железа Wago и доступ к облачным сервисам. 
И там в облаках его фантазиям нет предела.
Он и логи туда отправит, и алярмы настроит, и со своей мобилы всем рулит, и атаки на умный дом анализирует, и машинлёнинг подключит для обнаружения  аномалий в функционировании, и предиктивное обслуживание попробует, и со сторонними сенсорами интегрирует .
Словом  будет на волне технологий.     
 

Share this post


Link to post
Share on other sites
On 10/5/2020 at 11:41 AM, AlexandrY said:

А я тем временем посмотрел что из себя Zephyr представляет.  Все же нет. Это слишком корявая платформа. 
Она еще не скоро станет юзабельной.
Для сборки и компиляции требует строго линукса, но BSP для большинства плат ограничивается UART-ом и прочей мелкой периферией. Эт не серьезно.
Использованием аппаратного security там еще и не пахнет. 

Как же быстро вы опустились на землю со своего утверждения:

On 10/1/2020 at 4:31 PM, AlexandrY said:

Уже сейчас на зефире можно сделать все что требуется для связи с облаками. 

:biggrin:

 

У меня все же сейчас другие мысли по поводу кибербезопасности: Просто паранойя по этому поводу уже заходит так далеко, что скоро придется шифровать CAN и RS485 трафик, так как очумелые ручки доморощенных IoTишников уже залазят и туда. Да что там - ведь хакнуть железяку можно даже через какой-нибудь пин, который вдруг окажется 1-wire enabled.

У меня уже сейчас спрашивают насчет шифрования реалтаймового трафика по процессинговой шине - я говорю - ну да, давайте пропишем ключи, будем все шифровать, только от перформанса там ничего не останется и отладка будет просто замечательной.

Поэтому пока у меня простая позиция: защиту от хакинга при физическом доступе к железяке делать я пока делать не буду. Пусть этим пока занимаются другие, которым надо защищаться от всяких джейлбрейков и очумелых пользователей, сующих левые прошивки в автопилоты и т.д. У меня пока защита будет только от облачного доступа.

4 hours ago, AlexandrY said:

И вот как геймифицировать разработку умного дома с ПЛК?  
А просто. Ставит ПЛК от Wago, а на фоновый линуксовый юзерспейс Wago накатывает Azure IoT SDK
Получает и защищенность наследованную от железа Wago и доступ к облачным сервисам. 

Зачем так сложно? Harmony iPC от Шнайдера уже включает в себя Node-Red. Соединяешь кликами и подключаешься к любым облакам. И заметьте, с кибербезопасностью там тоже все ОК.

Причем необязательно сразу брать индустриальное железо - можно поиграться и отладить все на том же дешевом  RPi, а потом перенести весь свой код за пару часов. А то получается, что гейминг должен быть дорогим.

Share this post


Link to post
Share on other sites
10 hours ago, syoma said:

У меня все же сейчас другие мысли по поводу кибербезопасности: Просто паранойя по этому поводу уже заходит так далеко, что скоро придется шифровать CAN и RS485 трафик, так как очумелые ручки доморощенных IoTишников уже залазят и туда. Да что там - ведь хакнуть железяку можно даже через какой-нибудь пин, который вдруг окажется 1-wire enabled.

Э нет, одно дело хакнуть железку на столе, и за это денег не платят. И совсем другое хакнуть ее в находясь в сети. За это платят хорошие деньги. 
Вот к примеру совсем недавно настала необходимость апгрейдить фирмваре в WiFi модулях. 
А уязвимость была вот эта - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9502
Как видите все просто. Захватывают управление вашим WiFi модулем и привет.
Эт не говоря еще о том что призраки Mirai плодятся и размножаются в сети с невиданной скоростью.
Каждую неделю буквально о них новости. А ведь их цель тот самый встраиваемый линукс.   
 

А так да, сейчас принято защищать и полевые шины. В том же Zephyr уже есть протокол IPv6 over CAN !
Про  Single Pair Ethernet (SPE)   писал. Он легко может заменить RS485 и CAN вместе взятые.  

А вот в этом месте, я не спустился, а обошел стороной. 

10 hours ago, syoma said:

Как же быстро вы опустились на землю со своего утверждения:

У Zephyr хороший BSP только для i.MX RT.  Там есть весь стек из коропки для выхода в облака. Любители командной строки и тулсов под линукс в принципе будут удовлетворены. 
Но у меня пока друга платформа на основе технологий Azure. По мощности middleware даже лучше зефира. 
 

iPC от Шнайдера впечатления не произвели.
Важен ведь не сам Node-RED, а его палитра. А палитра у Шнайдера - слезы. Адруинщики смеються. 

Share this post


Link to post
Share on other sites
26 minutes ago, AlexandrY said:

Вот к примеру совсем недавно настала необходимость апгрейдить фирмваре в WiFi модулях. 
А уязвимость была вот эта - https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9502
Как видите все просто. Захватывают управление вашим WiFi модулем и привет.

Ну значит WiFi пропустим и перейдем сразу к 3G/4G :biggrin:. Заказал себе Huawei E3372 и буду прикручивать его к RPi для выхода в Инет. Если получится, то в скорости поставлю на объект для полевых испытаний. 
Возиться с Google IoT не хочется, подключу его, наверное к какому нибудь облачному брокеру типа CloudMQTT, да начну мониторить понемножку. 

Share this post


Link to post
Share on other sites
53 minutes ago, syoma said:

Ну значит WiFi пропустим и перейдем сразу к 3G/4G :biggrin:. Заказал себе Huawei E3372 и буду прикручивать его к RPi для выхода в Инет. Если получится, то в скорости поставлю на объект для полевых испытаний. 
Возиться с Google IoT не хочется, подключу его, наверное к какому нибудь облачному брокеру типа CloudMQTT, да начну мониторить понемножку. 

Сомневаюсь в эффективности такого решения.
Я беру HUAWEI E5576-320 4G и ложу его туда где лучше сигнал, а не где находится хост и продолжаю работать через WiFi.

Share this post


Link to post
Share on other sites
8 hours ago, AlexandrY said:

Я беру HUAWEI E5576-320 4G и ложу его туда где лучше сигнал, а не где находится хост и продолжаю работать через WiFi.

Вы говорите о том, как все любят хакать из сети и тут же оставляете такую жирную завлекаловку в виде Wi-Fi. Класс :acute:

 

Share this post


Link to post
Share on other sites
9 hours ago, syoma said:

Вы говорите о том, как все любят хакать из сети и тут же оставляете такую жирную завлекаловку в виде Wi-Fi. Класс :acute:

Я просто минимизирую комплекс рисков, а не тупо иррациональные страхи. 
Во-первых патч у меня есть и за WiFi уже спокойней.  Во-вторых я ж не подключаю некий Huawei напрямую к USB, как это делаете вы.
Huawei,  как известно, ловко прикидывается загрузочным диском и легко инжектируют хосту все что захочет.
Т.е. в моем случае уровень слепого доверия гораздо меньше чем  в вашем. 
В крайнем случае я могу использовать несколько WiFi-4G роутеров и иметь резервные выходы в сеть.
Еще есть возможность поставить агента Azure Defender for IoT и фиксировать любые подозрительные активности.   
Ну и на последок у меня есть фишка автоматической смены  MAC адреса и если что вообще могу снять питание с WiFi. 
А можете ли вы программно снять питание со своего USB? 

Share this post


Link to post
Share on other sites
On 10/7/2020 at 5:14 PM, AlexandrY said:

Т.е. в моем случае уровень слепого доверия гораздо меньше чем  в вашем.

Нет смысла обсуждать, что лучше а что хуже. В каждом способе есть свои недостатки и преимущества с точки зрения Cybersecurity. Важно их понимать и грамотно использовать.

Share this post


Link to post
Share on other sites
59 minutes ago, syoma said:

Нет смысла обсуждать, что лучше а что хуже. В каждом способе есть свои недостатки и преимущества с точки зрения Cybersecurity. Важно их понимать и грамотно использовать.

Забавное суждение о кибербезопасности.
Ее невозможно понимать в смысле знать, как невозможно знать все исходники и алгоритмы.
За ней можно только следить. 
Вы ж RPi взяли именно для того чтобы меньше знать что там внутри. Не так ли? Причем в ущерб всем остальным параметрам. 
Где тут грамотность? Просто подняли риски ну или стоимость владения. 
 
Вот вчера опять пришла новая весть как ломают линуксовые дивайсы - https://www.zdnet.com/google-amp/article/new-heh-botnet-can-wipe-routers-and-iot-devices/  

Share this post


Link to post
Share on other sites
29 minutes ago, AlexandrY said:

Забавное суждение о кибербезопасности.
Ее невозможно понимать в смысле знать, как невозможно знать все исходники и алгоритмы.
За ней можно только следить. 

Ну я кой-какие курсы заканчивал. И там объясняли, что за кибербезопаснотью нельзя просто следить. Это наука о минимизации рисков и их последствий, в которой в первую очередь надо смотреть на возможности для атак, оценивать риски, а потом рассказывали как минимизировать возможность их наступления, или ущерба от них или увеличивать возможность их обнаружения.

Как пример, вот Вы рассказываете байки про всякие исходники, Open-Source, встраиваемый Линукс и т.д. А Cybersecurity експерт что говорит? Он говорит: "Ок, opensource использовать надо, так как без него уже невозможно сделать нормальную разработку за нормальные деньги и сроки. Но можно ли уменьшить Cybersecurity риски, если используешь Open-source? Есть ли разница между Open Source Проектом А и Open Source проектом Б с точки зрения кибер-безопасности? А она есть. Например проект А имеет 400 меинтейнеров и регулярные коммиты, а проект Б - всего 10 и коммит раз в полгода. Вопрос: в каком проекте будут быстрее находиться и устраняться уязвимости и патчи появляться быстрее? В проекте А, конечно. Ведь там код просматривается 400-ми пар глаз и шанс увидеть уязвимость многократно возрастает. А теперь вопрос 3 на засыпку - есть не-опенсоурс проект C, альтернатива A и Б, платный, но фирма не такая уж большая и не очень понятно, кто этот проект использует. Будет ли он лучше с точки зрения Cybersecurity, чем проект А? "

 

 

29 minutes ago, AlexandrY said:

Вы ж RPi взяли именно для того чтобы меньше знать что там внутри. Не так ли? Причем в ущерб всем остальным параметрам.

Где тут грамотность? Просто подняли риски ну или стоимость владения. 

Нет. Взял потому, что оценил риски и понял, что на данном этапе разработки ущерб от них несущественен. А потом их можно будет закрыть тем или иным способом.

Share this post


Link to post
Share on other sites
11 hours ago, syoma said:

Ведь там код просматривается 400-ми пар глаз и шанс увидеть уязвимость многократно возрастает. А теперь вопрос 3 на засыпку - есть не-опенсоурс проект C, альтернатива A и Б, платный, но фирма не такая уж большая и не очень понятно, кто этот проект использует. Будет ли он лучше с точки зрения Cybersecurity, чем проект А? "

Про это тоже была недавно новость - https://habr.com/ru/company/digital-ecosystems/blog/522364/
Т.е. все эти 400 пар глаз мало чего стоят. Даже наоборот , если много глаз, то жди беды. Вспомним призказку про 7-мь нянек. 
Не глаза, а тестирование нужно надежному софту. Но чем жёстче требования к тестированию и качеству опенсорса тем меньше этих мантайнеров.
Потом опенсорс взломать гораздо проще чем закрытый.
А ещё программисты в один миг превращаются в циничных хакеров и могут совершенно безнаказано вставлять куски кода в виде идеальной мишени под атаку типа Spectre или bugdoor. Глаза  становяться бесполезны, даже AI не распознает подвох.  
А вот сертифицированный TUV and UL проприетраный код так не зарядишь бэкдорами. 
Вообщем достаточно отбросить иллюзию о 400 честных и бескорыстных мантайнерах, как вся ваша логика по поводу опенсорса рушится.

  

Share this post


Link to post
Share on other sites
1 hour ago, AlexandrY said:

Про это тоже была недавно новость - https://habr.com/ru/company/digital-ecosystems/blog/522364/
Т.е. все эти 400 пар глаз мало чего стоят.

Можете обьяснить, как вы на основе этой новости делаете такой вывод?

Share this post


Link to post
Share on other sites
12 hours ago, AlexandrY said:

Вообщем достаточно отбросить иллюзию о 400 честных и бескорыстных мантайнерах, как вся ваша логика по поводу опенсорса рушится.

Ну логика о том, что проприетарный софт лучше тестируется или поддерживается тоже заслуживает критики. Вы же не знаете сколько там программистов крутится и сколько незакрытых баг-репортов? А сертифицированный код - ну это вы серьезно такой используете и покупали на него лицензию или тоже теоретизируете?

Но вопрос был не об этом, а о том, что с точки зрения кибербезопасности надо смотреть на риски, а не сразу констатировать - это лучше, а это хуже.

Share this post


Link to post
Share on other sites
On 10/10/2020 at 11:33 AM, syoma said:

Ну логика о том, что проприетарный софт лучше тестируется или поддерживается тоже заслуживает критики. Вы же не знаете сколько там программистов крутится и сколько незакрытых баг-репортов? А сертифицированный код - ну это вы серьезно такой используете и покупали на него лицензию или тоже теоретизируете?

Но вопрос был не об этом, а о том, что с точки зрения кибербезопасности надо смотреть на риски, а не сразу констатировать - это лучше, а это хуже.

Тут уже многократно повторяли что Azure RTOS это ThreadX, а там тотально все сертифицировано и TUV и UL. Я думал это уже все знают.
Сейчас как раз имеем в разработке шлюз на Azure RTOS в Azure IoT Hub. 

Про риски тоже интересно. Наверно только свои риски оцениваете.
А то что такие шлюзы будут работать в инфрастуктуре юзеров и какой ущерб юзерам принесут? 
 

Share this post


Link to post
Share on other sites
42 minutes ago, AlexandrY said:

Тут уже многократно повторяли что Azure RTOS это ThreadX, а там тотально все сертифицировано и TUV и UL. Я думал это уже все знают.
Сейчас как раз имеем в разработке шлюз на Azure RTOS в Azure IoT Hub. 

Ну вот смотрите, очередной ваш аргумент улетучивается.

Quote

Потом опенсорс взломать гораздо проще чем закрытый

Исходники Azure RTOS сейчас открыты для всех  https://github.com/azure-rtos/threadx. Следовательно, исследовать и найти в них уязвимости может любой хакер, также как и в опенсорс. Зачем же вы ее используете? И вообще зачем мелкомягкие выложили их в открытый доступ, если это был такой хороший proprietary и сертифицированный код?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this