Статья посвящена теме информационной безопасности IoT-систем при использовании шаблона проектирования «издатель — подписчик» (pub/sub). Рассматривается использование протокола MQTT в области Интернета вещей и связанные с ним вопросы аутентификации, авторизации и передачи данных. Приводится количественный анализ небезопасных IoT-устройств в сети Интернет, использующих MQTT-протокол, и рассматриваются возможные практические сценарии атак на уязвимые смарт-устройства. На основании изучения вариантов имплементации протокола MQTT в IoT-системах, а также практических результатов его эксплуатации, даются рекомендации, которые могут значительно повысить уровень безопасности данных систем и предотвратить возможные нарушения конфиденциальности, целостности и доступности данных.
< ... >
The article is devoted to the topic of information security of IoT systems with the publish-subscribe (pub/sub) design pattern. A valuable information on using the MQTT protocol in the area of Internet of Things and related issues of authentication, authorization, and data transfer are being considered. The article provides a quantitative analysis of insecure IoT devices on the Internet that use MQTT protocol and examines possible attack scenarios on vulnerable smart devices. As the result of studying the options for implementing the MQTT protocol in IoT systems, as well as the practical results of its exploitation, recommendations are given that can significantly increase the level of security of these systems and prevent possible violations of confidentiality, integrity, and data availability.
Keywords:
Internet of Things, IoT systems, IoT devices, publish-subscribe pattern, pub/sub, infosec, MQTT protocol, MQTT broker, Secure-MQTT, smart devices, vulnerabilities