4 desafíos de seguridad de IoT que enfrentamos en 2015

A medida que Internet de las cosas (IoT) y los dispositivos conectados ganan rápidamente popularidad y tracción, la seguridad se ha convertido en el centro de atención. Atrás quedaron los días en que la seguridad era una idea de último momento para los dispositivos "inteligentes". Hoy en día, los problemas de seguridad están a la vanguardia de la mente de los desarrolladores. Se está capacitando a los desarrolladores para manejar los desafíos de seguridad de IoT, y se está publicitando más en la comunidad Blackhat sobre la explotación de este tipo de dispositivos. Incluso hay una subconferencia en Blackhat 2015 que tendrá como objetivo extraer, analizar y, para todos los efectos, piratear dispositivos de IoT con el propósito de capacitar a los desarrolladores sobre cómo prevenir las vulnerabilidades de seguridad de IoT.

En Link Labs, creemos que hay cuatro desafíos de seguridad importantes que enfrenta la comunidad de IoT en 2015 , y los hemos resumido aquí.

VEA TAMBIÉN: Los 2 métodos de seguridad de IoT

1. Se están agregando dispositivos habilitados para Wi-Fi en redes de área local (LAN) sin la seguridad adecuada.

Esta es la mayor amenaza para la seguridad de IoT. Cuando se permiten puntos finales basados ​​en TCP / IP en una LAN sin protocolos de seguridad de nivel empresarial, existe un gran riesgo involucrado.

Para ilustrar cómo esto podría suceder (y sucede) con los productos de IoT, imagine que alguien ha comprado un dispositivo con un módulo Wi-Fi que toma su pecera normal y la convierte en una pecera "inteligente". Si alguien compra este producto y lo permite en su LAN, ahora ha permitido un punto final potencialmente malicioso detrás de su firewall.

Aquí está el problema:los firewalls y NAT son la primera línea de defensa de una red contra los ataques directos al host, y si agrega algo dentro de su LAN, ya está detrás del firewall. Una vez que este dispositivo de pecera inteligente está instalado, puede llegar y conectarse a servidores maliciosos. Este proceso se conoce como "tunelización inversa", porque el dispositivo dentro del firewall puede realizar una conexión saliente a través del firewall y abrir una conexión de socket más fácilmente que una conexión entrante. Los cortafuegos no bloquean la mayoría de las solicitudes salientes, ya que de lo contrario sería difícil utilizar la mayoría de las aplicaciones.

El software malo no es el único desafío aquí, también podría haber gente mala en juego. En otras palabras, los creadores de la pecera inteligente podrían tener intenciones maliciosas y es posible que quieran explotar todas las redes que puedan tener en sus manos. Los productos de IoT simplemente no tienen el beneficio de una seguridad sólida del sistema operativo (SO). La mayoría de los principales sistemas operativos, como los creados por Apple y Microsoft, hacen que sea muy difícil para alguien explotar un sistema, incluso desde dentro de una LAN. Eso no significa que no pueda suceder con regularidad, pero es más difícil. Pero con los productos de IoT, dado que la mayoría ejecuta un sistema operativo menos sofisticado, lo único en lo que los consumidores pueden confiar es en que las personas que les vendieron el dispositivo habilitado para Wi-Fi lo hicieron con buenas intenciones.

2. Hay problemas con la capacidad de actualización y la capacidad de parcheo de los puntos finales de IoT.

Una de las cosas buenas de Mac y Windows OS es que están completamente configurados y actualizados con regularidad. Ambos tienen capacidad de actualización automática, por lo que cuando el sistema operativo de su computadora necesita ser reparado debido a una vulnerabilidad de seguridad, puede comunicarse y actualizarse o "parchearse" automáticamente.

Con los dispositivos de IoT, depende de las empresas que los vendieron disponer de un mecanismo para cualquier tipo de vulnerabilidades de seguridad relacionadas con los parches. El problema es que eso puede suceder o no. Este no es un problema nuevo, pero es un problema de todos modos. (De hecho, la industria de los equipos de red se ha ocupado de todavía lidiar con el mismo problema, ya que a veces los enrutadores, etc., tienen vulnerabilidades que no se reparan antes de que haya un problema de seguridad).

En este artículo de VentureBeat, el autor Michael Coates dice que “la implementación efectiva de parches es un gran problema” para IoT. Explica que algunas brechas de seguridad pasarán desapercibidas, pero otras se descubrirán y los consumidores exigirán una solución. Continúa explicando cómo puede desarrollarse un escenario como este y por qué es preocupante:

“En estas situaciones, un fabricante puede tener problemas para emitir un parche. ¿Pero entonces, qué? ¿Cómo se entrega realmente el parche al dispositivo? ¿Se les pedirá a todos los clientes que reinicien su horno, automóvil o marcapasos y naveguen por un proceso de actualización? ¿O el software actualizado solo estará disponible en la próxima versión del producto físico? Esto significaría que los clientes no recibirían el parche hasta que compraran una nueva tostadora, un monitor para bebés, etc. Desafortunadamente, uno de nuestros desafíos actuales con IoT es que, incluso si se emite un parche, no existe un canal efectivo para llegar a la mayoría de los dispositivos. de manera oportuna ".

Todo se reduce a esto:cuantas más cosas se agregan a una LAN, mayores son las preocupaciones de seguridad. Tenemos la esperanza de que la industria cree algún tipo de estándar en torno a las expectativas de los parches de seguridad para los dispositivos de IoT.

3. Han surgido problemas relacionados con la protección del acceso físico.

Volvamos al ejemplo de nuestra aplicación de pecera inteligente. Los consumidores a menudo no consideran esto, pero con cualquier dispositivo físico, existe la posibilidad de que un pirata informático pueda manipularlo y acceder a puertos USB expuestos o una interfaz de depuración. Si alguien puede piratear con éxito en el nivel integrado la memoria de un dispositivo de IoT y puede leer la clave de cifrado, todos los dispositivos que se envían o se envían se vuelven vulnerables. Este es un problema real tanto para los consumidores como para la industria en su conjunto.

4. Hay un montón de publicidad por parte de desarrolladores y consumidores.

Debido a que existe una prensa tan frecuente e intensa en torno al Internet de las cosas, existe una urgencia entre las empresas de llegar al mercado con sus dispositivos de IoT más rápidamente. Si bien la exageración actual está, por un lado, impulsando la innovación, también está poniendo a los desarrolladores en una línea de tiempo ajustada. Cuando el tiempo es esencial y todos los esfuerzos se centran en un despliegue rápido, la seguridad puede convertirse en una ocurrencia tardía. Cuando esto sucede, los dispositivos de IoT pueden salir al mercado con un cifrado deficiente, sistemas operativos sin parches y más.

Puede ver cómo la seguridad de IoT se ha convertido en su propia disciplina y es un tema tan importante como la seguridad de red estándar. IoT ha dejado la “etapa inicial” de desarrollo y, con su popularidad generalizada, viene la responsabilidad de mantener segura la información del consumidor. Los desarrolladores de productos y los consumidores se están tomando estos problemas en serio, y deben hacerlo.