No crea el bombo publicitario:Por qué el IoT se está estancando

Ken Munro de Pen Test Partners

Si los ciclos de exageración son algo por lo que pasar, es casi seguro que estamos al borde del abismo de la desilusión con el IoT. Investigaciones recientes afirman que el 60% de las implementaciones de prueba han fallado. Pero si bien algunos proyectos piloto pueden haber fallado, aún no existe el peso de los dispositivos en implementación que sugieran que hemos alcanzado su punto máximo. Más bien, la adopción en sí parece estar fallando.

La adopción de IoT no ha sido el éxito total previsto y esto se debe a una serie de problemas. En primer lugar, la habilitación de dispositivos IoT que no necesariamente garantizan esta conectividad adicional. Tomemos como ejemplo la pecera de IoT que regulaba la alimentación, la temperatura y la calidad del agua, dice Ken Munro, socio de Pen Test Partners .

Eso puede parecer un dispositivo que ahorra mano de obra, pero al final, un casino donde se instaló el tanque perdió 10 GB de datos en un dispositivo en Finlandia. La seguridad de IoT no se detiene en el dispositivo. Lo que esto ilustra es que dichos dispositivos se están utilizando para crear puertas traseras explotables en las redes, lo que permite el robo de credenciales y la exfiltración de datos.

Las preocupaciones sobre la longevidad también están obstaculizando la adopción, ya que los dispositivos a menudo se cambian en lugar de actualizar, lo que hace que los usuarios cuestionen la viabilidad de la inversión. Luego está la pregunta de si el fabricante tiene los recursos para solucionar cualquier problema que pueda surgir.

Las vulnerabilidades de seguridad surgen con el tiempo y si eso sucede y sus dispositivos deben ser parcheados, ¿el fabricante invertirá el tiempo necesario para supervisar esto o negar la culpabilidad o incluso retirar el soporte?

Detalles divulgados

Proteger la base instalada existente es un verdadero dolor de cabeza para los fabricantes. Si examina detenidamente el sitio web de Shodan, verá hosts de equipos de IoT implementados (y, lo que es más preocupante, incluso sistemas de control industrial) con detalles sobre la dirección IP, el sistema operativo que se ejecuta y la versión del software en uso. Y la FCC publica amablemente los esquemas de los dispositivos IoT que se lanzarán próximamente, completos con diagramas de circuitos para aquellos que quieran conocer más detalles.

En muchos casos, un atacante puede identificar dispositivos de Shodan y simplemente obtener las credenciales predeterminadas para obtener acceso. Una vez encontramos una lista práctica de "supercontraseña" de credenciales de inicio de sesión diarias durante todo el año publicada en el sitio de redes sociales por un técnico. Claramente, la seguridad de la cadena de suministro tiende a ser laxa, y este caso ilustra lo fácil que es obtener datos "confidenciales".

Luchando frente a estas probabilidades, los fabricantes ahora buscan vender datos a terceros. Eso puede tener sentido comercialmente, pero compromete aún más la seguridad y privacidad de la base de usuarios. Podría ver los planos de planta de su oficina, por ejemplo, vendidos si es usuario de una aspiradora de IoT. ¿Y si esa información llega al mercado negro? Los datos del sistema de gestión de edificios (BMS) podrían resultar especialmente útiles. Piense en la extorsión que sería posible si un atacante pusiera ransomware sobre termostatos inteligentes.

Solución del problema

Los cínicos entre ustedes se preguntarán si el usuario final no debería asumir también parte de la responsabilidad y es cierto que pocos reconfiguran los dispositivos una vez instalados. Eso se debe en parte a que puede resultar muy difícil hacerlo. Si tiene éxito, ¿también ha cambiado el PIN predeterminado en aplicaciones móviles o aplicaciones web que se utilizan para controlar el dispositivo? Todavía es cuestionable si vale la pena hacerlo, dado que un PIN de cuatro o seis dígitos tarda unas horas en descifrarse.

La actual falta de confianza solo se puede atribuir a la falta de seguridad y eso significa que los fabricantes deben mejorar su juego. Deben ocuparse del desarrollo seguro de aplicaciones móviles, la sólida gestión de sesiones y el cifrado en los servicios web, la implementación segura del estándar inalámbrico elegido y, en el dispositivo mismo, deshabilitar la funcionalidad no utilizada, como puertos serie o puertos de depuración, aplicar técnicas de ofuscación e implementar dispositivos seguros. almacenamiento de claves mientras que el firmware debe estar encriptado y firmado.

Lamentablemente, hasta que los proveedores comiencen a priorizar la seguridad, la adopción de IoT fallará. Solo se necesita otro ataque de malware audaz, tal vez a través de una interfaz universal como el puerto 80, para dañar la absorción de manera irreparable. En este momento, la industria debe centrarse en generar confianza y eso significa adoptar una regulación legislativa o autoimpuesta.

El autor de este blog es Ken Munro, socio de Pen Test Partners