Riesgos de software:protección de código abierto en IoT

Ahora hay 7 mil millones de dispositivos IoT en uso en todo el mundo. Se espera que este número se triplique para 2025, alcanzando la cifra sin precedentes de 21.5 mil millones de dispositivos, dice Lev Lesokhin de CAST . El mercado de dispositivos de Internet de las cosas (IoT) se ha disparado; ahora, los fabricantes de dispositivos de IoT que desean sacar provecho de la carrera para implementar IoT están desesperados por llevar sus productos al mercado. En la continua carrera vertiginosa por vender productos, no todo el software para dispositivos IoT se está fabricando con el estándar más alto.

Para llevar nuevos productos y funciones al mercado rápidamente, hay poco tiempo para escribir código personalizado, especialmente cuando los paquetes y marcos prediseñados se pueden descargar de forma gratuita desde comunidades de código abierto como GitHub y Apache . Sin embargo, con el código de IoT como con todo en la vida, recuperas lo que inviertes en él. El Informe de inteligencia de software 2018 de CAST encontró que muchos proyectos de código abierto obtienen malos resultados en el cumplimiento de las reglas de seguridad.

El código de fuente abierto gratuito no viene con seguridad a prueba de agua incorporada. En la carrera hacia el mercado, muchas empresas sacrifican seguridad por velocidad, renunciando a controles de seguridad rigurosos que consideran la estructura y el funcionamiento interno de dicho código. Cada dispositivo de IoT, los siete mil millones de ellos, también debe ejecutarse con un software seguro que sea lo suficientemente robusto como para protegerse de la actividad de los piratas informáticos.

Cualquiera puede escribir código abierto. Gran parte del código del software escrito para dispositivos IoT también está escrito por ingenieros del mundo del software integrado de dispositivos independientes. Esto contrasta marcadamente con el software creado para manejar los datos de las grandes transacciones empresariales de las que forman parte los dispositivos de IoT. La protección de datos en este último contexto requiere un tipo diferente de experiencia y habilidad que lejos de todos los desarrolladores tienen.

Con la realidad de que cualquier persona, independientemente de su experiencia en desarrollo, puede contribuir al software de código abierto, es mucho más difícil garantizar que se respeten los estándares de seguridad y calidad. El código ineficiente, descuidado o incluso malicioso puede pasar desapercibido.

Tantas fallas, pero es poco probable que los compradores se den cuenta. Muchos ven los dispositivos de IoT a través de la lente de las empresas:un medio para lograr un fin estratégico como la mejora de la eficiencia de la producción. La ironía es que, si bien los dispositivos de IoT son lo suficientemente sofisticados como para volverse contra sus propietarios, a menudo no se los considera lo suficientemente sofisticados como para protegerlos de los ataques.

Los ojos del mundo están puestos en tu código

Se producen defectos en el código interno propietario, pero solo los desarrolladores contratados para escribir el código pueden conocerlos. El código fuente sería privado e inaccesible a miradas indiscretas. Sin embargo, así como el código abierto es de fácil acceso para las empresas, es igual para todos los demás. Es posible que muchos desarrolladores y posiblemente piratas informáticos hayan examinado el código antes de incorporarlo a la base de código de la que depende un dispositivo de IoT.

La cadena minorista estadounidense Target fue víctima por una suma de 220 millones de dólares (194 millones de euros) a través del robo de detalles de tarjetas de crédito en 2013, cuando los atacantes encontraron una debilidad en el sistema de control climático que utilizaba la cadena.

Las credenciales se robaron del proveedor del sistema de control de clima y no se modificaron en la implementación en Target, dejando a todos los sistemas instalados completamente vulnerables.

Compruébalo antes de destrozarte

Si bien las vulnerabilidades nunca se pueden negar por completo, la probabilidad se puede reducir mediante tres pasos clave:

El primer paso esencial es que un fabricante comprenda qué hay en el software de IoT que envían. El código abierto, cuando se usa con cuidado, puede ser muy beneficioso. Sin embargo, para proteger a todos los involucrados, desde los creadores hasta los usuarios finales, la procedencia del código que se está poniendo en uso debe rastrearse hasta sus raíces y hacer una referencia cruzada con vulnerabilidades conocidas.

Se debe tomar mucho cuidado y tanto tiempo como sea posible. Una vez fabricado, es poco probable que se rectifique cualquier problema descubierto después del hecho, como ocurrió en el caso de Target, donde los sistemas eran comparativamente fáciles de acceder. Si bien los productores de dispositivos de IoT pueden estar ansiosos por adelantarse a los competidores, deben ser conscientes de que cualquier problema puede existir durante mucho tiempo.

El software debe analizarse de un extremo a otro, porque el código del dispositivo ya no es independiente. Una vez escaneados, las empresas deberían ponerse a trabajar inmediatamente. Aborde todas y cada una de las vulnerabilidades destacadas y refuerce las transacciones con baja resiliencia. Eliminar la mayor cantidad posible de la deuda técnica del código debería ser el objetivo, crear un sistema sólido que resistirá la prueba del tiempo y protegerá a sus futuros propietarios.

En última instancia, recuerde que las oficinas del proveedor del sistema de control de clima de Target terminaron siendo visitadas por el Servicio Secreto de EE. UU. Y la compañía aún es parte de una investigación en curso que les cuesta $ 18,5 millones (€ 16,3 millones). Eso no debería sucederle a nadie más y se puede evitar.

El autor de este blog es Lev Lesokhin, vicepresidente ejecutivo de estrategia y análisis de CAST.