211service.com
Asegurando el hogar inteligente, desde tostadoras hasta inodoros
A fines de diciembre, un investigador de la empresa de seguridad empresarial Proofpoint notó algo extraño: una puerta de enlace de seguridad registraba cientos de miles de correos electrónicos maliciosos que claramente estaban siendo enviados por más de 100,000 dispositivos con Linux, pero no eran PC. Más bien, eran dispositivos de consumo conectados a Internet, incluidos enrutadores, televisores, centros multimedia e incluso un refrigerador.
David Knight, director general de Proofpoint la unidad de seguridad de la información, dice que los atacantes básicamente habían establecido una botnet al estilo de Internet de las cosas, algo que estamos más familiarizados con ver en las PC, donde los dispositivos son secuestrados sin saberlo para hacer cosas como enviar spam o alojar contenido ilícito. pornografía. Espera ver mucho más de lo que él llama thingbots como dispositivos conectados repartidos por toda la casa, especialmente porque la seguridad en muchos de estos dispositivos es solo una interfaz web simple que le pide que configure un nombre de usuario y contraseña. .
Cualquier seguridad que existiera era inadecuada, dice Knight, quien sospecha que los dispositivos se vieron comprometidos simplemente por explotar vulnerabilidades conocidas de Linux.
Los piratas informáticos han causado estragos en las PC a través de Internet durante mucho tiempo, lo que ha provocado filtraciones de datos y fallos informáticos. Ahora que ha comenzado la prisa por agregar conectividad a todo, desde ollas de barro hasta bombillas, lo que está en juego es aún mayor y más personal (consulte Más hogares conectados, más problemas). El software antivirus ayudó a las PC, pero no puede simplemente instalar un paquete de software desarrollado para su escritorio en una tostadora inteligente; como resultado, los dispositivos domésticos conectados generalmente dependen de que el usuario se conecte y configure un nombre de usuario y una contraseña para su protección.
Varias empresas de tecnología y grupos industriales dicen que los dispositivos inteligentes están llegando a los estantes de las tiendas con poca protección de seguridad. Los expertos en seguridad culpan a varios factores del problema: las empresas emergentes pueden dejar la seguridad en el asiento trasero en su prisa por sacar productos, y las empresas establecidas que tradicionalmente han operado fuera de línea, como los fabricantes de equipos de sonido o televisores, podrían simplemente no darse cuenta de que lo hacen. necesita protegerse contra las amenazas cuando se trata de dispositivos conectados a Internet.
No están siendo estúpidos, dice Marc Rogers, investigador principal de seguridad en la empresa de seguridad móvil Estar atento . Simplemente no es algo con lo que hayan tenido que lidiar.
Entonces, mientras las empresas implementan todo, desde luces inteligentes y cerraduras de puertas que puede controlar con un teléfono inteligente hasta inodoros conectados y monitores de presión arterial, también se está haciendo un movimiento para hacer que estos productos sean lo más seguros posible.
Para Rogers en Lookout, esto significa piratear y, a veces, desmantelar físicamente los dispositivos conectados a Internet para descubrir dónde se encuentran sus fallas de seguridad. El verano pasado, Rogers y su equipo descubrieron una debilidad en la computadora de Google que se usa en la cabeza, Google vidrio (consulte Los investigadores encuentran fisuras de seguridad en Google Glass). Más recientemente, Rogers ha estado identificando y comparando las medidas de seguridad en cámaras y sistemas de entretenimiento con capacidad para Internet.
Básicamente estoy rompiendo cosas y luego resolviendo: ¿Qué se está haciendo bien? ¿Qué se está haciendo mal? ¿Cuáles son las lecciones aquí? él dice.
Como muchas otras compañías de tecnología, Lookout reconoce la creciente influencia de los dispositivos conectables a Internet, un espacio tan caliente que Google dijo la semana pasada que desembolsará $ 3.2 mil millones para comprar el termostato inteligente y el fabricante de detectores de humo Nest. El año pasado, había más de 10 mil millones de dispositivos conectados, y este número aumentará hasta 50 mil millones para 2020, según una estimación del fabricante de equipos de red Cisco.
Con la esperanza de minimizar los riesgos de seguridad planteados por todo este crecimiento, Rogers está desarrollando un conjunto de estándares de seguridad que las empresas pueden seguir al desarrollar productos conectados. Se niega a ser específico sobre lo que podrían incluir los estándares de Internet de las cosas, pero dice que se inclina por confiar en los estándares más maduros para Internet y está utilizando la Abra el proyecto de seguridad de aplicaciones web Lista de los 10 principales riesgos de seguridad como guía, ya que detalla muchos tipos de riesgos que podrían afectar a todo tipo de dispositivos conectados a Internet.
En este momento, creo que todos están haciendo lo suyo, pero hay una voz creciente que dice: 'Reunámonos a todos, intentemos sincronizarnos en esto', dice.
El Alianza AllSeen , un grupo de la industria de Internet de las cosas formado en diciembre para fomentar la interoperabilidad entre dispositivos conectados independientemente de su fabricante, cree que el software de código abierto que está desarrollando también podría ayudar.
El software del grupo se basará en AllJoyn , que es el fabricante de chips para teléfonos inteligentes (y miembro del grupo), el software de Internet de las cosas de código abierto de Qualcomm. Liat Ben-Zur , presidente de AllSeen Alliance y director de la unidad AllJoyn de Qualcomm, dice que AllJoyn permite a los desarrolladores de aplicaciones decidir qué nivel de seguridad incorporar, como si cifrar o no los datos transferidos desde un cepillo de dientes inteligente a una aplicación de teléfono inteligente correspondiente. AllJoyn también ofrece configuraciones de seguridad más matizadas, dice ella, como permitir que un amigo visitante controle el aire acondicionado de su hogar conectado, pero solo dentro de un cierto rango de temperatura y solo durante los dos días que está en la ciudad.
Los métodos para permitir el acceso temporal ya están apareciendo en algunas cerraduras de puertas inteligentes que aún no se han lanzado, entre los únicos dispositivos conectados que promocionan su seguridad, como Goji , que te permite establecer horas durante las cuales tus amigos pueden ingresar a tu casa usando sus teléfonos. Sin embargo, hasta ahora esto no es típico.
Una idea similar a la que describe Ben-Zur está en proceso en Mocana , una empresa de seguridad móvil e Internet de las cosas. Mocana está trabajando en una especie de producto de matriz digital con nombre en código AtoM (de aplicación a máquina) que, según el director de tecnología, James Blaisdell, permitirá a diferentes usuarios administrar y controlar dispositivos de forma segura a escala, con diferentes niveles de autoridad.
La compañía espera implementarlo a fines de este año. Inicialmente, estará orientado a aplicaciones industriales, dice Blaisdell, como permitir que el fabricante de una turbina eólica vea cómo se está manteniendo mientras deja que una empresa de electricidad vea cuánta energía está generando. Puede imaginarse que se utilizará también para otras cosas, como aparatos domésticos.
Es el mismo tipo de problemas: ¿cómo conectar todos estos dispositivos de forma segura y hacer que puedan interactuar entre sí de forma segura? él dice.
Incluso si se ha pirateado algo como un estéreo inteligente o una cafetera, puede ser más complicado saberlo que con una computadora portátil o un teléfono inteligente. Estos dispositivos a menudo no tienen pantalla visual, y si están participando en un ataque similar al que observó Proofpoint, es posible que no muestren ningún signo de problema.
En algunos casos, entonces, la solución más simple puede ser simplemente limitar la cantidad de dispositivos que pueden conectarse a Internet. Una cosa que puede hacer el software AllJoyn de AllSeen Alliance es permitir que los dispositivos inteligentes se comuniquen solo con otros dispositivos en el hogar (un grupo de bombillas, por ejemplo, o una cerradura de puerta) y no se conecten a Internet más allá. Para algunos adictos a la conexión, puede parecer limitante, pero Ben-Zur lo ve como una forma de mantener sus dispositivos más seguros y privados también.
No necesariamente quiero que un servicio en la nube sepa cada vez que entro y salgo de la puerta de mi casa, dice Ben-Zur.