211service.com
Más hogares conectados, más problemas
Como un creciente número de los electrodomésticos conectados a Internet que llegan al mercado, a David Bryan y Daniel Crowley les preocupa que los ne'er-do-wells digitales obtengan nuevas formas de tomar el control de estos dispositivos, desbloqueando su casa, aumentando su factura de calefacción, descargando su inodoro. o peor, desde lejos.
Bryan y Crowley, ambos investigadores de seguridad en Trustwave Holdings , han estado tratando de hacer sonar esta alarma desde que se enteraron de la Lockitron , un dispositivo de $ 179 diseñado para caber en un cerrojo estándar y le permite bloquear o desbloquear su hogar desde su teléfono inteligente. En ese momento, el dispositivo aún no había comenzado a enviarse a los clientes, pero despertó la curiosidad de Bryan y Crowley. Pensaron que probarían otros dispositivos inteligentes mientras lo hacían, y durante los últimos meses descubrieron que casi todos, incluidas las luces, una báscula y un inodoro, tenían importantes deficiencias de seguridad.
Sus hallazgos destacan un problema potencial con el llamado Internet de las cosas y la nueva clase de productos para el hogar conectados a Internet que puede monitorear y administrar de forma remota. Estos dispositivos ofrecen conveniencia y ahorros potenciales de energía y, a veces, simplemente una novedad (ver Home Tweet Home: A House with Its Own Voice en Twitter). De acuerdo a datos de ABI Research, ya hay más de 10 mil millones de dispositivos conectados de forma inalámbrica en uso, y para 2020 habrá más de 30 mil millones de ellos. Si bien los dispositivos centrales como los teléfonos inteligentes y las computadoras portátiles representan la mayor parte de este total en la actualidad, el investigador de mercado espera que esto cambie a favor de los sensores y dispositivos de nodo baratos que componen el Internet de las cosas.
Sin embargo, a medida que conectamos más y más dispositivos a Internet, todo, desde el termostato hasta el inodoro y la puerta de entrada, puede crear una posible nueva apertura para los intrusos electrónicos. Al igual que con las computadoras, hay formas de proteger estos dispositivos de personas externas, pero las experiencias de Crowley y Bryan indican que, al menos por ahora, esta no siempre es una preocupación principal para las empresas que tienen prisa por vender este equipo. Hacer que los dispositivos sean más seguros puede agregar tiempo al desarrollo de productos.
Varía de un dispositivo a otro, pero un hilo común con muchos de estos dispositivos es que no requieren ninguna autenticación, dice Crowley.
Por ejemplo, Crowley y Bryan examinaron el Veralight , que se conecta a la red informática de su hogar y le permite controlar y administrar muchos tipos de electrodomésticos. De forma predeterminada, no requería nombre de usuario ni contraseña para acceder al sistema, y dicen que encontraron numerosas formas de eludir la autenticación incluso cuando estaba encendido. Más recientemente, Crowley y Bryan descubrieron con qué facilidad se podía conseguir un inodoro con música llamado Satis , que está controlado por un Aplicación para smartphone Android , para enjuagarse repetidamente o reproducir música alta. Recientemente discutieron sus hallazgos en la conferencia anual de seguridad de Black Hat en Las Vegas.
Crowley y Bryan dicen que se han puesto en contacto con todas las empresas cuyos productos creen que tienen fallas de seguridad. En su mayoría, no han obtenido una respuesta directa. En un comunicado, el fabricante de Veralight, con sede en Hong Kong Mi Casa Verde , dijo que cree que sus controladores son tan seguros o más seguros que cualquiera de los productos de automatización del hogar en el mercado actual. Lixel , la empresa japonesa detrás del inodoro en red, dijo en un comunicado que hay varias condiciones necesarias que deben cumplirse para controlar el inodoro de forma remota, como emparejar un teléfono inteligente con el inodoro, que debe hacerse con una unidad separada que viene con el inodoro. Satis.
Los investigadores de seguridad temen que los riesgos que presentan estos nuevos tipos de dispositivos sean especialmente preocupantes. Si los piratas informáticos pueden aprovechar una debilidad en un solo tipo de sistema o aparato doméstico conectado a Internet, como una cerradura de puerta conectada a Internet, es posible que puedan dañar a miles de personas a la vez. Podría ser un esfuerzo conseguir este tipo de escenario, pero si irrumpir en un servidor significa que puedes saquear las casas de 100, 1,000, 10,000 personas, definitivamente vale la pena, y ahí es donde radica el verdadero peligro, dice Crowley.
Yoshi Kohno , profesor asociado de la Universidad de Washington que estudia la seguridad informática y la privacidad en las tecnologías de consumo, dice que es difícil saber exactamente qué tan grande será este problema. Pero ha encontrado vulnerabilidades reales en varias cosas conectadas a Internet, incluidos automóviles, dispositivos médicos y juguetes para niños. Un juguete que incluye una cámara web, por ejemplo, podría permitir que un atacante en línea se conecte al juguete y encienda la cámara web. Nosotros, como comunidad, debemos mirar de manera integral todas las tecnologías emergentes y no solo decir, 'Oh, es una tostadora, no importa', y pensar que todo importa hasta que creamos que no es así, dice.
Kohno dice que necesitaría poner más énfasis en la seguridad antes de sentirse cómodo usando la mayoría de los dispositivos para el hogar conectado disponibles actualmente: las luces que se pueden controlar a través de la Web pueden estar bien, pero una cerradura de puerta automática, por ejemplo, todavía estaría fuera de discusión.
Incluso con las medidas de seguridad implementadas, también existe la posibilidad de escuchas ilegales, dice Kamin Whitehouse, profesor asociado de la Universidad de Virginia que estudia edificios inteligentes. Su investigación ha demostrado que incluso si el tráfico de datos de los dispositivos inteligentes inalámbricos en el hogar está encriptado, un atacante aún puede analizar los patrones de tráfico de la red y, al hacer algunas suposiciones sobre el comportamiento humano, hacerse una idea de lo que sucede dentro de la casa. Una vez que la casa comienza a estar completamente conectada, no hay razón para pensar que no se convertirá en un objetivo, dice.
Por su parte, Crowley y Bryan son optimistas de que esto cambiará. La cerradura de la puerta controlada por teléfono inteligente que los intrigó por primera vez recientemente comenzó a enviarse a los clientes y ofrece seguridad. detalles y un contacto por correo electrónico para preguntas relacionadas con la seguridad. Eso es una indicación de que Apigy , la compañía detrás de Lockitron, está enfocada en el tema, dice Crowley. Eso es grande. Dice algo bueno sobre el estado de seguridad en ese producto, dice. Significa que probablemente tendremos dificultades para romperlo.