¿Estamos creando un Internet de las cosas (IoT) inseguro? Desafíos y preocupaciones de seguridad

El Internet de las cosas (IoT) ha sido una palabra de moda en la industria durante años, pero el lento desarrollo y la comercialización limitada han llevado a algunos observadores de la industria a comenzar a llamarlo el "Internet de la nada".

Dejando a un lado los dobles juegos de palabras, el desarrollo de IoT está en problemas. Aparte de generar chistes geek no aptos para la mayoría de las ocasiones sociales, la exageración no ayudó; y, de hecho, creo que en realidad causó mucho más daño que bien. Hay algunos problemas con IoT, pero podríamos prescindir de toda la cobertura positiva y la exageración sin fundamento. La ventaja de generar más atención es clara: más inversión, más financiación de capital de riesgo, más interés de los consumidores.

Sin embargo, estos vienen con un nivel adicional de escrutinio, lo que ha hecho que una serie de deficiencias sean dolorosamente obvias. Después de un par de años de pronósticos alcistas y grandes promesas, la seguridad de IoT parece ser la mayor preocupación. Las primeras semanas de 2015 no fueron amables con esta industria emergente y la mayor parte de la prensa negativa giró en torno a la seguridad.

¿Estaba justificado? ¿Fue solo "miedo, incertidumbre y duda" (FUD), provocado por años de exageración? Fue un poco de ambos; aunque algunos problemas pueden haber sido exagerados, los problemas son muy reales, de hecho.

De “Year Of IoT” a Annus Horribilis para IoT

Muchos comentaristas describieron 2015 como “el año de IoT”, pero hasta ahora ha sido un año de mala prensa. De acuerdo, todavía quedan diez meses, pero los informes negativos siguen acumulándose. La firma de seguridad Kaspersky recientemente realizó una crítica condenatoria de los desafíos de seguridad de IoT, con un título poco halagador, " Internet de las cosas malas ".

Kaspersky no es ajeno a las críticas y controversias de IoT; la firma ha estado haciendo sonar las alarmas durante un tiempo, respaldándolas con ejemplos de casas inteligentes pirateadas, lavados de autos e incluso sistemas de vigilancia policial. Ya sea que un pirata informático quiera lavar su vehículo sin cargo o acechar a alguien que usa su rastreador de actividad física, las fallas de seguridad de IoT podrían hacerlo posible.

Wind River publicó un libro blanco sobre la seguridad de IoT en enero de 2015, y el informe comienza con una introducción aleccionadora. Titulado Searching For The Silver Bullet , resume el problema en solo tres párrafos, que condensaré en algunos puntos:

• La seguridad debe ser el habilitador fundamental para IoT.
• Actualmente no hay consenso sobre cómo implementar la seguridad en IoT en el dispositivo.
• Una expectativa frecuente y poco realista es que de alguna manera es posible comprimir 25 años de evolución de la seguridad en nuevos dispositivos IoT.
• No existe una bala de plata que pueda mitigar eficazmente las amenazas.

Sin embargo, hay algunas buenas noticias; el conocimiento y la experiencia ya están aquí, pero deben adaptarse para adaptarse a las limitaciones únicas de los dispositivos IoT.

Desafortunadamente, aquí es donde nosotros, como desarrolladores de seguridad del sistema, nos topamos con otro problema, un problema de hardware.

La presidenta de la Comisión Federal de Comercio de EE. UU., Edith Ramírez, se dirigió al Consumer Electronics Show en Las Vegas a principios de este año y advirtió que incorporar sensores en los dispositivos cotidianos y permitirles registrar lo que hacemos podría representar un riesgo de seguridad masivo.

Ramírez describió tres desafíos clave para el futuro de IoT:

• Recopilación de datos ubicuos.
• Potencial para usos inesperados de los datos del consumidor.
• Aumento de los riesgos de seguridad.

Instó a las empresas a mejorar la privacidad y crear dispositivos IoT seguros adoptando un enfoque centrado en la seguridad, reduciendo la cantidad de datos recopilados por los dispositivos IoT y aumentando la transparencia y brindando a los consumidores la opción de optar por no participar en la recopilación de datos.

Ramírez continuó diciendo que los desarrolladores de dispositivos IoT no han dedicado tiempo a pensar en cómo proteger sus dispositivos y servicios de los ataques cibernéticos.

“El tamaño pequeño y la capacidad de procesamiento limitada de muchos dispositivos conectados podrían inhibir el cifrado y otras medidas de seguridad sólidas”, dijo Ramírez. “Además, algunos dispositivos conectados son de bajo costo y esencialmente desechables. Si se descubre una vulnerabilidad en ese tipo de dispositivo, puede ser difícil actualizar el software o aplicar un parche, o incluso hacer llegar la noticia de una solución a los consumidores”.

Si bien Ramírez da en el clavo en la mayoría de los aspectos, debo señalar que Internet pasó por una fase similar hace dos décadas. Hubo muchos problemas de seguridad, y en la década de los noventa surgió el malware transmitido por Internet, los ataques DDoS, el phishing sofisticado y más. Aunque Hollywood representó un futuro distópico en algunas películas, hemos terminado con gatitos en las redes sociales y una brecha de seguridad de alto perfil aquí y allá.

Internet todavía no es seguro, por lo que tampoco podemos esperar que IoT sea seguro. Sin embargo, la seguridad está en constante evolución para enfrentar nuevos desafíos, lo hemos visto antes y lo veremos nuevamente, con IoT y las tecnologías conectadas posteriores.

El hardware IoT es y seguirá siendo un problema

Algunos de ustedes pensarán que se abordarán los problemas de hardware mencionados por el jefe de la FTC; sí, algunos de ellos probablemente lo harán.

A medida que crezca el mercado de IoT, veremos más inversiones y, a medida que madure el hardware, obtendremos una seguridad mejorada. Los fabricantes de chips como Intel y ARM estarán ansiosos por ofrecer una mejor seguridad con cada nueva generación, ya que la seguridad podría ser un diferenciador del mercado, lo que les permitiría obtener más victorias en el diseño y obtener una mayor participación.

La tecnología siempre avanza, ¿por qué no? Los nuevos procesos de fabricación generalmente dan como resultado procesadores más rápidos y eficientes y, tarde o temprano, la brecha se cerrará, proporcionando así a los desarrolladores suficiente poder de procesamiento para implementar mejores funciones de seguridad. Sin embargo, no estoy tan seguro de que este sea un escenario realista.

En primer lugar, los chips IoT no generarán grandes ganancias, ya que son pequeños y, por lo general, se basan en arquitecturas obsoletas. Por ejemplo, la plataforma Intel Edison de primera generación se basa en procesadores Quark, que esencialmente utilizan el mismo conjunto de instrucciones de CPU y gran parte del diseño del antiguo Pentium P54C. Sin embargo, la microcomputadora Edison de próxima generación se basa en un procesador mucho más rápido, basado en núcleos Atom Silvermont, que se encuentra en muchas tabletas con Windows y Android en la actualidad. (Intel envió ~46 millones de SoC Bay Trail en 2014).

A primera vista, podríamos terminar con núcleos de CPU x86 de 64 bits relativamente modernos en dispositivos IoT, pero no serán baratos, seguirán siendo sustancialmente más complejos que los núcleos ARM más pequeños y, por lo tanto, necesitarán más batería. energía.

Los dispositivos portátiles baratos y desechables, que parecen ser la mayor preocupación de la FTC, no funcionarán con esos chips, al menos no en el corto plazo. Los consumidores pueden terminar con procesadores más potentes, como Intel Atoms o chips ARMv8, en algunos productos inteligentes, como refrigeradores inteligentes o lavadoras con pantallas táctiles, pero no son prácticos para dispositivos desechables sin pantallas y con capacidad de batería limitada.

La venta de plataformas completas o diseños de referencia para varios dispositivos IoT podría ayudar a los fabricantes de chips a generar más ingresos y, al mismo tiempo, introducir más estandarización y seguridad. Lo último que necesita la industria son más dispositivos no estandarizados y más fragmentación. Esto puede sonar como un enfoque lógico y sólido, ya que los desarrolladores terminarían con menos plataformas y se asignarían más recursos para la seguridad; sin embargo, las brechas de seguridad también afectarían a una mayor cantidad de dispositivos.

El dinero está llegando, los analistas siguen optimistas, ¿qué podría salir mal?

Una de las formas más comunes de abordar cualquier problema en la industria tecnológica es simplemente arrojarle dinero. Entonces, veamos dónde nos encontramos ahora en términos de financiamiento en lugar de tecnología.

Según las firmas de investigación IDC y Gartner, IoT crecerá hasta tal punto que transformará la industria de los centros de datos para fines de la década. Gartner espera que el mercado de IoT tenga 26 mil millones de unidades instaladas para 2020, creando grandes oportunidades para todas las partes, desde centros de datos y fabricantes de hardware hasta desarrolladores y diseñadores. IDC también espera que la industria de IoT termine con "miles de millones de dispositivos y billones de dólares" para fines de la década.

El último pronóstico del mercado de IoT de Gartner publicado en mayo de 2014 también incluye una lista de desafíos potenciales, algunos de los cuales ya he cubierto:

• Seguridad: el aumento de la automatización y la digitalización genera nuevos problemas de seguridad.
• Empresa: los problemas de seguridad podrían plantear riesgos de seguridad.
• Privacidad del consumidor: potencial de violaciones de la privacidad.
• Datos: Se generarán muchos datos, tanto para big data como para datos personales.
• Gestión de almacenamiento: la industria necesita averiguar qué hacer con los datos de una manera rentable.
• Tecnologías de servidores: será necesaria una mayor inversión en servidores.
• Red de centro de datos: los enlaces WAN están optimizados para aplicaciones de interfaz humana, se espera que IoT cambie drásticamente los patrones al transmitir datos automáticamente.

Todos estos puntos (y más) deben abordarse tarde o temprano, a menudo a un costo considerable. Ya no estamos hablando de pequeños chips IoT y juguetes baratos basados ​​en dichos chips, esto es infraestructura. Se trata de una gran cantidad de silicio en las CPU de los servidores, RAM DDR4 ECC costosa y SSD aún más grandes, todo alojado en servidores costosos, en centros de datos aún más grandes.

Eso es solo la punta del iceberg; la industria debe abordar las preocupaciones sobre el ancho de banda, la gestión de datos y las políticas de privacidad, y la seguridad. Entonces, ¿cuánto dinero deja eso para la seguridad, que se encuentra en la parte superior de la lista de desafíos de IoT de Gartner?

Ya se está invirtiendo mucho dinero en la industria, los capitalistas de riesgo se están incorporando y el ritmo de inversión parece estar aumentando. También hubo una serie de adquisiciones, a menudo involucrando a grandes jugadores como Google, Qualcomm, Samsung, Gemalto, Intel y otros. Hay una lista de inversiones relacionadas con IoT en Postscapes. El problema con muchas de estas inversiones, especialmente las que provienen de VC, es que tienden a centrarse en cosas "brillantes", dispositivos que pueden comercializarse pronto, con un ROI potencialmente espectacular. Estas inversiones no hacen mucho por la seguridad o la infraestructura, que básicamente tendrían que ir a la zaga de la demanda de IoT.

Los grandes jugadores tendrán que hacer el trabajo pesado, no las nuevas empresas y los fabricantes de juguetes respaldados por capital de riesgo. Las nuevas empresas ágiles e innovadoras sin duda desempeñarán un papel importante al impulsar la adopción y crear demanda, pero no pueden hacerlo todo.

Pensémoslo de esta manera, incluso una pequeña empresa puede construir un automóvil, o decenas de miles de automóviles, pero no puede construir autopistas, carreteras, gasolineras ni refinerías. Esa misma pequeña empresa puede construir un vehículo seguro utilizando tecnología estándar para cumplir con los estándares básicos de seguridad vial, pero no podría construir un vehículo similar a Segway que cumpla con los mismos estándares de seguridad, ni nadie más. Los estándares de seguridad automotriz nunca podrían aplicarse a tales vehículos, no vemos personas que se desplazan al trabajo en Segways, por lo que tampoco podemos esperar que el estándar de seguridad tecnológica tradicional se aplique a dispositivos IoT con poca potencia.

Hacer que los viajeros revisen su correo electrónico o jueguen Candy Crush mientras conducen sus Segways a través del tráfico de la hora pico no parece muy seguro, ¿verdad? Entonces, ¿por qué deberíamos esperar que los dispositivos IoT sean tan seguros como otros dispositivos conectados, con hardware mucho más potente y sistemas operativos maduros? Puede ser una analogía extraña, pero la conclusión es que no se puede esperar que los dispositivos IoT se ajusten a los mismos estándares de seguridad que las computadoras de pleno derecho.

Pero espere, no hubo tantas debacles de seguridad de IoT...

Es cierto que no vemos muchos titulares sobre brechas de seguridad de IoT espectaculares, pero permítanme decirlo de esta manera: ¿cuántos titulares relacionados con la seguridad vio sobre Android Wear? ¿Una? ¿Dos? ¿Ninguna? Se estima que hay menos de un millón de dispositivos Android Wear en la naturaleza, por lo que simplemente no son un objetivo principal para los piratas informáticos ni un tema para los investigadores de seguridad.

¿Cuántos dispositivos IoT posee y utiliza en este momento? ¿Cuántos utiliza su empresa? De ahí viene el chiste del “Internet de las nada”, la mayoría de la gente no tiene ninguno. Los números siguen subiendo, pero el consumidor promedio no está comprando muchos, entonces, ¿de dónde viene ese crecimiento? Los dispositivos IoT están disponibles y los números están en auge, impulsados ​​por la empresa en lugar del mercado de consumo.

Verizon y ABI Research estiman que había 1200 millones de dispositivos diferentes conectados a Internet el año pasado, pero para 2020 esperan hasta 5400 millones de conexiones B2B IoT.

Las pulseras inteligentes, las tostadoras y los collares para perros no son una gran preocupación desde el punto de vista de la seguridad, pero el último informe de IoT de Verizon se centra en algo un poco más interesante: la empresa.

La cantidad de conexiones de máquina a máquina (M2M) de Verizon en el sector manufacturero aumentó en un 204 por ciento de 2013 a 2014, seguido por finanzas y seguros, medios y entretenimiento, atención médica, comercio minorista y transporte. El informe de Verizon incluye un desglose de las tendencias de IoT en varias industrias, por lo que ofrece información sobre el lado comercial de las cosas.

El tono general del informe es optimista, pero también enumera una serie de problemas de seguridad. Verizon describe las brechas de seguridad en la industria energética como "impensables", describe la seguridad de IoT como "primordial" en la fabricación y ni siquiera mencionemos los riesgos potenciales en la atención médica y el transporte.

¿Cómo y cuándo obtendremos un Internet de las cosas seguro?

No intentaré ofrecer una respuesta definitiva sobre cómo se pueden resolver los desafíos de seguridad de IoT o cuándo. La industria todavía está buscando respuestas y hay un largo camino por recorrer. Estudios recientes indican que la mayoría de los dispositivos IoT disponibles actualmente tienen vulnerabilidades de seguridad. HP descubrió que el 70 % de los dispositivos IoT son vulnerables a los ataques.

Si bien el crecimiento ofrece muchas oportunidades, IoT aún no es maduro ni seguro. Agregar millones de nuevos dispositivos, puntos finales de hardware, miles de millones de líneas de código, junto con más infraestructura para hacer frente a la carga, crea un amplio conjunto de desafíos, incomparable con todo lo que hemos experimentado en las últimas dos décadas.

Por eso no soy optimista.

No creo que la industria pueda aplicar muchas lecciones de seguridad a IoT, al menos no lo suficientemente rápido, no en los próximos años. En mi opinión, la analogía de Internet es una falacia, simplemente porque Internet de los noventa no tuvo que lidiar con tipos de hardware tan diferentes. Usar cifrado y desperdiciar ciclos de reloj en seguridad no es un problema en CPU x86 grandes o SoC ARM, pero no funcionará de la misma manera con pequeños dispositivos IoT con una fracción de la potencia de procesamiento y un consumo de energía muy diferente.

Los procesadores más elaborados, con un troquel más grande, necesitan un empaque más grande y tienen que disipar más calor. También necesitan más energía, lo que significa baterías más grandes, más pesadas y más caras. Para reducir el peso y el volumen, los fabricantes tendrían que recurrir al uso de materiales y técnicas de producción exóticos. Todo lo anterior implicaría un mayor gasto en I+D, un mayor tiempo de comercialización y una mayor lista de materiales. Con precios sustancialmente más altos y una construcción premium, estos dispositivos difícilmente podrían considerarse desechables.

Entonces, ¿qué se debe hacer para que el IoT sea seguro? Mucho. Y todos tienen un papel que desempeñar, desde los gigantes tecnológicos hasta los desarrolladores individuales.

Echemos un vistazo a algunos puntos básicos, como lo que se puede hacer y lo que se está haciendo, para mejorar la seguridad de IoT ahora:

• Enfatiza la seguridad desde el primer día
• Ciclo de vida, preparación para el futuro, actualizaciones
• Control de acceso y autenticación de dispositivos
• Conoce a tu enemigo
• Prepárese para las brechas de seguridad

Un claro énfasis en la seguridad desde el primer día siempre es bueno, especialmente cuando se trata de tecnologías inmaduras y mercados subdesarrollados. Si planea desarrollar su propia infraestructura de IoT o implementar una solución existente, investigue y manténgase lo más informado posible. Esto puede implicar compensaciones, ya que se le podría presentar la opción de aumentar la seguridad a costa de comprometer la experiencia del usuario, pero vale la pena siempre que logre el equilibrio adecuado. Esto no se puede hacer sobre la marcha, hay que planificar con anticipación y planificar bien.

En la prisa por lanzar nuevos productos y servicios al mercado, es probable que muchas empresas pasen por alto el soporte a largo plazo. Ocurre todo el tiempo, incluso en las grandes ligas, por lo que siempre terminamos con millones de computadoras y dispositivos móviles sin parches e inseguros. Simplemente son demasiado viejos para que la mayoría de las empresas se molesten en usarlos, y es probable que sea aún peor con los dispositivos IoT desechables. Los principales proveedores de teléfonos no actualizan su software en teléfonos de 2 a 3 años, así que imagine lo que sucederá con los dispositivos IoT de $ 20 que podrían estar en su red durante años. La obsolescencia programada puede ser parte de esto, pero la verdad es que actualizar los dispositivos antiguos no tiene mucho sentido financiero para el fabricante, ya que tiene mejores cosas que hacer con sus recursos. Los dispositivos IoT seguros tendrían que ser seguros por diseño e impermeables desde el principio, o recibir actualizaciones vitales a lo largo de su ciclo de vida, y estoy seguro de que estará de acuerdo en que ninguna opción parece realista, al menos, no todavía.

La implementación de un control de acceso seguro y la autenticación de dispositivos suena como algo obvio, pero aquí no estamos tratando con un dispositivo conectado promedio. Crear controles de acceso y métodos de autenticación que se puedan implementar en dispositivos IoT baratos y compactos sin comprometer la experiencia del usuario o agregar hardware innecesario es más difícil de lo que parece. Como mencioné anteriormente, la falta de poder de procesamiento es otro problema, ya que las técnicas de encriptación más avanzadas simplemente no funcionarían muy bien, si es que funcionan. En una publicación anterior, analicé una alternativa, externalizar el cifrado a través de la tecnología blockchain; No me refiero a la cadena de bloques de Bitcoin, sino a tecnologías criptográficas similares que ya están siendo estudiadas por varios líderes de la industria.

Si vis pacem, para bellum: si quieres la paz, prepárate para la guerra. Es vital estudiar las amenazas y los posibles atacantes antes de abordar la seguridad de IoT. El nivel de amenaza no es el mismo para todos los dispositivos y hay innumerables consideraciones a tener en cuenta; ¿Alguien preferiría piratear el osito de peluche de su hija o algo un poco más serio? Es necesario reducir el riesgo de los datos, mantener la mayor cantidad posible de datos personales de los dispositivos IoT, asegurar adecuadamente las transferencias de datos necesarias, etc. Sin embargo, para hacer todo esto, primero debe estudiar la amenaza.

Si todo lo demás falla, al menos prepárese para posibles violaciones de seguridad. Tarde o temprano le sucederán a usted oa otra persona (bueno, preferiblemente un competidor). Tenga siempre una estrategia de salida, una forma de asegurar la mayor cantidad de datos posible y de hacer que los datos comprometidos sean inútiles sin arruinar su infraestructura de IoT. También es necesario educar a los clientes, empleados y todos los demás involucrados en el proceso sobre los riesgos de dichas infracciones. Indíqueles qué hacer en caso de incumplimiento y qué hacer para evitarlo.

Por supuesto, un buen descargo de responsabilidad y TOS también ayudarán si termina lidiando con el peor de los casos.