Creăm un Internet al lucrurilor (IoT) nesigur? Provocări și preocupări de securitate

Publicat: 2022-03-11

Internetul lucrurilor (IoT) a fost un cuvânt la modă în industrie de ani de zile, dar dezvoltarea lentă și comercializarea limitată i-au determinat pe unii observatori din industrie să înceapă să-l numească „Internetul nimicului”.

Lăsând deoparte jocurile de cuvinte duble, dezvoltarea IoT are probleme. În afară de generarea de glume nepotrivite nepotrivite pentru majoritatea ocaziilor sociale, hype-ul nu a ajutat; și, de fapt, cred că de fapt a provocat mult mai mult rău decât bine. Există câteva probleme cu IoT, dar toată acoperirea pozitivă și hype fără temei sunt una de care ne-am putea lipsi. Avantajul de a genera mai multă atenție este clar: mai multe investiții, mai multe fonduri de capital de risc, mai mult interes pentru consumatori.

securitatea și internetul lucrurilor

Cu toate acestea, acestea vin cu un nivel suplimentar de control, care a făcut ca o serie de deficiențe să fie dureros de evidente. După câțiva ani de previziuni optimiste și promisiuni mari, securitatea IoT pare să fie cea mai mare îngrijorare. Primele săptămâni din 2015 nu au fost amabile cu această industrie emergentă, iar cea mai mare parte a presei negative s-a învârtit în jurul securității.

A fost justificat? A fost doar „frica, incertitudinea și îndoiala” (FUD), cauzată de ani de hype? Era un pic din ambele; deși unele probleme ar fi putut fi exagerate, problemele sunt foarte reale, într-adevăr.

De la „Anul IoT” la Annus Horribilis pentru IoT

Mulți comentatori au descris 2015 drept „anul IoT”, dar până acum a fost un an al presei proaste. Desigur, mai sunt zece luni de la capăt, dar rapoartele negative continuă să se înmulțească. Firma de securitate Kaspersky a lansat recent o critică blestemată a provocărilor de securitate IoT, cu un titlu nemăgulitor, „ Internetul lucrurilor nebunești ”.

Kaspersky nu este străin de criticile și controversele IoT; firma a dat semnale de alarmă de ceva vreme, susținându-le cu exemple de case inteligente sparte, spălătorii auto și chiar sisteme de supraveghere ale poliției. Indiferent dacă un hacker dorește să-și spele drumul gratuit sau să urmărească pe cineva folosind trackerul de fitness – defectele de securitate IoT ar putea face acest lucru posibil.

Wind River a publicat o carte albă despre securitatea IoT în ianuarie 2015, iar raportul începe cu o introducere care să dezvolte. Intitulat Searching For The Silver Bullet , acesta rezumă problema în doar trei paragrafe, pe care le voi condensa în câteva puncte:

  • Securitatea trebuie să fie factorul de bază pentru IoT.
  • În prezent, nu există un consens cu privire la modul de implementare a securității în IoT pe dispozitiv.
  • O așteptare predominantă și nerealistă este că este cumva posibil să comprimați 25 de ani de evoluție a securității în dispozitive IoT noi.
  • Nu există niciun glonț de argint care să poată atenua efectiv amenințările.

Cu toate acestea, există câteva vești bune; cunoștințele și experiența sunt deja aici, dar trebuie adaptate pentru a se potrivi constrângerilor unice ale dispozitivelor IoT.

Din păcate, aici, noi, ca dezvoltatori de securitate a sistemului, întâlnim o altă problemă, o problemă hardware.

Președintele Comisiei Federale pentru Comerț din SUA, Edith Ramirez, s-a adresat la Consumer Electronics Show din Las Vegas la începutul acestui an, avertizând că încorporarea senzorilor în dispozitivele de zi cu zi și lăsarea acestora să înregistreze ceea ce facem ar putea reprezenta un risc masiv de securitate.

Ramirez a subliniat trei provocări cheie pentru viitorul IoT:

  • Colectare omniprezentă de date.
  • Potențial de utilizări neașteptate a datelor despre consumatori.
  • Riscuri de securitate sporite.

Ea a îndemnat companiile să îmbunătățească confidențialitatea și să construiască dispozitive IoT sigure prin adoptarea unei abordări centrate pe securitate, reducând cantitatea de date colectate de dispozitivele IoT și sporind transparența și oferind consumatorilor posibilitatea de a renunța la colectarea datelor.

Ramirez a continuat spunând că dezvoltatorii de dispozitive IoT nu au petrecut timp să se gândească la cum să-și securizeze dispozitivele și serviciile de atacuri cibernetice.

„Dimensiunea mică și puterea limitată de procesare a multor dispozitive conectate ar putea inhiba criptarea și alte măsuri de securitate robuste”, a spus Ramirez. „Mai mult, unele dispozitive conectate sunt ieftine și în esență de unică folosință. Dacă se descoperă o vulnerabilitate pe acel tip de dispozitiv, poate fi dificil să actualizați software-ul sau să aplicați un patch – sau chiar să primiți știri despre o remediere pentru consumatori.”

Deși Ramirez este perfect în majoritatea privințelor, ar trebui să remarc că Internetul a trecut printr-o fază similară în urmă cu două decenii. Au existat o mulțime de preocupări de securitate, iar anii nouăzeci au văzut apariția malware-ului transmis pe internet, atacuri DDoS, phishing sofisticat și multe altele. Chiar dacă Hollywood-ul a descris un viitor distopic în unele filme, am ajuns să avem pisoi pe rețelele de socializare și o breșă de securitate importantă ici și colo.

Internetul încă nu este sigur, așa că nu ne putem aștepta nici ca IoT să fie sigur. Cu toate acestea, securitatea evoluează constant pentru a face față noilor provocări, am mai văzut-o și o vom vedea din nou, cu IoT și tehnologiile conectate ulterioare.

Hardware-ul IoT este și va rămâne o problemă

Unii dintre voi se vor gândi că problemele hardware menționate de șeful FTC vor fi abordate; da, unii dintre ei probabil o vor face.

Pe măsură ce piața IoT crește, vom vedea mai multe investiții și, pe măsură ce hardware-ul se maturizează, vom obține o securitate îmbunătățită. Producătorii de cipuri precum Intel și ARM vor fi dornici să ofere o securitate mai bună cu fiecare nouă generație, deoarece securitatea ar putea fi un factor de diferențiere pe piață, permițându-le să obțină mai multe câștiguri de design și să câștige o cotă mai mare.

Tehnologia avansează mereu, așa că de ce nu? Noile procese de producție au ca rezultat, în general, procesoare mai rapide și mai eficiente și, mai devreme sau mai târziu, decalajul se va reduce, oferind astfel dezvoltatorilor suficientă putere de procesare pentru a implementa funcții de securitate mai bune. Cu toate acestea, nu sunt atât de sigur că acesta este un scenariu realist.

iot nesigur

În primul rând, cipurile IoT nu vor genera mari bani, deoarece sunt mici și, de obicei, se bazează pe arhitecturi învechite. De exemplu, platforma Intel Edison de prima generație se bazează pe procesoare Quark, care folosesc în esență același set de instrucțiuni pentru procesor și o mare parte din designul vechiului Pentium P54C. Cu toate acestea, noua generație de microcomputer Edison se bazează pe un procesor mult mai rapid, bazat pe nuclee Atom Silvermont, care se află astăzi în multe tablete Windows și Android. (Intel a livrat ~46 m Bay Trail SoC în 2014.)

În realitate, am putea ajunge cu nuclee CPU x86 pe 64 de biți relativ moderne în dispozitivele IoT, dar nu vor fi ieftine, vor fi totuși substanțial mai complexe decât cele mai mici nuclee ARM și, prin urmare, vor avea nevoie de mai multă baterie. putere.

Dispozitivele portabile ieftine și de unică folosință, care par a fi cea mai mare preocupare a FTC, nu vor fi alimentate de astfel de cipuri, cel puțin, nu prea curând. Consumatorii pot ajunge cu procesoare mai puternice, cum ar fi cipurile Intel Atoms sau ARMv8, în unele produse inteligente, cum ar fi frigiderele inteligente sau mașinile de spălat cu ecran tactil, dar acestea sunt impracticabile pentru dispozitivele de unică folosință fără afișaje și cu capacitate limitată a bateriei.

Vânzarea de platforme complete sau modele de referință pentru diferite dispozitive IoT ar putea ajuta producătorii de cipuri să genereze mai multe venituri, în timp ce, în același timp, introduc mai multă standardizare și securitate. Ultimul lucru de care are nevoie industria este mai multe dispozitive nestandardizate și mai multă fragmentare. Aceasta poate suna ca o abordare logică și solidă, deoarece dezvoltatorii ar ajunge cu mai puține platforme și ar fi alocate mai multe resurse pentru securitate, cu toate acestea, încălcările de securitate ar afecta, de asemenea, un număr mai mare de dispozitive.

Banii se revarsă, analiştii rămân optimişti, ce ar putea merge prost?

Una dintre cele mai comune modalități de a aborda orice problemă în industria tehnologiei este pur și simplu să aruncați bani în ea. Deci, să vedem unde ne aflăm acum în ceea ce privește finanțarea, mai degrabă decât tehnologie.

Potrivit firmelor de cercetare IDC și Gartner, IoT va crește într-o asemenea măsură încât va transforma industria centrelor de date până la sfârșitul deceniului. Gartner se așteaptă ca piața IoT să aibă 26 de miliarde de unități instalate până în 2020, creând oportunități uriașe pentru toate părțile, de la centrele de date și producătorii de hardware, până la dezvoltatori și designeri. IDC se așteaptă, de asemenea, ca industria IoT să ajungă cu „miliarde de dispozitive și trilioane de dolari” până la sfârșitul deceniului.

Cea mai recentă prognoză a pieței IoT a Gartner, publicată în mai 2014, include și o listă de provocări potențiale, dintre care unele le-am acoperit deja:

  • Securitate: automatizarea și digitalizarea sporite creează noi preocupări de securitate.
  • Întreprindere: Problemele de securitate ar putea prezenta riscuri de siguranță.
  • Confidențialitatea consumatorilor: potențialul de încălcare a confidențialității.
  • Date: vor fi generate o mulțime de date, atât pentru date mari, cât și pentru date personale.
  • Managementul stocării: industria trebuie să-și dea seama ce să facă cu datele într-un mod rentabil.
  • Tehnologii de server: vor fi necesare mai multe investiții în servere.
  • Rețeaua centrului de date: legăturile WAN sunt optimizate pentru aplicațiile de interfață umană, se așteaptă ca IoT să schimbe în mod dramatic tiparele prin transmiterea automată a datelor.

Toate aceste puncte (și multe altele) trebuie abordate mai devreme sau mai târziu, adesea cu un cost substanțial. Nu mai vorbim de cipuri IoT minuscule și jucării ieftine bazate pe astfel de cipuri, aceasta este infrastructură. Acesta este o mulțime de siliciu în procesoarele de server, RAM scumpă DDR4 ECC și SSD-uri și mai mari, toate găzduite în servere scumpe, în centre de date și mai mari.

Acesta este doar vârful aisbergului; industria trebuie să abordeze problemele legate de lățimea de bandă, gestionarea datelor și politicile de confidențialitate și securitate. Deci, câți bani lasă aceștia pentru securitate, care se află în fruntea listei Gartner de provocări IoT?

Mulți bani se revarsă deja în industrie, capitalurile de risc se îmbină și ritmul investițiilor pare să se accelereze. Au existat, de asemenea, o serie de achiziții, care implică adesea jucători mari precum Google, Qualcomm, Samsung, Gemalto, Intel și alții. Există o listă de investiții legate de IoT în Postscapes. Problema cu multe dintre aceste investiții, în special cele care provin de la VC, este că acestea tind să se concentreze pe lucruri „strălucitoare”, dispozitive care pot fi comercializate în curând, cu un ROI potențial spectaculos. Aceste investiții nu fac mare lucru pentru securitate sau infrastructură, care practic ar trebui să urmeze cererea IoT.

Jucătorii mari vor trebui să facă treaba grea, nu startup-urile și producătorii de jucării susținute de VC. Startup-urile agile și inovatoare vor juca cu siguranță un rol important prin stimularea adoptării și crearea cererii, dar nu pot face totul.

Deci, să ne gândim la asta, chiar și o companie mică poate construi o mașină, sau zeci de mii de mașini, dar nu poate construi autostrăzi, drumuri, benzinării și rafinării. Aceeași companie mică poate construi un vehicul sigur folosind tehnologia disponibilă pentru a îndeplini standardele de bază de siguranță rutieră, dar nu ar putea construi un vehicul asemănător Segway-ului care să îndeplinească aceleași standarde de siguranță, nici altcineva. Standardele de siguranță auto nu s-ar putea aplica niciodată unor astfel de vehicule, nu vedem oameni care fac naveta pentru a lucra pe Segway, așa că nu ne putem aștepta ca standardul tradițional de securitate tehnologică să se aplice nici dispozitivelor IoT cu putere redusă.

A avea navetiști care își verifică e-mailul sau se joacă Candy Crush în timp ce merg cu Segway-urile prin traficul la orele de vârf nu sună foarte sigur, nu-i așa? Deci, de ce ar trebui să ne așteptăm ca dispozitivele IoT să fie la fel de sigure ca și alte dispozitive conectate, cu hardware mult mai puternic și sisteme de operare mature? Poate fi o analogie ciudată, dar concluzia este că nu se poate aștepta ca dispozitivele IoT să se conformeze acelorași standarde de securitate ca și computerele cu drepturi depline.

Dar stai, nu au fost atâtea dezastre de securitate IoT...

Adevărat, nu vedem multe titluri despre încălcări spectaculoase de securitate IoT, dar permiteți-mi să o spun astfel: câte titluri legate de securitate ați văzut despre Android Wear? Unu? Două? Nici unul? Se estimează că există mai puțin de un milion de dispozitive Android Wear în sălbăticie, așa că pur și simplu nu sunt o țintă principală pentru hackeri sau un subiect pentru cercetătorii de securitate.

Câte dispozitive IoT dețineți și folosiți acum? Câte folosește afacerea ta? De aici vine gluma „Internet of NoThings”, majoritatea oamenilor nu au. Cifrele continuă să crească, dar consumatorul mediu nu cumpără mulți, așa că de unde vine această creștere? Dispozitivele IoT sunt disponibile și cifrele sunt în plină expansiune, mai degrabă conduse de întreprinderi decât de piața de consum.

Verizon și ABI Research estimează că au existat 1,2 miliarde de dispozitive diferite conectate la internet anul trecut, dar până în 2020 se așteaptă până la 5,4 miliarde de conexiuni IoT B2B.

Brățările inteligente, prăjitoarele de pâine și zgarda pentru câini nu reprezintă o mare preocupare din punct de vedere al securității, dar cel mai recent raport IoT al Verizon se concentrează pe ceva puțin mai interesant: întreprindere.

Numărul de conexiuni machine-to-machine (M2M) Verizon din sectorul de producție a crescut cu 204% din 2013 până în 2014, urmat de finanțe și asigurări, mass-media și divertisment, asistență medicală, retail și transport. Raportul Verizon include o defalcare a tendințelor IoT din diverse industrii, astfel încât oferă o perspectivă asupra aspectelor comerciale.

Tonul general al raportului este optimist, dar enumeră și o serie de preocupări de securitate. Verizon descrie breșele de securitate din industria energetică ca fiind „de neconceput”, descrie securitatea IoT ca fiind „principală” în producție și să nu evidențiem nici măcar riscurile potențiale în domeniul sănătății și al transporturilor.

Cum și când vom obține un Internet al lucrurilor securizat?

Nu voi încerca să ofer un răspuns definitiv despre cum pot fi rezolvate provocările de securitate IoT sau când. Industria încă caută răspunsuri și mai este un drum lung de parcurs. Studiile recente indică faptul că majoritatea dispozitivelor IoT disponibile în prezent au vulnerabilități de securitate. HP a descoperit că 70% dintre dispozitivele IoT sunt vulnerabile la atacuri.

În timp ce creșterea oferă o mulțime de oportunități, IoT nu este încă matur sau sigur. Adăugarea de milioane de dispozitive noi, puncte terminale hardware, miliarde de linii de cod, împreună cu mai multă infrastructură pentru a face față sarcinii, creează un set vast de provocări, fără egal cu tot ceea ce am experimentat în ultimele două decenii.

De aceea nu sunt un optimist.

Nu cred că industria poate aplica multe lecții de securitate IoT, cel puțin nu suficient de repede, nu în următorii doi ani. În opinia mea, analogia cu Internetul este o eroare, pur și simplu pentru că internetul anilor 90 nu a avut de a face cu tipuri atât de diferite de hardware. Folosirea criptării și irosirea ciclurilor de ceas pentru securitate nu este o problemă pentru procesoarele x86 mari sau SoC-urile ARM, dar nu va funcționa la fel cu dispozitivele IoT mici, cu o fracțiune din puterea de procesare și un consum de energie mult diferit.

Procesoarele mai elaborate, cu o matriță mai mare, au nevoie de ambalaje mai mari și trebuie să disipeze mai multă căldură. De asemenea, au nevoie de mai multă putere, ceea ce înseamnă baterii mai mari, mai grele și mai scumpe. Pentru a reduce greutatea și a reduce volumul, producătorii ar trebui să recurgă la utilizarea de materiale exotice și tehnici de producție. Toate cele de mai sus ar implica mai multe cheltuieli pentru cercetare și dezvoltare, timp mai lung de comercializare și o listă de materiale mai mare. Cu prețuri substanțial mai mari și o construcție premium, astfel de dispozitive cu greu ar putea fi considerate de unică folosință.

internetul lucrurilor - iot

Deci, ce trebuie făcut pentru a securiza IoT? Mult. Și toată lumea are un rol de jucat, de la giganți din tehnologie până la dezvoltatori individuali.

Să aruncăm o privire la câteva puncte de bază, cum ar fi ce se poate face și ce se face, pentru a îmbunătăți securitatea IoT acum:

  • Accentuați securitatea din prima zi
  • Ciclul de viață, pregătirea pentru viitor, actualizări
  • Controlul accesului și autentificarea dispozitivului
  • Cunoaste-ti dusmanul
  • Pregătiți-vă pentru breșe de securitate

Un accent clar pe securitate din prima zi este întotdeauna un lucru bun, mai ales atunci când aveți de-a face cu tehnologii imature și piețe subdezvoltate. Dacă intenționați să vă dezvoltați propria infrastructură IoT sau să implementați o soluție existentă, faceți-vă cercetări și rămâneți cât mai informat posibil. Acest lucru poate implica compromisuri, deoarece vi se poate oferi o opțiune de creștere a securității cu prețul compromiterii experienței utilizatorului, dar merită atâta timp cât atingeți echilibrul potrivit. Acest lucru nu se poate face din mers, trebuie să planificați din timp și să planificați bine.

În graba de a aduce noi produse și servicii pe piață, multe companii ar putea trece cu vederea sprijinul pe termen lung. Se întâmplă tot timpul, chiar și în ligile mari, așa că ajungem întotdeauna cu milioane de computere și dispozitive mobile nepatchizate și nesigure. Ele sunt pur și simplu prea vechi pentru ca majoritatea companiilor să le deranjeze și este sigur că va fi și mai rău cu dispozitivele IoT de unică folosință. Principalii furnizori de telefoane nu își actualizează software-ul pe telefoane vechi de 2-3 ani, așa că imaginați-vă ce se va întâmpla cu dispozitivele IoT de 20 USD care ar putea fi în rețeaua dvs. de ani de zile. Învechirea planificată poate face parte din aceasta, dar adevărul este că actualizarea dispozitivelor vechi nu are prea mult sens financiar pentru producător, deoarece au lucruri mai bune de făcut cu resursele lor. Dispozitivele securizate IoT ar trebui fie să fie sigure prin proiectare și impermeabile de la început, fie să primească actualizări vitale pe parcursul ciclului lor de viață și sunt sigur că veți fi de acord că nici una dintre opțiuni nu sună realist, cel puțin, nu încă.

Implementarea controlului accesului securizat și a autentificării dispozitivului pare un lucru evident de adus în discuție, dar nu avem de-a face cu dispozitivul dvs. conectat obișnuit aici. Crearea controalelor de acces și a metodelor de autentificare, care pot fi implementate pe dispozitive IoT ieftine și compacte, fără a compromite experiența utilizatorului sau a adăuga hardware inutil, este mai dificilă decât pare. După cum am menționat mai devreme, lipsa puterii de procesare este o altă problemă, deoarece majoritatea tehnicilor avansate de criptare pur și simplu nu ar funcționa foarte bine, dacă nu ar funcționa deloc. Într-o postare anterioară, m-am uitat la o alternativă, externalizarea criptării prin tehnologia blockchain; Nu mă refer la blockchain-ul Bitcoin, ci la tehnologii cripto similare care sunt deja studiate de mai mulți lideri din industrie.

Si vis pacem, para bellum – dacă vrei pace, pregătește-te de război. Este vital să studiem amenințările și potențialii atacatori înainte de a aborda securitatea IoT. Nivelul de amenințare nu este același pentru toate dispozitivele și există nenumărate considerații de luat în considerare; ar prefera cineva să spargă ursulețul fiicei tale sau ceva mai serios? Este necesar să se reducă riscul datelor, să se păstreze cât mai multe date personale posibil de pe dispozitivele IoT, să se securizeze în mod corespunzător transferurile de date necesare și așa mai departe. Cu toate acestea, pentru a face toate acestea, mai întâi trebuie să studiați amenințarea.

Dacă toate celelalte nu reușesc, cel puțin fiți pregătiți pentru potențiale breșe de securitate. Mai devreme sau mai târziu se vor întâmpla, ție sau altcuiva (ei bine, de preferință unui concurent). Aveți întotdeauna o strategie de ieșire, o modalitate de a securiza cât mai multe date posibil și de a face datele compromise inutile fără a vă distruge infrastructura IoT. De asemenea, este necesar să se educe clienții, angajații și toți ceilalți implicați în proces cu privire la riscurile unor astfel de încălcări. Instruiți-i ce să facă în cazul unei încălcări și ce să facă pentru a evita una.

Desigur, o declinare bună și TOS vă vor ajuta, de asemenea, dacă ajungeți să vă ocupați de cel mai rău caz.