El Internet de las cosas (IoT), como cualquier tecnología de rápido desarrollo, está experimentando una serie de "enfermedades de crecimiento", entre las cuales la más grave es el problema de seguridad. Cuantos más dispositivos "inteligentes" estén conectados a la red, mayores serán los riesgos asociados con el acceso no autorizado al sistema IoT y el uso de sus capacidades por parte de los atacantes. Hoy en día, los esfuerzos de muchas empresas y organizaciones en el campo de TI tienen como objetivo encontrar soluciones que minimicen las amenazas que impiden la implementación completa de IoT.
Inteligente pero vulnerable
El desarrollo del concepto de Internet de las cosas y su implementación en varios campos proporciona la presencia de decenas de miles de millones de dispositivos independientes. Según el portal
Statista, en 2017 ya hay más de 20 mil millones de ellos, y para 2025 se esperan no menos de 75 mil millones, todos ellos conectados a la red y transmiten los datos correspondientes a su funcionalidad a través de ella. Tanto los datos como la funcionalidad son objetivos para los atacantes, lo que significa que deben protegerse.
Para los dispositivos IoT, la seguridad consiste principalmente en la integridad del código, la autenticación de los usuarios (dispositivos), el establecimiento de derechos de propiedad (incluidos los datos generados por ellos) y la capacidad de repeler ataques virtuales y físicos. Pero, de hecho, la mayoría de los dispositivos IoT que funcionan hoy en día no están equipados con funciones de seguridad, tienen interfaces de control externas, contraseñas predeterminadas, es decir, tienen todos los signos de vulnerabilidad web.
Todavía recordamos los eventos de hace un año, cuando la botnet Mirai, al seleccionar combinaciones de inicios de sesión y contraseñas predeterminadas, pirateó una gran cantidad de cámaras y enrutadores, que luego se utilizaron para un poderoso ataque DDoS en las redes de proveedores de la Oficina Postal del Reino Unido, Deutsche Telekom, TalkTalk, KCOM y Eircom. En este caso, la "fuerza de arranque" de los dispositivos IoT se llevó a cabo utilizando Telnet, y los enrutadores fueron pirateados a través del puerto 7547 utilizando los protocolos TR-064 y TR-069.
Pero el más resonante, tal vez, fue el ataque que puso al operador de DNS DYN, y con él casi la "mitad de Internet" de los Estados Unidos. Para el ataque de botnet, la forma más fácil se usó a través de los inicios de sesión y contraseñas predeterminados del dispositivo.
Estos eventos han demostrado claramente las brechas en los sistemas IoT y la vulnerabilidad de muchos dispositivos inteligentes. Está claro que las fallas de los relojes inteligentes o rastreadores de actividad física de alguien no harán mucho daño, excepto la frustración de sus propietarios. Pero la piratería de dispositivos IoT que forman parte de los sistemas y servicios M2M, en particular, están integrados en una infraestructura crítica, está cargada de consecuencias impredecibles. En este caso, el grado de su seguridad debe corresponder a la importancia de esta o aquella infraestructura: transporte, energía u otra, de la cual depende la actividad vital de las personas y el trabajo de la economía. También a nivel doméstico: las fallas y los ataques al mismo sistema de casas "inteligentes" pueden conducir a situaciones comunales de emergencia u otras situaciones de peligro y comunales.
Por supuesto, las amenazas a la infraestructura también existieron en tiempos anteriores a Internet, por ejemplo, debido a los mismos desastres naturales o los errores de los diseñadores. Sin embargo, con la llegada de los dispositivos conectados a la red, se agregó otro, y probablemente un orden de magnitud más grave: un ataque cibernético.
Certificación del dispositivo
El problema de seguridad existente de los dispositivos IoT no surgió debido a la estupidez técnica o descuido de sus desarrolladores. Aquí las orejas se adhieren a un cálculo sobrio: la velocidad de entrada al mercado ofrece una ventaja sobre los competidores, aunque no por mucho tiempo, e incluso debido al bajo umbral de seguridad.
La mayoría de los fabricantes no se molestan en gastar tiempo y dinero desarrollando y probando los códigos y sistemas de seguridad de sus productos "inteligentes".
Una forma de lograr que reconsideren su actitud hacia la seguridad de sus productos de IoT es la certificación. La idea no es nueva, pero aún merece atención, al menos esta es al menos alguna forma de resolver el problema. El procedimiento de certificación para dispositivos IoT no debe ser burocrático y proporcionar al comprador una garantía de que tiene un cierto grado de protección contra ataques de piratas informáticos. Para comenzar, se puede indicar la necesidad de un certificado de seguridad cuando se realizan adquisiciones estatales y corporativas.
Hoy, varias compañías privadas también están involucradas en problemas de certificación. En particular, la Online Trust Alliance (OTA) tomó la iniciativa de abordar la seguridad de IoT a nivel estatal y de fabricante al lanzar el
IoT Trust Framework , una lista de criterios para desarrolladores, fabricantes de dispositivos y proveedores de servicios que busca mejorar su seguridad, privacidad y ciclo de vida. Productos de IoT. En primer lugar, se centra en el hogar, la oficina y los dispositivos portátiles conectados y es una especie de código de conducta de recomendación y la base de varios programas de certificación y evaluación de riesgos.
Este año, la división independiente de Verizon, ICSA Labs,
lanzó un programa de prueba de seguridad y certificación de dispositivos IoT. Según sus desarrolladores, es uno de los primeros de su tipo y está probando componentes como notificación / registro, criptografía, autenticación, comunicación, seguridad física y seguridad de la plataforma. Los dispositivos certificados estarán marcados con una marca especial de aprobación de ICSA Labs, que indica que han sido probados y las vulnerabilidades descubiertas han sido reparadas. Además, los dispositivos certificados serán monitoreados y probados periódicamente durante todo su ciclo de vida para mantener su seguridad.
A su vez, el
programa de prueba y certificación UL Cybersecurity Assurance (CAP)
tiene como objetivo garantizar la seguridad de los productos y sistemas. La certificación CAP certifica que un producto o sistema proporciona un nivel razonable de protección contra riesgos que podrían resultar en acceso, alteración o falla no intencional o no autorizada. Además, CAP también confirma que los parches futuros, actualizaciones o nuevas versiones de software para un producto o sistema certificado no reducirán el nivel de protección que existía en el momento de la evaluación.
Sin embargo, muchos expertos en seguridad de IoT creen que el mayor beneficio de tales programas de certificación será al probar no solo un dispositivo específico, sino todo el ecosistema: su infraestructura, aplicaciones, etc. Después de todo, un dispositivo IoT probado y seguro también puede fallar durante la interacción dentro del sistema.
Teniendo ventajas innegables para el desarrollo de IoT, los programas de certificación tienen un inconveniente. El mero hecho de pasar el dispositivo de prueba y la disponibilidad de un certificado no puede ser una garantía del 100% de su seguridad, porque, muy probablemente, todavía tiene ciertos defectos. La fe excesiva en un certificado de seguridad puede ser un truco para los usuarios que tienen necesidades individuales y diversas aplicaciones para sus dispositivos, lo que significa sus propios riesgos y amenazas. Y, por supuesto, no se excluye la posibilidad de abuso. Seguramente hay fabricantes que pagarán por la "cuasi certificación", persiguiendo objetivos puramente comerciales.
Parece que para una solución global al problema de seguridad a través de la certificación, se necesita una solución unificadora, un incentivo común para todos los fabricantes para producir dispositivos protegidos, y los consumidores no tienen que comprar aquellos cuya seguridad no está confirmada por nada. Lo que debería ser, legislativo, económico o punitivo, aún no se ha decidido. Finalmente, el resultado debería ser la seguridad del sistema global de IoT.
Tecnología blockchain
La seguridad de Internet de las cosas fue una de las primeras áreas de uso de la tecnología blockchain. Gracias a la tecnología de registro distribuido, se hizo posible proporcionar un alto nivel de seguridad para dispositivos IoT en la red y eliminar las restricciones y riesgos existentes para IoT asociados con la centralización.
Le permite guardar de forma rápida y segura los protocolos de intercambio y los resultados de la interacción de varios dispositivos IoT en un sistema descentralizado. Es la arquitectura distribuida de la cadena de bloques que garantiza la seguridad suficientemente alta de todo el sistema IoT. Pero si algunos de los dispositivos de red aún están sujetos a piratería, en general, esto no afectará el funcionamiento general del sistema. El uso mencionado por las botnets de dispositivos "inteligentes" que funcionan en sistemas IoT ha sido posible debido a su débil seguridad. El tipo de confianza distribuida le permite deshacerse de un dispositivo pirateado sin dañar notablemente el modelo completo de interacción entre objetos "sanos".
En el contexto de seguridad, hoy blockchain se puede usar en una serie de áreas en las que el Internet de las cosas se está desarrollando de manera más intensa. Por ejemplo, esta es la administración de autenticación, verificar el estado de varios servicios, garantizar la indivisibilidad de la información y otros. A principios de año, varias empresas líderes, incluidas Cisco, BNY Mellon, Bosch, Foxconn y otras, formaron un
consorcio que buscará soluciones para usar blockchain para aumentar la seguridad y mejorar la interacción de los productos IoT. La tarea principal que sus miembros se propusieron es el desarrollo sobre la base de la tecnología blockchain de una base de datos distribuida y un protocolo para el intercambio de información entre dispositivos IoT.
Tenga en cuenta que en enero de 2017, DHS USA comenzó a usar la tecnología blockchain para proteger, transmitir y almacenar datos recopilados por el departamento de cámaras de video vigilancia y varios sensores de monitoreo. La tecnología también está siendo probada por DARPA, una división del Departamento de Defensa de EE. UU. Que supervisa el desarrollo de nuevas tecnologías para el ejército. Además, una de las agencias que realizan investigaciones bajo el techo del Pentágono firmó un contrato por valor de varios millones de dólares con la compañía de software Galois, que está desarrollando seguridad en el campo de blockchain.
Hoy ya es obvio que será difícil aprovechar todas las posibilidades que el concepto de IoT puede proporcionar a los usuarios sin resolver los problemas de seguridad y privacidad. Los métodos anteriores de protección de IoT, por supuesto, no son exhaustivos; muchos grupos, empresas y entusiastas están trabajando en una solución al problema. Pero, sobre todo, un alto nivel de seguridad para los dispositivos IoT debería ser la principal preocupación de sus fabricantes. Inicialmente, la protección confiable debe formar parte de las funciones del producto y convertirse en una nueva ventaja competitiva tanto para los fabricantes como para los proveedores de soluciones complejas de IoT.