Retos y Oportunidades para Administrar el Internet de las Cosas IoT
El Internet de las Cosas (IoT) ha sonado en las noticias recientes por facilitar numerosas explotaciones DDoS en todo nuestro planeta .
Un grupo de expertos investigadores sin lucro llamado Online Trust Alliance (OTA) ha publicado un documento titulado IoT, una visión del futuro.
Subraya como el IoT puede crecer y prosperar, en especial dada la confianza de los ‘usuarios’ de que sus datos se encuentra seguros y la privacidad se encuentra todo el tiempo en baja.
El documento presenta algunos de los retos únicos afectados al asegurar el IoT y como la red de las cosas puede volverse sostenible y proteger la privacidad de los ‘usuarios’.
Esto se encuentra basado en el sistema de la OTA al entrelazar relaciones de confianza, liberado a principios de este año.
El asegurar el IoT es más complejo que asegurar las terminales comunes.
El IoT es una colección de dispositivos inteligentes, tal como las cámaras web e impresoras conectadas al Internet, las cuales ejecutan aplicaciones internas (tal como servidores web y FTP) y servicios en la nube, de lo cual todo conlleva sus propias vulnerabilidades.
Tal y como el reporte de OTA nos dice, “Cada faceta y capa de datos son un riesgo potencial y cada flujo de datos debe de ser asegurado.”
En segundo, edificar la seguridad para el IoT no es visto primero como lo más importante en la mente de cualquier desarrollador de aplicaciones, esto fue lo que paso con el fabricante de cámaras web chino que fue parte de la explotación de botnets mencionada al principio de este artículo.
Estos fabricantes usualmente se encuentra más interesados en tener una aplicación que pueda administrar fácilmente innumerables cámaras en todo el mundo.
No es por enzarzarse con este fabricante, pero se trata de un escenario típico. La mayoría de los dispositivos IoT son diseñados sin requerimientos de seguridad y privacidad iniciales.
Finalmente, muchos dispositivos IoT no son tan fácilmente actualizados cuando se trata de sistemas operativos o el firmware, o ambos.
Muchos de estos dispositivos han sido utilizados por más de una década sin ser actualizados. Sea testigo de cuántos dispositivos IoT hacen uso del SO Windows XP incrustado, o se ejecutan en un huésped con XP.
Tal y como el reporte del OTA lo afirma, “Desafortunadamente, mientras que estas soluciones pueden ser enviadas aseguradas con su ultima versión, el no contar con un nivel de parcheo puede significar la limitación del diseño contra amenazas no vistas en las siguientes décadas.”
La OTA convoca a grupo de trabajo a través de toda la industria con la visión de crear un Sistema de Confianza para el IoT, un modelo auto-regulatorio voluntario. (Necesita ser un miembro del OTA para poder descargar la estructura de este sistema.)
Trabajaron cerca de 100 investigadores expertos en donde se enfocaron en 31 criterios que incluyen las tecnologías en el hogar, la oficina y las que se llevan puestas.
El marco hace referencia a la seguridad en dispositivos, utilizando la seguridad como un principio en el diseño, incluyendo la transparencia y los controles del dispositivo, agregando el soporte durante su ciclo de vida y contar con la portabilidad y transferibilidad de datos.
El marco también incluyen detalles sobre la prontitud para estar disponible y claramente establece políticas de privacidad, la declaración de los fabricantes sobre los datos personales recolectados para identificar cada dispositivo, las descripciones de que datos estará compartiendo el dispositivo y con quien, y las políticas de término y duración de la retención de estos datos.
Existen otros asuntos como el forzar las contraseñas preestablecidas para ser cambiadas en su primera vez de uso y el utilizar protocolos SSL y HTTPS por defecto.
Todas estas son prácticas que valen la pena también para los dispositivos no-IoT.
El marco de la OTA es un buen comienzo para tratar de contener la ola de debilidades potenciales en la seguridad del IoT. Se espera que logre ajustarse lo antes posible y pueda prevenir que sucedan futuras explotaciones tal y como la del botnet.
Original de David Strom
https://blog.iboss.com/it/the-challenges-and-opportunities-for-managing-the-internet-of-things