bobo1980 - stock.adobe.com

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Seguridad de IoT en Black Hat 2018: la inseguridad de las cosas

Las vulnerabilidades de seguridad de la IoT presentadas en Black Hat demostraron que los dispositivos de monitoreo médico infiltrados o las comunicaciones de aeronaves comerciales codificadas generarían graves consecuencias.

Es un hecho bien conocido que la mayoría de los fabricantes de internet de las cosas (IoT) descuidan la seguridad de IoT al diseñar sus dispositivos y máquinas. Para comprender mejor este problema, recomendaría ponernos al día sobre el hackeo a Jeep en 2015 y los cortes de dispositivos cardíacos de St. Jude que comenzaron a ocurrir en 2014. Los hacks de St. Jude demostraron que incluso las empresas dedicadas a tecnologías que salvan vidas a menudo se niegan a producir las medidas de seguridad necesarias para acompañar sus dispositivos. Este fue claramente el caso en los masivos ataques cibernéticos de Dyn en octubre de 2016, que afectaron a grandes porciones de los Estados Unidos y Europa. Este año, nos enteramos por el FBI de que perdimos el control de nuestros enrutadores domésticos contra los hackers rusos.

Mientras asistía a Black Hat 2018, presencié algunas demostraciones asombrosas de fallas de seguridad cruciales de IoT junto con muchos otros profesionales de ciberseguridad. Una de estas demostraciones mostró intrusiones en el cajero automático. Por lo general, uno podría esperar que una máquina que contiene dinero tenga un sistema de seguridad más robusto que proteja el efectivo en ella, y sin embargo, las máquinas se rompieron ante mis ojos. Además, asistí a demostraciones de hacks en dispositivos médicos cruciales y redes médicas que contienen datos de pacientes que son fundamentales para mantener a la gente con vida.

Fue sorprendente descubrir que las compañías que fabrican dispositivos médicos, como implantes, dispositivos de terapia con insulina (dispositivos basados en radio) y marcapasos, ignoran por completo la investigación de seguridad actual. Un ejemplo de esta investigación es el extraordinario trabajo realizado por Billy Rios y Jonathan Butts (en su tiempo libre, debo agregar) en el que descubrieron muchas vulnerabilidades de IoT. Esta investigación sin duda hará que nuestro mundo sea un lugar mucho más seguro.

No fue menos terrible descubrir los profundos contrastes existentes entre los estándares de seguridad de la nube y los estándares de seguridad de IoT, o más bien, la falta de ellos. Las empresas basadas en la nube están aplicando estándares de seguridad importantes como SOC2 para garantizar la seguridad de la infraestructura en la nube y convertir ciertos procedimientos de trabajo en el requisito estándar para todos.

Al mismo tiempo, cuando se trata de dispositivos IoT, vivimos en el proverbial salvaje Oeste. Actualmente no hay estándares oficiales de seguridad industrial para IoT. En la industria de la salud, los médicos que prescriben el uso de estos dispositivos no entienden su falta de seguridad, y no creo que deban entenderlo. Sin embargo, en este punto en el tiempo, es una información que preserva la vida el saber que estos dispositivos tienen mecanismos de seguridad débiles y, por lo tanto, están son un objetivo de los piratas informáticos.

Durante la conferencia Black Hat, los investigadores de IBM X-Force Red describieron 17 vulnerabilidades de IoT diferentes, incluidas nueve fallas críticas en cuatro dispositivos comunes de ciudad inteligente. Daniel Crowley, el líder del equipo de investigación, dijo que su equipo había estado explorando vulnerabilidades que podrían abrir las puertas a los ataques del "supervillano". Después de infiltrarse en componentes del sistema de comando de incidentes, dispositivos de coche inteligente y otras conexiones de IoT, los investigadores de X-Force descubrieron que cierto dispositivo estaba abierto a ataques a través de internet y otro al descifrar las credenciales codificadas. En Black Hat, el equipo demostró una explotación de una puerta de enlace IoT conectada a una presa, lo que resultó en una carretera inundada.

A pesar de que las vulnerabilidades incluidas en la investigación mencionada han sido revisadas por los fabricantes, Crowley advirtió sobre la falta de estándares de seguridad de la IoT con muchos otros fabricantes y aconsejó a las organizaciones que investiguen cuidadosamente los riesgos de IoT antes de adoptar nuevas tecnologías.

Todo esto está dando un giro positivo ya que IJay Palansky, abogado litigante en Washington, D.C., y socio legal de Armstrong Teasdale, habló sobre la demanda colectiva federal de 220,000 miembros relacionada con el hackeo a Jeep divulgado en 2015 por los investigadores Chris Valasek y Charlie Miller. Palansky es el principal abogado de esta demanda. En su presentación en Black Hat, discutió esto, el primer pleito relacionado con la IoT que se lanzará contra una compañía. Valasek y Miller se conectaron remotamente a un Jeep Grand Cherokee 2014 y tomaron el control de la dirección y los frenos del automóvil. Esto se hizo a través del centro de entretenimiento conectado del Jeep.

"Los productos de IoT tienen ciertas características; tienen una gran variedad de códigos que a menudo son propietarios y dificultan la detección y el parcheo del código", dijo Palansky. Aconsejó a las organizaciones a "ser paranoicas y asignar riesgos". Es necesario que haya un proceso claro que implique identificación de peligros, respuesta de diseño, evaluación de riesgos y pruebas".

La parte impresionante de este pleito es que, si bien los atacantes no dañaron ni controlaron ningún automóvil más allá de la prueba de concepto, todavía existe una base legal sobre la cual construir el caso. Incluso si FCA US LLC, el propietario de la marca Jeep, pudo defenderse con éxito en cuanto al daño causado, este caso causará un daño tremendo a la empresa en cuanto a reputación y en dólares perdidos.

Esta demanda debe verse como una advertencia clara para las empresas que fabrican dispositivos IoT al tiempo que ignoran las vulnerabilidades de seguridad. Esta práctica ya no pasará desapercibida. Los fabricantes tendrán que asumir la responsabilidad de asegurar estos dispositivos o enfrentar las consecuencias. Afortunadamente, estamos al comienzo de una nueva revolución de seguridad para los dispositivos IoT, que finalmente nos llevará a un mundo más saludable y seguro para los dispositivos.

Las vulnerabilidades de seguridad de la IoT presentadas en Black Hat demostraron, sin lugar a dudas, que los dispositivos de monitoreo médico infiltrados o las comunicaciones de aeronaves comerciales codificadas generarían graves consecuencias. Las numerosas vulnerabilidades en las tecnologías de IoT de ciudades inteligentes resaltaron el miedo generalizado a lo que Crowley de X-Force apodaba "ataques de supervillano": ataques patrocinados por el Estado con el potencial de alterar significativamente la vida y seguridad humanas en comunidades cada vez más conectadas.

Es evidente que los CISOs están tomando nota de estos riesgos de seguridad de IoT, y creo que estas vulnerabilidades deberían manejarse mediante una combinación de organizaciones que implementen las mejores prácticas de seguridad junto con los fabricantes de IoT que cumplan con los estándares básicos de seguridad de la industria.

Junto con el entendimiento de que los fabricantes de dispositivos IoT deben adoptar estándares de seguridad, las organizaciones deben controlar el riesgo implementando tecnologías de plataforma de visibilidad, segregación de red, aplicación de autenticación, cumplimiento, encriptación y controles de acceso a la red. La actual "inseguridad de las cosas" no tiene que seguir siendo así, y veo un tremendo potencial de mejora en el futuro de la seguridad de IoT.

Este artículo se actualizó por última vez en septiembre 2018

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close