Ahora hay 7 mil millones de dispositivos IoT en uso en todo el mundo. Se espera que este número se triplique para 2025, alcanzando 21,5 mil millones de dispositivos sin precedentes, dice Lev Lesokhin de EMITIR. El mercado de dispositivos de Internet de las cosas (IoT) ha explotado. Ahora, los fabricantes de dispositivos de IoT que desean sacar provecho de la carrera para implementar IoT están desesperados por llevar sus productos al mercado. En la continua y vertiginosa carrera por vender productos, no todo el software para dispositivos IoT se está realizando al más alto nivel.

Para comercializar rápidamente nuevos productos y funciones, hay poco tiempo para escribir código personalizado, especialmente cuando se pueden descargar paquetes y marcos prediseñados de forma gratuita desde comunidades de código abierto como GitHub y apache. Sin embargo, con el código IoT como con todo en la vida, recuperas lo que pones en él. El Informe de Inteligencia de Software 2018 de CAST encontró que muchos proyectos de código abierto no tienen buenos resultados en el cumplimiento de las reglas de seguridad.

El código de código abierto gratuito no viene con una seguridad hermética incorporada. En la carrera hacia el mercado, muchas empresas sacrifican la seguridad por la velocidad, renunciando a los rigurosos controles de seguridad que tienen en cuenta la estructura y el funcionamiento interno de dicho código. Cada dispositivo de IoT, los siete mil millones de ellos, también debe ejecutarse con un software seguro que sea lo suficientemente robusto como para evitar la actividad de los piratas informáticos.

El código abierto puede ser escrito por cualquiera. Gran parte del código en software escrito para dispositivos IoT también lo escriben ingenieros del mundo del software integrado de dispositivos independientes. Esto contrasta fuertemente con el software creado para manejar los datos de las grandes transacciones de toda la empresa a las que pertenecen los dispositivos de IoT. Proteger los datos en este último contexto requiere un tipo diferente de experiencia y habilidad que, lejos de todos los desarrolladores, tiene.

Con la realidad de que cualquier persona, independientemente de los antecedentes de desarrollo, puede contribuir a OSS, es mucho más difícil garantizar que se respeten los estándares de seguridad y calidad. Un código ineficiente, descuidado o incluso malicioso puede pasar inadvertido.

Tantas fallas, sin embargo, es poco probable que los compradores noten. Muchos ven los dispositivos de IoT a través de la lente de los negocios, un medio para un fin estratégico, como la mejora de la eficiencia de producción. La ironía es que, si bien los dispositivos de IoT son lo suficientemente sofisticados como para volverse contra sus propietarios, a menudo no se consideran lo suficientemente sofisticados como para estar protegidos contra ataques.

Los ojos del mundo están en tu código.

Ocurren fallas en el código interno propio, pero solo los desarrolladores contratados para escribir el código pueden conocerlos. El código fuente sería privado e inaccesible desde cualquier mirada indiscreta. Sin embargo, al igual que el código abierto es fácil para que las empresas accedan, es igual para todos los demás. Muchos desarrolladores y posiblemente los hackers han analizado el código antes de que se incorpore en la base de código de la que depende un dispositivo de IoT.

Lev Lesokhin

La cadena minorista estadounidense Target se convirtió en víctima de la suma de US $ 220 millones (€ 194 millones) a través del robo de detalles de tarjetas de crédito en 2013, cuando los atacantes encontraron una debilidad en el sistema de control de clima que usaba la cadena.

Se robaron las credenciales del proveedor del sistema de control de clima y no se modificaron en la implementación en Target, dejando a cada sistema instalado completamente vulnerable.

Verifíquese usted antes de que se destruya a sí mismo

Si bien las vulnerabilidades nunca se pueden negar por completo, la probabilidad se puede reducir a través de tres pasos clave:

El primer paso esencial es que un fabricante entienda qué hay en el software de IoT que envían. El código abierto, cuando se usa con cuidado, puede ser muy beneficioso. Sin embargo, para proteger a todos los involucrados, desde los creadores hasta los usuarios finales, la procedencia del código que se está poniendo en uso debe rastrearse hasta sus raíces y hacer referencia a las vulnerabilidades conocidas.

Se debe tener mucho cuidado y tanto tiempo como sea posible. Una vez fabricado, es poco probable que los problemas descubiertos después del hecho se rectifiquen, como ocurrió en el caso de Target, donde los sistemas eran comparativamente fáciles de acceder. Si bien los productores de dispositivos de IoT pueden estar ansiosos por adelantarse a los competidores, deben ser conscientes de que cualquier problema puede durar mucho tiempo.

El software debe analizarse de extremo a extremo, porque el código del dispositivo ya no es independiente. Una vez escaneado, las empresas deben ir inmediatamente al trabajo. Trate todas y cada una de las vulnerabilidades resaltadas y refuerce las transacciones con poca capacidad de recuperación. La consecución de la mayor parte posible de la deuda técnica del código debe ser el objetivo, crear un sistema sólido que resista la prueba del tiempo y proteja a sus futuros propietarios.

Finalmente, recuerde que las oficinas del proveedor del sistema de control de clima de Target terminaron siendo visitadas por el Servicio Secreto de los EE. UU. Y la compañía todavía es parte de una investigación en curso que les cuesta $ 18.5 millones (€ 16.3 millones). Eso no debería sucederle a nadie más y puede evitarse.

El autor de este blog es Lev Lesokhin, Vicepresidente Ejecutivo de Estrategia y Análisis en CAST.

Dejar respuesta

Please enter your comment!
Please enter your name here