Autor: Dhole Data: A: Criptica - Llista de debat Assumpte: Re: [Lista Criptica] la amenaza smart en forma de IoT
On 16-11-09 02:11:56, guifipedro wrote: > Estaba leyendo este artículo [1] y me he encontrado con este comentario
> que me parece buen resumen e introducción de lo que se nos viene encima
> (y que quizá sería bueno empezar a darle vueltas a este discurso en
> talleres de seguridad, charlas, debates):
>
> [...]
El que escric aqui es la meva opinio personal segons el que he anat
veient en el panorama. Puc estar equivocat en algunes afirmacions ja
que no soc expert en el tema.
Certament amb el IoT apareixen un munt de problemes de seguretat, que es
veuen agreujats pel fet que son dispositius vulnerables que tenen
control fisic sobre electrodomestics i parts de la casa, cosa que pot
crear danys que deixen de ser virtuals i ser fisics (ja no et roben els
teus emails, sino que et cremen la casa).
Pero jo personalment soc molt pessimista amb el futur. Penso que nomes
estem veient la punta del iceberg en quant a problemes de seguretat amb
el IoT. Hi ha un problema intrinsec que fa que els dispositius IoT no
siguin segurs: la economia. Basicament no surt a compte invertir en
millorar la seguretat dels dispositius que venen els fabricants. Tenen
preus molt ajustats, treuen 10 models nous cada any, hi ha competencia.
No es viable donar suport a aquest dispositius per part dels fabricants,
i la seguretat es una loteria: pots no dedicar cap recurs en la
seguretat, tenir sort i que no s'aprofiti cap vulnerabilitat. Pots
dedicar recursos a la seguretat i tenir mala sort i que acabi havent-hi
alguna vulnerabilitat que s'aprofiti. Encara no hi ha cultura de donar
prioritat a la seguretat, i penso que aixo no passara fins que la
situacio sigui forsa mes greu que la que tenim avui dia.
I tambe hi ha un altre problema, relacionat amb l'economia d'aquests
dispositius. La empresa que el ven no te el control de tot el software
que hi ha en el dispositiu. Per fer-ho mes barat compren blocs de
hardware que venen amb el seu software i ho van enganxant tot fins a
tenir la funcionalitat desitjada. No tenen els recursos per crear un
dispositiu des de 0 i tenir un control sobre tots els components de
software. Per aixo es comu que venguin dispositius amb metodes de
debugging activats que permeten access remot al dispositiu sense
autoritzar (o hardcoded passwords); el fabricant simplement se li ha
colat perque no ha revisat a fons el codi que ha agafat d'un tercer.
Per altra banda, el fet que aquests dispositius internament en quant a
software estiguin fets a partir de parxes de codi que provenen de
fabricants diferents dificulta que puguin publicar el codi font. Fins i
tot quan el fabricant del dispositiu esta disposat a fer-ho, no poden
perque no tenen la llicencia per publicar el codi que usen provinent de
tercers. Pot arribar el punt fins i tot que ja no saben ben be d'on
provenen les coses, i el mes senzill es mantenir el codi tancat i evitar
problemes de copyright.