Re: [Lista Criptica] la amenaza smart en forma de IoT

Delete this message

Reply to this message
Author: vdo
Date:  
To: Criptica - Llista de debat
Subject: Re: [Lista Criptica] la amenaza smart en forma de IoT
La solución que plantea Canonical (snaps) es interesante pero va un poco
en la dirección de los containers, y creo que a nivel de seguridad
aumenta la dependencia en Ubuntu Store® y puede hacer muchos 'snaps' no
oficiales (si es que eso existe) mas vulnerables que los paquetes
tradicionales, por no que no es la panacea...

Los ataques que hemos visto recientemente no han sido a causa de
zerodays, sistemas vulnerables o con seguridad débil, sino directamente
inexistente, ya que la botnet Mirai se aprovechaba de dispositivos con
el password por defecto, asi que nos da una idea del estado de las _cosas_.

Pero lo que me preocupa más no es la seguridad de los dispositivos en
si, si no la de los datos que manejan y cómo. Ya hemos visto como
SmartTVs son capaces de escuchar nuestras casas[0], y como dice Dhole,
esto es solo la punta del iceberg.

Una webcam conectada a Internet no es IoT, es sólo una versión primitiva
de lo que se nos viene encima.

Omnipresencia de dispositivos y sensores en industria, ciudades,
hospitales... todos conectados a la red.

Esta naciendo un nuevo paradigma de la computación llamado Fog Computing
con muchos intereses privados en ello, y Barcelona esta en el centro de
todo esto[1].

En este sentido la gente de Dyne ha lanzado un proyecto llamado Dowse[2]
que pretende convertir los routers caseros de cajas negras a
dispositivos defensivos para el IoT casero, todo bastante geek por el
momento...

Así que lo que dice Pedro: es necesario leer, informar-se y hacer
talleres y charlas al respecto.

Salud!

[0]
http://www.koreatimesus.com/samsung-smart-tvs-can-record-your-voice-and-sell-info-to-3rd-parties/
[1] http://www.iotsworldcongress.com/
[2] http://dowse.equipment/


On 09/11/16 09:39, Dhole wrote:
> On 16-11-09 02:11:56, guifipedro wrote:
>> Estaba leyendo este artículo [1] y me he encontrado con este comentario
>> que me parece buen resumen e introducción de lo que se nos viene encima
>> (y que quizá sería bueno empezar a darle vueltas a este discurso en
>> talleres de seguridad, charlas, debates):
>>
>> [...]
>
> El que escric aqui es la meva opinio personal segons el que he anat
> veient en el panorama. Puc estar equivocat en algunes afirmacions ja
> que no soc expert en el tema.
>
> Certament amb el IoT apareixen un munt de problemes de seguretat, que es
> veuen agreujats pel fet que son dispositius vulnerables que tenen
> control fisic sobre electrodomestics i parts de la casa, cosa que pot
> crear danys que deixen de ser virtuals i ser fisics (ja no et roben els
> teus emails, sino que et cremen la casa).
>
> Pero jo personalment soc molt pessimista amb el futur. Penso que nomes
> estem veient la punta del iceberg en quant a problemes de seguretat amb
> el IoT. Hi ha un problema intrinsec que fa que els dispositius IoT no
> siguin segurs: la economia. Basicament no surt a compte invertir en
> millorar la seguretat dels dispositius que venen els fabricants. Tenen
> preus molt ajustats, treuen 10 models nous cada any, hi ha competencia.
> No es viable donar suport a aquest dispositius per part dels fabricants,
> i la seguretat es una loteria: pots no dedicar cap recurs en la
> seguretat, tenir sort i que no s'aprofiti cap vulnerabilitat. Pots
> dedicar recursos a la seguretat i tenir mala sort i que acabi havent-hi
> alguna vulnerabilitat que s'aprofiti. Encara no hi ha cultura de donar
> prioritat a la seguretat, i penso que aixo no passara fins que la
> situacio sigui forsa mes greu que la que tenim avui dia.
>
> I tambe hi ha un altre problema, relacionat amb l'economia d'aquests
> dispositius. La empresa que el ven no te el control de tot el software
> que hi ha en el dispositiu. Per fer-ho mes barat compren blocs de
> hardware que venen amb el seu software i ho van enganxant tot fins a
> tenir la funcionalitat desitjada. No tenen els recursos per crear un
> dispositiu des de 0 i tenir un control sobre tots els components de
> software. Per aixo es comu que venguin dispositius amb metodes de
> debugging activats que permeten access remot al dispositiu sense
> autoritzar (o hardcoded passwords); el fabricant simplement se li ha
> colat perque no ha revisat a fons el codi que ha agafat d'un tercer.
>
> Per altra banda, el fet que aquests dispositius internament en quant a
> software estiguin fets a partir de parxes de codi que provenen de
> fabricants diferents dificulta que puguin publicar el codi font. Fins i
> tot quan el fabricant del dispositiu esta disposat a fer-ho, no poden
> perque no tenen la llicencia per publicar el codi que usen provinent de
> tercers. Pot arribar el punt fins i tot que ja no saben ben be d'on
> provenen les coses, i el mes senzill es mantenir el codi tancat i evitar
> problemes de copyright.
>