2 mar 2016

IoT ¿Son los electrodomésticos la próxima SkyNet?

El MUG (Grupo de Usuarios Microsoft) me invitó a conversar y dar mi opinión acerca de mi visión sobre el estado de la seguridad en la Internet de las Cosas, IoT por su nombre en inglés, Internet of Things y esta charla se refleja en la siguiente entrevista. ¡Gracias a Oscar Turquet por la entrevista para el MUG!

Si quieres profundizar, aquí puedes ver mi presentación sobre IoT.

- ¿De qué hablamos cuando nos referimos la IoT?

Hoy, y cada vez más, parte de la vida de los humanos transcurre en internet, incluso en muchas personas se da una especie de “doble vida”: vida física vs vida digital, prácticamente todos vivimos conectados de distintas maneras y con diversos dispositivos.

Repasemos brevemente la historia: En 1999 Kevin Ashton (MIT) creó sin proponérselo el término "Internet de las Cosas" al incluirlo en una PPT que utilizó en una conferencia sobre el uso de RFID en cadenas de producción. Al año siguiente otro científico del MIT, Neil Gershenfeld, publicó When Things Start to Think tomando el término y dándole una la definición: Internet de las Cosas es el Uso de los objetos cotidianos conectados a Internet y/o conectados entre ellos. Además Gershenfeld describió que en el futuro todos los objetos estarían conectados y serían capaces de identificarse entre ellos, de relacionarse entre sí, con personas y con bases de datos mediante distintas tecnologías como RFID, sensores, wireless, QR, etc.

- ¿Podríamos pensar que al conectarse el objeto digital se transforma en algo más grande que él mismo individualmente?

Podría verse así. Actualmente, se maneja el concepto de Inteligencia Ambiental (AmI) para referirse a entornos electrónicos que son sensibles y receptivos a la presencia de personas. De manera natural convivimos con máquinas que funcionan de manera autónoma, por ejemplo existen expendedoras o heladeras capaces de enviar un mensaje al distribuidor cuando un artículo se está agotando.

- ¿La mensajería que utilizan esas máquinas sin intervención del usuario es lo que se conoce como Machine To Machine?

Así es. M2M se utiliza para describir cualquier tecnología que permite a los dispositivos conectados en red intercambiar información y realizar acciones sin la ayuda de seres humanos. La M2M está presente en todo: gestión de almacenes, control remoto, robótica, control de tráfico, servicios de logística, cadena de suministro, gestión de flotas, telemedicina, etc, sería difícil reseñar un los campos de aplicación. Lo que si podemos asegurar es que cada vez hay mas aparatos conectados a la red, se han publicado estudios que intentan predecir la cantidad futura de artefactos conectados a la red.

- ¿Podes contarnos algo acerca de esos estudios?

Hace unos años un estudio de Gartner pronosticaba 4.900 millones de dispositivos conectados a Internet en 2015, mientras que para 2020 estimaba que la cifra alcanzaría los 250.000 millones.

Hasta 1995 teníamos la era de la pre-movilidad, la Computación Fija, llamada así porque el humano debía desplazarse hacia el dispositivo a fin de utilizarlo.

Con la evolución de las portables alrededor del 2000 comienza a hablarse de movilidad, el artefacto se desplaza con el humano. Entonces se estimaba en alrededor de 20 millones los dispositivos conectados. Avanzada esa misma década se habla plenamente del fenómeno BYOD (Bring Your Own Device). En 2011 entramos en la “Era de los dispositivos”. Estaríamos en el orden 10.000 millones de dispositivos conectados mientras con un pronóstico de 50.000 M para 2020, llamando a este punto “Internet de Todo”.

- Los estudios parecen pintar un futuro promisorio para el negocio de los dispositivos inteligentes y aplicaciones.

Claro. Todo está dado para dar rienda a la imaginación: Robótica, Domótica, Control automático, monitoreo industrial, biológico. También están los Vestibles/Usables (Wearables). Nuevamente, sería ocioso intentar una lista completa.

- Dejando de lado las aplicaciones orientadas al confort, compras inteligentes, entretenimiento, moda y demás. ¿Encontramos que mucha de esta inteligencia se destina a la salud no?

Desde luego, y el primer fenómeno que notamos es la tendencia a llamar “inteligente” a todo. Hay diversos tipos de sistemas electrónicos que pueden ubicarse dentro o fuera del cuerpo humano con diversos fines: realizar estudios, monitorear la salud en general o sus órganos físicos, o dosificar la aplicación de medicinas. La conexión a la red de estos dispositivos permite monitoreo remoto y también permitiría la recolección de datos referentes al comportamiento, geolocalización, desplazamientos, usos y costumbres sociales, hábitos, actividad deportiva, etc.

- "Never Offline". La tapa de la revista Time que nos mostraste en tu última charla en el MUG. Si bien no hace diferencia entre dispositivos.

Existen diversos propósitos dentro del negocio de la IoT, tal vez los más loables son los que hacen foco en el cuidado de la salud o la calidad de vida, pero también creo que es el momento de llamar la atención sobre la escasa seguridad que ofrecen algunos dispositivos, actualmente el desarrollo está muy por delante de la seguridad. Además, también existen objeciones legales y personales acerca del respeto a la privacidad, el cuidado de los datos personales, etc. Es necesario generar conciencia respecto de la seguridad.

- Estos intentos de toma de conciencia pueden ser peligrosos, contanos el caso de Barnaby Jack.

BJ fue un conocido hacker que reveló vulnerabilidades en cajeros automáticos y algunos dispositivos de uso médico, como marcapasos y bombas de insulina. Había montado una gira de demos con la intención de generar conciencia al respecto. En estas presentaciones mostraba un dispositivo de su creación capaz de controlar estos artefactos a distancia. Fue hallado muerto en San Francisco en julio de 2013, por causas en principio desconocidas, días antes de la conferencia Black Hat donde haría una de esas demostraciones. Hay muchas conjeturas sobre esta muerte, realmente lamentable.

- Sigamos con la falta de seguridad.

En lo que hace a vulnerabilidades encontramos de todo: desde temas realmente serios y que deben atenderse hasta explotaciones “curiosas” de algunas fallas de seguridad que han derivado en todo un mundo paralelo, como es el caso de la aspiradora inteligente Roomba, es tan fácilmente hackeable que los usuarios la han transformado en un complemento de kits de experimentación para robótica.

Dentro de los temas que deberían preocuparnos a los especialistas hay asuntos que al común de la gente le es difícil imaginar, por ejemplo la facilidad de acceso a mandos remotos de compuertas de represas, o generadores eléctricos, o controles de potencia en general. La toma del control de cualquiera de éstos, sea accidental o intencional, podría ocasionar daños importantes. Y cada día surgen nuevos jugadores, como los drones y los vehículos autónomos, que requieren un serio estudio de sus vulnerabilidades.

- ¿Hay una evaluación sobre el estado de la Seguridad o por el momento es solo la voz los analistas de seguridad?

Desde luego hay estudios realizados por empresas dedicadas a la seguridad informática. Por ejemplo Veracode realizó un análisis sobre estos dispositivos que no demandan conocimientos técnicos especiales al usuario, están siempre encendidos y conectados a Internet e interactúan significativamente con el entorno físico y doméstico. Sus conclusiones son que estos aparatos: Tienen interfaces de depuración abiertas, permiten ejecución remota y arbitraria de código, utilizan protocolos débiles, permiten a los atacantes acceder a datos sensibles y ausencia de aplicación de contraseñas seguras.

Incluso la UE ha puesto su mirada atenta sobre este tipo de dispositivos y promulgó la Recomendación 8/2014 con recomendaciones en este sentido.

- Entonces ¿Cuál sería una primera recomendación del especialista en seguridad?

Se debe obligar a los fabricantes y desarrolladores a generar soluciones con perfiles de seguridad más fuertes que respondan a las demandas de protección de la aplicación y privacidad de los usuarios.

- Queda claro que hay millones de dispositivos conectados a la red, una gran parte de ellos con fallas de seguridad, que sería relativamente simple tomar el control de los mismos. ¿Es posible identificar esos dispositivos?

Es sencillo encontrarlos en Internet. Hay buscadores como Shodan de millones de dispositivos que ofrecen servicios y puertas de entrada a redes, con y sin protección. Aquí pueden aparecer servicios sin protección como impresoras, bases de datos, dispositivos “inteligentes” y controladores industriales. Para enfatizar digamos que manejando los controladores remotos podríamos llegar a accionar compuertas de represas, centrales eléctricas, infraestructura de ferrocarriles, turbinas eólicas, control de tránsito, etc.

- ¿Todo eso "pensado" sin protección?

No todo. Sucede que a veces se desea actualizar o integrar sistemas antiguos con instalaciones modernas sin tener en cuenta la seguridad integral. En otros casos se trata de instalaciones que cuentan con credenciales de seguridad mínimas, triviales podría decirse. Otras veces ocurre que actualizar o asegurar este tipo de instalaciones puede suponer un riesgo para la disponibilidad de la instalación y entonces “como funciona, se deja así”.

- Un sistema es tan inseguro como el menos seguro de sus componentes.

Exactamente.

- Apartándonos un poco del escenario catástrofe. ¿Qué podemos decir de la exposición pública de datos privados?

Ese es otro gran capítulo. En la red es relativamente sencillo acceder a Cámaras de vigilancia ciudadanas o privadas en cualquier parte del mundo, ya sea con o sin autenticación. Incluidas las cámaras que integran los sistemas de Fotomultas, por ejemplo y nada menos…

También es posible acceder a innumerables bases de datos personales. En mi blog comento acerca de la facilidad con que se tomaron datos de Bases de datos MongoDB.

- ¿En situación similar está la seguridad de los sistemas relacionados con la salud, no?

Tanto los sistemas administrativos, como de datos personales de los pacientes, como de seguimiento on line, sean estos permitidos por la legislación o no, no están exentos de espionaje o robo. La inmensa mayoría de estos sistemas carecen de un nivel de seguridad aceptable. Recientemente Intel Security presentó un informe sobre riesgos y recomendaciones para IoT y para la profesión médica en particular dedicando un ítem a la violación de privacidad: los atacantes consideran la información médica especialmente valiosa y por lo tanto objetivo principal de ataque.

- Hasta ahora abordamos la seguridad dentro de los límites “"humanos". Pero la idea de hacer esta nota surgió cuando te escuché planteando en lúdica el escenario de Skynet, de la saga Terminator, de hecho entre la audiencia parecía que había varios conocedores de los T800-T1000. ¿Era un juego no?

Bueno en términos de "hoy" la respuesta sería sí. Pero permíteme que hable de la Singularidad tecnológica, que sería el punto en que la capacidad de razonamiento colectivo de todos los artefactos inteligentes interconectados a la red superaría a la capacidad colectiva humana. El futurólogo, y creador del término, Ray Kurzweil ubica la singularidad en el año 2045.

Su hipótesis es que la evolución de la inteligencia ambiental puede originar un sistema (¿robot?) capaz de auto-mejorarse recursivamente. La repetición del ciclo daría lugar a generaciones de máquinas con capacidad intelectual humana, y superior. (¿Skynet?)

- Para terminar. Sintéticamente: Tus recomendaciones al usuario.
  • No almacenar información sensible en la nube (o en el aparato)
  • Proteger el dispositivo con una contraseña (Cuando tenga)
  • Realizar una instalación segura (Cuando se pueda)
  • Permitir actualizaciones (Cuando haya)
  • Utilizar redes “seguras” para la conexión
  • Exigir conocer el funcionamiento de las “cosas”
- ¿Y tus recomendaciones generales para los profesionales y la industria?

El gran objetivo tanto de la industria como de los profesionales de IT debe ser proteger al usuario.
  • Incorporar la seguridad a los aparatos al inicio, no después
  • El sector productivo debe pensar en implementar un conjunto completo de estándares de seguridad o prácticas recomendadas en IoT
  • Es necesario colaboración entre el sector privado y público
  • Se debe trabajar en estándares y aprobación reglamentaria de aparatos
Si bien desde el punto de vista del negocio una exigencia de seguridad muy elevada podría hacerlo inviable, resulta necesario buscar un equilibrio entre eficacia, facilidad de uso y seguridad en el momento los aparatos y las redes sean operados por los consumidores.

Fuente: MUG

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!