Video: Como evitar que te intervengan (Hackeen) cámaras y dispositivos de Internet de las cosas (IoT) (Noviembre 2024)
En nuestro resumen de predicciones significativas para 2014, hemos analizado nuevos objetivos de ataque, el aumento de Internet nacional, la seguridad móvil y los pagos en línea. La posibilidad de que los atacantes apunten al "Internet de las cosas" fue la segunda predicción más común entre los expertos en seguridad, después de la seguridad móvil. Symantec incluso denominó el "Internet de las cosas" como el "Internet de las vulnerabilidades".
Internet de las cosas se refiere a cómo los dispositivos electrónicos de consumo ahora tienen una dirección IP y se pueden controlar de forma remota. Los refrigeradores inteligentes, los sistemas de termostato para el hogar, los televisores inteligentes, los dispositivos de almacenamiento, los dispositivos médicos, los automóviles, los sensores en la red eléctrica, las máquinas de ejercicios e incluso los abridores de puertas de garaje, son solo una pequeña muestra de Internet de las cosas.
Los ataques están llegando
Aunque todavía está en las primeras etapas, tan pronto como el próximo año, los refrigeradores inteligentes, las cerraduras y los termostatos se trasladarán a la corriente principal, dijo Andreas Baumhof, CTO de ThreatMetrix. El Internet de las cosas no es muy diferente de otros tipos de actividad en línea; Los ciber-atacantes podrán secuestrar la red inalámbrica o explotar una vulnerabilidad para atacar la red o robar información personal, dijo.
Hemos visto algunos ejemplos de posibles ataques en varios proyectos de prueba de concepto en Black Hat y otras conferencias en todo el país. Un investigador de Qualys demostró cómo era posible explotar las vulnerabilidades en la interfaz de usuario de las cámaras IP D-Link para secuestrar las cámaras y la alimentación de imágenes. El difunto Barnaby Jack demostró cómo hackear una bomba de insulina hace unos años y había sido programado para discutir los riesgos contra los marcapasos en Black Hat este año. El ex vicepresidente Dick Cheney reveló en octubre cómo los médicos habían deshabilitado la conectividad inalámbrica en su marcapasos por la preocupación de que alguien pudiera piratear el dispositivo.
Sin embargo, los proveedores de hardware rara vez piensan en la seguridad, ya sea para corregir errores en el software incorporado o abordar problemas en el lado del hardware, cuando lanzan nuevos dispositivos al mercado. Incluso cuando se identifican problemas, los fabricantes frecuentemente se esfuerzan por corregir las vulnerabilidades, dijeron los investigadores de Rapid7. 2013 fue un gran año para los gusanos y otras formas de explotación de Internet de las cosas, y a medida que la tasa de adopción de estos dispositivos explote, veremos más tipos de ataques.
Sin embargo, tenemos algo de tiempo. Internet Identity dijo que los incidentes en los que "los piratas informáticos maliciosos se aprovecharán incendiando casas de forma remota y / o apagando de forma remota los sistemas de seguridad para permitir el ingreso de ladrones", no es algo que deberíamos esperar en 2014, pero en 2015, dijo IID.
Investigación, prueba de conceptos
"Si bien no esperamos que los ataques contra el 'Internet de las cosas' se generalicen en 2014, sí predecimos un aumento en las vulnerabilidades reportadas y las vulnerabilidades de prueba de concepto", dijo Gerhard Eschelbeck, CTO de Sophos.
Las amenazas a la seguridad son amplias y "potencialmente devastadoras" y las organizaciones deben garantizar que la tecnología tanto para los consumidores como para las empresas se adhiera a los altos estándares de seguridad, dijo Steve Durbin, vicepresidente del Foro de Seguridad de Internet. "Debería depender de las propias empresas continuar construyendo seguridad a través de la comunicación y la interoperabilidad", dijo Durbin.
Un pequeño grupo de influyentes expertos en seguridad está pidiendo a los investigadores que concentren sus energías en estos dispositivos conectados y potencialmente vulnerables, como marcapasos, bombas de insulina y otros sistemas integrados. El grupo, "We Are the Cavalry", quiere educar al público en general sobre los problemas serios presentes en estos dispositivos, ya que están llegando al mercado con poca o ninguna consideración sobre la seguridad, Josh Corman, director de inteligencia de seguridad en Akamai y uno de los líderes del grupo, dijeron a los asistentes a la conferencia OWASP AppSec USA en noviembre.
"Se trata de investigar sobre cosas que importan más que sobre cosas que francamente no importan", dijo Nick Percoco, director de KPMG y otro líder del grupo, en la misma presentación. Si alguien con un marcapasos muere, alguien debe estar haciendo análisis forenses en el marcapasos, dijo. Si la comunidad de investigación no se enfoca en estos dispositivos y publica problemas, "¿cómo vamos a saber como sociedad que estas cosas tienen fallas?" preguntó.
"Hagamos la seguridad que importa, no solo nuestros trabajos diarios. El mundo exterior es parte del conjunto de soluciones. Esto es seguridad para el bien público", dijo Corman.
