Els hackers estimen Internet de les coses perquè la seguretat no ven torradors

La frase "infracció de dades" no va arribar al llenguatge comú, és a dir, "un nombre important de cerques mensuals de Google" fins al novembre del 2013, quan 110 milions de targetes de pagament del client van quedar exposades a una infracció de dades d’orientació. Ara, no només entenem que la nostra informació és vulnerable, sinó que és vulnerable de totes parts. El que era cert per a Target ara és cert per a les Barbie Dolls, els lavabos, les màquines de ressonància magnètica i el sistema de transmissió d'emergència: aquestes coses poden ser piratejades. És per això que els mitjans de comunicació s'han enamorat de les històries sobre com els nous productes podrien ser piratejables o fàcilment compromesos. Aquestes històries són tan freqüentment precises com invariablement confuses. Al cap ia la fi, és difícil analitzar què significa realment "vulnerable" en l'era de la violació.

Provem perquè hi ha molt més que venir.

Les autopistes digitals que connecten el món ara es connecten a les carreteres escèniques que van per tot arreu. Tenim la intenció de veure un increment de 30 vegades el nombre de dispositius connectats a Internet durant els pròxims cinc anys: els 26.000 milions de dispositius en línia. Ja no es tracta només d’un telèfon intel·ligent i d’ordinadors, sinó de portes, termòstats, bombetes i molt més. Tot i que no hi ha necessàriament cap dada digital valuosa per robar-se a la maneta connectada a Internet, hi ha un munt de coses per robar-vos a casa si algú aprèn a convertir-la. Algunes vegades aquest procés és fàcilment incòmode per als experts.

Dan Guido, conseller delegat de la firma de recerca i desenvolupament ciberseguretat Trail of Bits, suggereix que això es deu a un problema sistèmic en tecnologia contemporània. Penseu en el vostre sistema operatiu d’ordinador o telèfon intel·ligent. Hi ha nous pegats i actualitzacions que es publiquen tot el temps per a Windows, OS X, iOS i similars. Cadascuna d’aquestes actualitzacions serveix per corregir errors diversos, encara que siguin invisibles per al consumidor, i cadascun d’ells és l’oportunitat d’explotar.

"Mai no arribes al final", va dir Guido. "Mantenen la fixació i la reparació de les coses, però hi ha gairebé un subministrament il·limitat de vulnerabilitats perquè la gent pugui trobar-se." El problema fonamental, diu, és que la gent no construeix un programari per estar segur des del principi; hi ha massa èmfasi en la creació de productes ràpids i fiables: la seguretat segueix sent una idea posterior.

Resulta que el que més propera als consumidors a un servei de vigilància de la seguretat digital és la FTC, que en els darrers anys s'ha reforçat a responsabilitzar les empreses de les seves reclamacions de seguretat. Si una empresa fa afirmacions sobre la seguretat dels seus productes que no aguanten, s'enfronten a multes. Pot ser que això sigui intimidatori per a algunes empreses més petites, però la història ens diu que els consumidors tenen una memòria breu en qüestions de seguretat, de manera que el mercat tendeix a evitar les pestanyes. Les empreses dediquen temps i diners a la velocitat i la comoditat, ja que això és, en última instància, el que volen els consumidors. La seguretat sembla sobretot importar quan falla. Aquest enfocament es podria resumir millor com "cap dany, ni falta".

Aquest és un problema perquè fa que la innovació sigui una proposta perillosa.

Guido diu que molts dispositius d'Internet de les coses són tan fàcils de piratejar que els interns de la seva empresa els repeteixen amb freqüència per als seus propis projectes. “Si voleu entrar en un iPhone o a Internet Explorer, es necessiten mesos d'esforç. Si voleu accedir a l’última escala habilitada per a Wi-Fi, es triga una setmana sense experiència prèvia. "El trencar amb dispositius IoT moderns és tan poc comú en el món de la seguretat de la xarxa que s’anomena" junk hacking ".

"Els avenços en seguretat realment no estan succeint", explica Guido, que suggereix que és un problema d'educació. “Proporcionar millors eines i incentius per a la seguretat en educació en informàtica podria marcar la diferència. Hi hauria d’establir uns estàndards de seguretat per al codi que els estudiants tinguin accés, però ara és difícil que un professor avaluï la seguretat."

El repàs de la crítica de Guido: tot és vulnerable, però espècies específiques de dispositius són més susceptibles a una incursió reeixida. Qualsevol cosa nova o modificada o altament iterativa és probable que sigui especialment vulnerable, igual que els productes arrencats i qualsevol producte tecnològic que obtingui valor mitjançant l'aprofitament d'una marca no tecnològica. Això hauria de ser motiu de preocupació o estabilitat entre els consumidors? Depèn. Si el vostre botó de porta trencable presenta una preocupació de seguretat legítima, la vostra torradora trencable representa un inconvenient potencial, però poc probable. I pot haver-hi valor a aquesta molèstia. Al capdavall, una torradora super hackable és piratable per al seu propietari, cosa que permet un divertit tipus de personalització de la cuina.

Proliferaran històries de vulnerabilitat. L'important de recordar quan els titulars comencen a cridar és que no tots els hacks són creats iguals i que no hi ha coses com la seguretat absoluta, sinó millors apostes.