La seguretat d’Internet de les coses serà "molt pitjor abans que sigui millor"

Quan es tracta de la realitat cada vegada més contundent d’un món dominat per l’Internet de les coses, les bretxes de seguretat “empitjoraran, potencialment molt pitjor, abans de millorar-se”, diu Ted Harrington, soci d’Evaluadors de Seguretat Independents i organitzador del conferència anual de hackers DEFCON.

Harrington sap de què està parlant. La seva empresa gira al voltant de la ciberseguretat i organitza el primer "IoT Village" de DEFCON, la conferència anual de pirateria que es redueix entre els dies 4 i 7 d'agost a Las Vegas. S’anima als pirates informàtics a situar-se en dispositius IoT i trobar punts de seguretat de seguretat. I si la història és alguna indicació, explica Harrington Invers que la seguretat al voltant dels dispositius IoT es tornarà encara més porosa abans que finalitzi la tecnologia.

La nova tecnologia segueix tres passos previsibles, segons Harrington. Primer, algú innova. En segon lloc, els desenvolupadors inunden el mercat amb productes similars sense tenir en compte les implicacions de seguretat. En tercer lloc, la comunitat de seguretat convida la indústria a reforçar la seguretat.

"Estem en el molt, molt, molt avantatjós d’aquesta segona fase", diu Harrington. "Tenim un llarg camí per fer abans d'arribar a la tercera fase".

I és la mateixa connectivitat que atrau a la gent a l'IoT que posa en perill la gent.

Les comunitats de pirates informàtics amb barret negre (els que busquen fer mal a la gent que hack) no són noves i ningú no és segur. Mentre que els pirates informàtics a empreses com Sony i gent com Donald Trump reben tota l’atenció, s’ha de preocupar pels pirates informàtics dels vostres dispositius personals.

Això és així perquè la seguretat no és res que les empreses que desenvolupen els seus televisors intel·ligents, termòstats intel·ligents i nans intel·ligents siguin preocupats.

"El vostre model de confiança en IoT està trencat", va dir Harrington. "El significat dels dispositius connectats confia inherentment en els altres, quan en realitat haurien de desconfiar-se inherentment".

Això provoca buits en productes que haurien de protegir tant la vostra privadesa com la vostra seguretat. Bàsicament, la privadesa es refereix a un usuari que decideixi com la informació que els seus dispositius recopilen sobre ells és usada per persones i altres empreses, mentre que la seguretat es refereix a l’efectivitat que té un dispositiu només permetent l'accés del propietari. La privadesa es perd normalment en el moment en què la gent comença a utilitzar un dispositiu mitjançant l’acord de llicència de l’usuari final i el registre. La seguretat, però, es perd perquè els desenvolupadors fan que els usuaris tinguin objectius fàcils per als pirates informàtics.

Per exemple: un pirata informàtic podria comprometre remotament un eco de Amazon. L’Echo està connectat al televisor i als altaveus, però també a l’emmagatzematge d’imatges familiars i a la declaració d’impostos presentada electrònicament. Ara, aquest hacker que només va entrar en l'Echo, té tot el que necessita per realitzar robatori d'identitat. Els dispositius que confien en si mateixos i que compartien tota la informació i les contrasenyes de la persona van trair el propietari.

Això pot semblar un argument relliscós per fer-li témer el futur i qualsevol cosa nova, però és un escenari que podria arribar a ser realment massa fàcil, diu Harrington.

Afegeix que no tots els dispositius intel·ligents estan totalment protegits.

"Una manera de pensar en això és que els consumidors haurien de suposar que mitjançant el desplegament d'aquest dispositiu, algun tipus dolent té la capacitat de transigir-lo", diu.

Així que pensa dues vegades: Què tan dolent vols el dispositiu més recent?

"No es perdi en el bombo amb l’impressionant IoT", va dir Harrington, "sense equilibrar-lo amb el risc que comporta l'IoT".

Creu que el vostre dispositiu #IoT és segur? Subjecte-ho a la trucada #IoTvillage per a dispositius! http://t.co/q5wMT5D4kn #DEFCON pic.twitter.com/3XBpsobKSG

- DEF CON (@defcon) 27 de març de 2016