Seguridad | miércoles 20 de enero de 2016 | 17:27hs
Más notas de Seguridad: |

Reportaje: Internet of Things

¿Son los electrodomésticos la próxima SkyNet?

Nos encontramos con Cristian Borghello al finalizar de una de sus charlas en el Grupo de Usuarios Microsoft, para conversar acerca de su visión sobre el estado de la seguridad en la Internet de las Cosas, IoT por su nombre en inglés, Internet of Things.

¿Son los electrodomésticos la próxima SkyNet?
Documentos asociados

Reportaje por Oscar Turquet.

- ¿De qué hablamos cuando nos referimos  la IoT?

Hoy, y cada vez más, parte de la vida de los humanos transcurre en internet, incluso en muchas personas se da una especie de “doble vida”: vida física vs vida digital, prácticamente todos vivimos conectados de distintas maneras y con diversos dispositivos.

Repasemos brevemente la historia: En 1999 Kevin Ashton (MIT) creó sin proponérselo el término “Internet de las Cosas” al incluirlo en una PPT que utilizó en una conferencia sobre el uso de RFID en cadenas de producción. Al año siguiente otro científico del MIT, Neil Gershenfeld, publicó When Things Start to Think tomando el término y dándole una la definición: Internet de las Cosas es el Uso de los objetos cotidianos conectados a Internet y/o conectados entre ellos. Además Gershenfeld  describió que en el futuro  todos los objetos estarían conectados y serían capaces de identificarse entre ellos, de relacionarse entre sí, con personas y con bases de datos mediante distintas tecnologías como RFID, sensores, wireless, QR, etc.

- ¿Podríamos pensar que al conectarse el objeto digital se transforma en algo más grande que él mismo individualmente?

Podría verse así. Actualmente, se maneja el concepto de Inteligencia Ambiental (AmI) para referirse a entornos electrónicos que son sensibles y receptivos a la presencia de personas. De manera natural convivimos con máquinas que funcionan de manera autónoma, por ejemplo existen expendedoras o heladeras  capaces de enviar un mensaje al distribuidor cuando un artículo se está agotando.

- ¿La mensajería que utilizan esas máquinas sin intervención del usuario es lo que se conoce como Machine To Machine?

Así es. M2M se utiliza para describir cualquier tecnología que permite a los dispositivos conectados en red intercambiar información y realizar acciones sin la ayuda de seres humanos. La M2M está presente en todo: gestión de almacenes, control remoto, robótica, control de tráfico, servicios de logística, cadena de suministro, gestión de flotas, telemedicina, etc, sería difícil reseñar un los campos de aplicación. Lo que si podemos asegurar es que cada vez hay mas aparatos conectados a la red, se han publicado estudios que intentan predecir la cantidad futura de artefactos conectados a la red.

- ¿Podes contarnos algo acerca de esos estudios?

Hace unos años un estudio de Gartner pronosticaba 4.900 millones de dispositivos conectados a Internet en 2015, mientras que para 2020 estimaba que la cifra alcanzaría los 250.000 millones.

Hasta 1995 teníamos la era de la pre-movilidad, la Computación Fija, llamada así porque el humano debía desplazarse  hacia el dispositivo a fin de utilizarlo.

Con la evolución de las portables alrededor del 2000 comienza a hablarse de movilidad,  el artefacto se desplaza con el humano.  Entonces se estimaba en alrededor de 20 millones los dispositivos conectados. Avanzada esa misma década se habla plenamente del fenómeno BYOD (Bring Your Own Device). En 2011 entramos en la “Era de los dispositivos”. Estaríamos en el orden 10.000 millones  de dispositivos conectados mientras con un pronóstico de 50.000 M para 2020, llamando a este punto “Internet de Todo”.

- Los estudios parecen pintar un futuro promisorio para el negocio de los dispositivos inteligentes y aplicaciones.

Claro. Todo está dado para dar rienda a la imaginación: Robótica, Domótica, Control automático, monitoreo industrial, biológico. También están los Vestibles/Usables (Wearables). Nuevamente, sería ocioso intentar una lista completa.

- Dejando de lado las aplicaciones orientadas al confort, compras inteligentes, entretenimiento, moda y demás. ¿Encontramos que mucha de esta inteligencia se destina a la salud no?

Desde luego, y el primer fenómeno que notamos es la tendencia a llamar “inteligente” a todo.  Hay diversos tipos de sistemas electrónicos que pueden ubicarse dentro o fuera del cuerpo humano con diversos fines: realizar estudios, monitorear la salud en general o sus órganos físicos, o dosificar la aplicación de medicinas. La conexión a la red de estos dispositivos permite monitoreo remoto y también permitiría la recolección de datos referentes al comportamiento,  geolocalización, desplazamientos, usos y costumbres sociales, hábitos, actividad deportiva, etc.

- “Never Offline”. La tapa de la revista Time que nos mostraste en tu última charla en el MUG. Si bien no hace diferencia entre dispositivos.

Existen diversos  propósitos dentro del negocio de la IoT, tal vez los más loables son los que hacen foco en el cuidado de la salud o la calidad de vida, pero también creo que es el momento de llamar la atención sobre la escasa seguridad que ofrecen algunos dispositivos, actualmente el desarrollo está muy por delante de la seguridad. Además, también existen objeciones legales y personales acerca del respeto a la privacidad, el cuidado de los datos personales, etc. Es necesario generar conciencia respecto de la seguridad.

- Estos intentos de toma de conciencia pueden ser peligrosos, contanos el caso de Barnaby Jack.

BJ fue un conocido hacker que reveló vulnerabilidades en cajeros automáticos y algunos dispositivos de uso médico, como marcapasos y bombas de insulina. Había montado una gira de demos con la intención de generar conciencia al respecto. En estas presentaciones mostraba un dispositivo de su creación capaz de controlar estos artefactos a distancia. Fue hallado muerto en San Francisco en julio de 2013, por causas en principio desconocidas, días antes de la conferencia Black Hat donde haría una de esas demostraciones. Hay muchas conjeturas sobre esta muerte, realmente lamentable.

- Sigamos con la falta de seguridad.

En lo que hace a vulnerabilidades encontramos de todo: desde temas realmente serios y que deben atenderse hasta explotaciones “curiosas” de algunas fallas de seguridad que han derivado en todo un mundo paralelo, como es el caso de la aspiradora inteligente Roomba, es tan fácilmente hackeable que los usuarios la han transformado en un complemento de kits de experimentación para robótica.

Dentro de los temas que deberían preocuparnos a los especialistas hay asuntos que al común de la gente le es difícil imaginar, por ejemplo la facilidad de acceso a mandos remotos de compuertas de represas, o generadores eléctricos, o controles de potencia en general. La toma del control de cualquiera de éstos, sea accidental o intencional, podría ocasionar daños importantes. Y cada día surgen nuevos jugadores, como los drones y los vehículos autónomos, que requieren un serio estudio de sus vulnerabilidades.

- ¿Hay una evaluación sobre el estado de la Seguridad o por el momento es solo la voz los analistas de seguridad?

Desde luego hay estudios realizados por empresas dedicadas a la seguridad informática. Por ejemplo Veracode realizó un análisis sobre estos dispositivos que no demandan conocimientos técnicos especiales al usuario, están siempre encendidos y conectados a Internet e interactúan significativamente con el entorno físico y doméstico. Sus conclusiones son que estos aparatos: Tienen interfaces de depuración abiertas, permiten ejecución remota y arbitraria de código, utilizan protocolos débiles, permiten a los atacantes acceder a datos sensibles y ausencia de aplicación de contraseñas seguras.

Incluso la UE ha puesto su mirada atenta sobre este tipo de dispositivos y promulgó la Recomendación 8/2014 con recomendaciones en este sentido.

- Entonces ¿Cuál sería una primera recomendación del especialista en seguridad?

Se debe obligar a los fabricantes y desarrolladores a generar soluciones con perfiles de seguridad más fuertes que respondan a las demandas de protección de la aplicación y privacidad de los usuarios.

- Queda claro que hay millones de dispositivos conectados a la red, una gran parte de ellos con fallas de seguridad, que sería relativamente simple tomar el control de los mismos. ¿Es posible identificar esos dispositivos?

Es sencillo encontrarlos en Internet. Hay buscadores como Shodan de millones de dispositivos que ofrecen servicios y puertas de entrada a redes, con y sin protección. Aquí pueden aparecer servicios sin protección como impresoras, bases de datos, dispositivos “inteligentes” y controladores industriales. Para enfatizar digamos que manejando los controladores remotos podríamos llegar a accionar compuertas de represas, centrales eléctricas, infraestructura de ferrocarriles, turbinas eólicas, control de tránsito, etc.

- ¿Todo eso “pensado” sin protección?

No todo. Sucede que a veces se desea actualizar o integrar sistemas antiguos con instalaciones modernas sin tener en cuenta la seguridad integral. En otros casos se trata de instalaciones que cuentan con credenciales de seguridad mínimas, triviales podría decirse. Otras veces ocurre que actualizar o asegurar este tipo de instalaciones puede suponer un riesgo para la disponibilidad de la instalación y entonces “como funciona, se deja así”.

- Un sistema es tan inseguro como el menos seguro de sus componentes.

Exactamente.

- Apartándonos un poco del escenario catástrofe. ¿Qué podemos decir de la exposición pública de datos privados?

Ese es otro gran capítulo. En la red es relativamente sencillo acceder a Cámaras de vigilancia ciudadanas o privadas en cualquier parte del mundo, ya sea con o sin autenticación. Incluidas las cámaras que integran los sistemas de Fotomultas, por ejemplo y nada menos…

También es posible acceder a innumerables bases de datos personales. En mi blog comento acerca de la facilidad con que se tomaron datos de Bases de datos MongoDB.

- ¿En situación similar está la seguridad de  los sistemas relacionados con la salud, no?

Tanto los sistemas administrativos, como de datos personales de los pacientes, como de seguimiento on line, sean estos permitidos por la legislación o no, no están exentos de espionaje o robo. La inmensa mayoría de estos sistemas carecen de un nivel de seguridad aceptable.  Recientemente Intel Security presentó un informe sobre riesgos y recomendaciones para IoT y para la profesión médica en particular dedicando un ítem a la violación de privacidad: los atacantes consideran la información médica especialmente valiosa y por lo tanto objetivo principal de ataque.

- Hasta ahora abordamos la seguridad dentro de los límites “humanos”. Pero la idea de hacer esta nota surgió cuando te escuché planteando en lúdica el escenario de Skynet, de la saga Terminator, de hecho entre la audiencia parecía que había varios conocedores de los T800-T1000. ¿Era un juego no?

Bueno en términos de “hoy” la respuesta sería sí. Pero permitime que hable de la Singularidad tecnológica, que sería el punto en que la capacidad de razonamiento colectivo de todos los artefactos inteligentes interconectados a la red superaría a la capacidad colectiva humana. El futurólogo, y creador del término, Ray Kurzweil ubica la singularidad en el año 2045.

Su hipótesis es que la evolución de la inteligencia ambiental puede originar un sistema (¿robot?) capaz de auto-mejorarse recursivamente. La repetición del ciclo daría lugar a generaciones de máquinas con capacidad intelectual humana, y superior. (¿Skynet?)

- Para terminar. Sintéticamente: Tus recomendaciones al usuario.

• No almacenar información sensible en la nube (o en el aparato)

• Proteger el dispositivo con una contraseña (Cuando tenga)

• Realizar una instalación segura (Cuando se pueda)

• Permitir actualizaciones (Cuando haya)

• Utilizar redes “seguras” para la conexión

• Exigir conocer el funcionamiento de las “cosas”

 

- ¿Y tus recomendaciones generales para los profesionales y la industria?

El gran objetivo tanto de la industria como de los profesionales de IT debe ser proteger al usuario.

• Incorporar la seguridad a los aparatos al inicio, no después

• El sector productivo debe pensar en implementar un conjunto completo de estándares de seguridad o prácticas recomendadas en IoT

• Es necesario colaboración entre el sector privado y público

• Se debe trabajar en estándares y aprobación reglamentaria de aparatos


Si bien desde el punto de vista del negocio una exigencia de seguridad muy elevada podría hacerlo inviable, resulta necesario buscar un equilibrio entre eficacia, facilidad de uso y seguridad en el momento los aparatos y las redes sean operados por los consumidores.

 

 - - - - - -

Cristian Borghello: Licenciado en Sistemas UTN y Desarrollador. CISSP (Certified Information Systems Security  Professional). Microsoft MVP Security. CCSK (Certificate Cloud Security Knowledge). Creador y Director de Segu-Info y Segu-Kids.

 

 

Otras notas que pueden interesarte

16.05.2017 | Ransomware ¿Qué medidas tomar?

INTENSIVO. EN DOS JORNADAS.

Curso Fundamental de Seguridad para Programadores

ago

24

Curso intensivo en dos jornadas completas durante el cual recorreremos las principales vulnerabilidades de sitios web reconocidas por organizaciones independientes (OWASP, CWE/SANS, etc) y veremos la forma de codificar para prevenirlas y evitarlas. Se darán ejemplos de código, se realizarán demostraciones de ataque y defensa.
 

¡ GRATIS ! UN GRAN AFTER OFFICE PARA DESARROLLADORES

ASP .Net Core así en la web como en la Nube

ago

28

Tres charlas gratuitas que nos ofrecerán un recorrido por distintas arquitecturas e implementaciones de ASP .Net Core y por algunas funcionalidades de Azure. Imperdible para desarrolladores.
 

GRATIS. AFTER OFFICE.

¿Porque implementar UX?

ago

29

La experiencia de usuario es una disciplina que se expande día a día ayudando a mejorar nuestras aplicaciones. En esta charla abierta hablaremos sobre sus alcances y cual es la forma más sencilla de implementarla dentro del proceso de desarrollo.
 

NUEVA EDICIÓN DEL WORKSHOP. 
Arquitectura de Software Adaptativa

sep

04

Taller que pone foco en el diseño de arquitectura de software desde un punto de vista iterativo, con mayor involucramiento del cliente/negocio en las decisiones. La hipótesis de trabajo es que el esfuerzo de la labor de arquitectura debe estar repartido durante todo el ciclo de vida, la toma de decisiones de alto impacto debe ser oportuna y su re-evaluación permanente. Trabajamos también el rol comunicacional y negociador del arquitecto.
 

WORKSHOP

Creación de Chatbots

sep

08

Actualmente los bots conversacionales ofrecen múltiples ventajas sobre las aplicaciones de interfaz de usuario tradicionales (Escritorio, Web). En este workshop veremos como crear chatbots paso a paso utilizando Microsoft Bot Builder y Microsoft Bot Framework.
 

JORNADA DE ACTUALIZACIÓN

Actualiza tus conocimientos de SQL Server a su versión 2016 / 2017

sep

15

En esta jornada destinada a usuarios con nivel intermedio y avanzado veremos las importantes novedades que traen estas dos versiones de SQL Server tanto para los DBA, como desarrolladores y científicos de datos.
 

Así es. ¿No lo cree?

Microsoft ama a Linux

Satya Nardella

¿.Net Open Source y .NET Framework en Linux y OSX? Ya no podemos decir que una noticia nos sorprende. Lo que ayer no era, hoy puede que sea, y mañana será. El giro de Microsoft en sus negocios continua generando novedades, sobre todo para los desarrolladores.

Codificando para todas las plataformas

Visual Studio Code

Visual Studio Code

Está disponible para descarga la versión última de Visual Studio Code. Por lo que se ve, la nueva herramienta de programación multimplataforma está cumpliendo con lo prometido hace unos meses.

 

Base de datos | SQL Server

Mejorando la performance usando columnas calculadas

20.08.2013 | Las columnas calculadas (Computed Column) son útiles para varias cosas. Sabemos que nos permiten tener una formula sobre ellas, pero muy pocos saben que a estos campos también se les pueden crear índices. Veamos cómo podemos mejorar la performance de algunas querys con el uso de estas columnas calculadas y sus índices.