Guía de desarrollo y seguridad de dispositivos IoT [CSA]
Hace un año, RAND publicó un revelador estudio sobre ciberseguridad [PDF] donde exploran exhaustivamente las vulnerabiliades de IoT (Internet de las Cosas).
En ese informe surge la idea de seguridad al estilo «parche-sobre-parche» pero sin análisis de riesgos pero desde entonces, han surgido preguntas sobre las necesidades de seguridad de miles de millones de dispositivos inteligentes y baratos que se va expandiendo alrededor del mundo como palomitas de maíz.
Segú afirma la Cloud Security Alliance (CSA)«hay una gran necesidad de seguridad en IoT» y para ello han publicado la guía «Future Proofing the Connected World» [PDF] Las principales razones es que «IoT puede usarse para iniciar ataques DDoS, atacar las infraestructuras nacionales críticas y los coches están siendo cada vez más conectados. Además, los drones siendo utilizados como una plataforma para el reconocimiento y pueden «comprometer la privacidad»
A partir de una metodología de desarrollo seguro, CSA sugiere la creación de un nuevo Consejo de IoT. Esto significa que los desarrolladores deben abordar los requisitos de seguridad en sus procesos y desde el principio del desarrollo de productos.
Los desarrolladores deben cuidar la distribución de sus dispositivos IoT en los ambientes físicamente expuestos e inseguros. Se debe tener en cuenta que los dispositivos pueden ser físicamente robados y las claves pueden ser compartidas.
Similar a lo que RAND encontró en el año 2015, la CSA dice que «la seguridad es un concepto completamente nuevo para muchos de los pequeños fabricantes que producen estos dispositivos y puede ser una razón por lo que la criptografía esta siendo mal implementada«.
Agregan que «La seguridad no es un conductor del negocio y la falta de estándares es un problema para encontrar especialistas de IoT y profesionaes que sepan sobre la seguridad».
El bajo precio de los dispositivos IoT también es problemático porque significa que es fácil para los atacantes adquirir los productos para estudiar; así como conocer las limitaciones de los sistemas embebidos que limitan las opciones de seguridad porque no tienen suficiente potencia de procesamiento.
La guía de CSA sugiere que se deben evaluar los lenguajes de programación y buscar guía de seguridad de los lenguajes particulares y deben evaluarse las estructuras y funciones de seguridad de cada plataforma. Debe establecerse la protección de la privacidad y establecer una recolección mínima de datos. La CSA tambíen hace hincapié en que el hardware debe tener controles de seguridad basados en hardware y esto conduce a la elección apropiada de protocolos de comunicación de red y los dispositivos deben actualizar su firmware periódicamente.
Tener en cuenta que los mecanismos de registro/auditoria son importantes para ver quién está accediendo a los dispositivos. Por último, sugiere ejecutar revisiones de seguridad basadas en OWASP que proporciona herramientas de retroalimentación y optimización para esto