. Dispositivos inteligentes ficam mais esperto, mas ainda é pequena em segurança - Tudo Sobre Tecnologia

aparelhos
Como você compra que geladeira nova "inteligente", que pode fazer tudo, inclusive descobrir quando você está com pouco leite, talvez você também deve pensar sobre o risco de algum hacker malicioso tomar o controle do mesmo e ter 5.000 litros de leite entregues a seu porta.
Não deve, sim, mas é possível. E isso é apenas inconveniente. Que tal um hacker que desbloqueia as portas quando você estiver ausente?
Este cenário é real. Foi demonstrado . Especialistas em segurança vêm dizendo há mais de uma década que, no mundo dos dispositivos eletrônicos, "smart" não significa seguro. Eles advertiram que se a segurança não é uma prioridade, a conveniência fornecidos por esses dispositivos será prejudicada por criminosos cibernéticos.
E a maioria deles dizem que as coisas ficaram ainda pior uma vez que esses avisos começaram, em parte devido ao crescimento explosivo de dispositivos de consumo com computadores integrados .

Ajudando computação 'coisas'

Em uma entrevista com PaulDotCom Segurança Weekly TV em fevereiro passado , Craig Heffner, pesquisador de vulnerabilidades com Tactical Network Solutions, colocá-lo sem rodeios. "Volte 15 anos na segurança do computador, pegar todos os problemas que tivemos de lá para cá, e você vai encontrá-lo em sistemas embarcados", disse ele.
edith ramirez ftc
Edith Ramirez
Isso tornaria um problema crescente por ordens de magnitude. Em uma conferência sobre a Internet das Coisas (Internet das coisas) no mês passado, patrocinado pela Comissão Federal do Comércio (FTC), presidente da agência, Edith Ramirez, disse que os 3,5 bilhões de sensores agora na rede devem crescer a trilhões na próxima década . De fato, muitos dos carros novos de hoje já tem mais de 100 embarcados, computadores conectados.
"Cinco anos atrás, mais coisas do que pessoas ligadas à Internet", disse ela."Em 2020, 90 por cento de todos os carros terão algum tipo de plataforma de veículos, acima dos 10 por cento hoje. Em 2015, haverá 25 bilhões de coisas ligados à Internet. Em 2020, que vai crescer para 50 bilhões. No mercado de consumo, dispositivos inteligentes irá acompanhar a nossa saúde, nos ajudar a monitorar remotamente um membro da família de envelhecimento, reduzir nossas contas de serviços públicos e nos dizer que estamos fora de leite. "
Mas tudo o que, segundo ela, virá com privacidade "inegável" e riscos de segurança. Em resposta, ela disse, a postura do FTC é que, "as empresas precisam construir a segurança em seus produtos, sem exceções."
Talvez algum dia. Mas, segundo a maioria dos especialistas, o oposto é verdadeiro, a exceção é um produto inteligente que realmente tem a segurança como um componente chave. Heffner, que apareceu em um painel de discussão da "casa conectada" na conferência FTC, sustentou que, "dispositivos de consumo normalmente não têm qualquer segurança, pelo menos não pelos padrões de hoje."
Em uma entrevista, Heffner disse que a maior razão para isso é porque "as pessoas não tomam decisões de compra com base na segurança de um produto.Eles fazem isso com base em características, aparência do produto e preço.Porque no mundo que uma empresa gasta tempo e dinheiro em algo que os usuários não se preocupam e nunca vai ver? "

Segurança 'difícil de acertar "

Esse tem sido o mantra do guru da segurança Bruce Schneier, segurança diretor técnico da BT, por algum tempo. Em um post no blog em agosto passado , ele disse tudo, desde dispositivos de consumo para os sistemas de controle industrial maciças têm ", há muito tempo hackable".
Bruce SchneierIDG NEWS SERVICE
Bruce Schneier
Por quê? Schneier culpa os consumidores e fabricantes, mas a maioria dos fabricantes. "A segurança é muito difícil de acertar", escreveu ele. "É preciso perícia, e isso leva tempo. A maioria das empresas não se importam porque a maioria dos clientes que compram sistemas de segurança e aparelhos inteligentes não sabem o suficiente para se importar. "
Talvez, pelo menos até agora, eles não têm sido dada razão suficiente para cuidar também. Embora tenha havido demonstrações impressionantes e preocupantes, de como é fácil um hacker habilidoso pode assumir o controle de sistemas de automação residencial, incluindo calor, ar condicionado e fechaduras, há até o momento não houve nenhum grande pânico consumidor sobre esses riscos.
Os consumidores não devem esperar para saber o suficiente para cuidar, de acordo com Schneier. "Um monte de hacks acontecer, porque os usuários não configurar ou instalar seus dispositivos corretamente, mas essa é realmente a culpa do fabricante", escreveu ele. "Estas são supostamente dispositivos de consumo, equipamentos especializados não apenas para especialistas em segurança."
A resposta padrão dos fabricantes de dispositivos inteligentes tem sido de que tornar os seus produtos verdadeiramente seguro seria torná-los muito difícil para os consumidores a usar-segurança que minaria conveniência.
Aaron Cohen, fundador da Academia Hacker, vê algum mérito em ambos os argumentos. Embora ele tenha sido um defensor para a construção de segurança em produtos, ele disse que tem que haver um equilíbrio entre segurança e conveniência.
"A maioria das pessoas colocam a funcionalidade à frente da segurança", disse ele. "Se você fizer sua TV tão seguro que você não pode ligar e desligar, você não vai vender muitos deles. Se desligar o computador de todos, você vai torná-los seguros, mas você não está indo para obter qualquer trabalho feito. "
Cohen defende o Software Development Life Cycle seguro (S-SDLC), usando métodos do Projeto Open Web Application Security (OWASP), que segundo ele aborda os riscos "de baixo pendurado frutos". E ele disse que acha que a indústria deve estabelecer prioridades, com mais foco na proteção de dispositivos que bloquear ou desbloquear uma casa do que aqueles que transformar o calor para cima e para baixo ou cortar uma televisão.
Ele disse que a maior parte da análise de risco pode se concentrar em incentivos financeiros. "Até que eles (hackers) podem rentabilizar invadir sua TV, é que realmente a melhor maneira para eles para ganhar dinheiro?", Disse.

O fator custo desempenha, também

Jeff Hagins, CTO e fundador da SmartThings, que também estava no painel no workshop FTC, é um dos muitos que dizem de segurança contra a conveniência é uma falsa dicotomia. Hagins disse CSO ele acha que é o custo, mais do que conveniência, que triunfa sobre a segurança, mas que tanto pode e deve ser uma prioridade.
"Great design experiência do usuário é apenas difícil, e sim, integrar a segurança em um grande projeto também é difícil", disse ele. "Os consumidores vão adotar os produtos com a melhor experiência e os recursos de que necessitam a um preço que possam pagar. Manter esse equilíbrio não é fácil, mas as empresas que são bem sucedidos com este ato de equilíbrio, ao mesmo tempo que a segurança tem uma prioridade, pode ganhar. "
Há algumas boas notícias entre as previsões sombrias, de acordo com Gary McGraw, CTO da Cigital e um defensor de longa data de "segurança do edifício dentro" McGraw disse que a FTC, sob a sua anterior CTO Edward Felten e atual CTO Steven Bellovin " tem sido extremamente ativa na segurança e segurança de software. Esses caras são especialistas em nível de guru. "
McGraw disse que enquanto as melhorias de segurança em dispositivos inteligentes são ", não vai acontecer durante a noite," que há progresso na "áreas importantes, como segurança móvel." Como Cohen, ele disse que o progresso em aparelhos como geladeiras podem vir mais tarde. "Você cuida das coisas que importa em primeiro lugar", disse ele.
FTC
Há opiniões divergentes sobre se o que está acontecendo. Ramirez A FTC afirmou na conferência recente que, "as empresas que não prestam atenção às suas práticas de segurança pode achar que a FTC." Ela citou um recente acordo alcançado com a agência TRENDnet, depois que um hacker conseguiu invadir ao vivo feeds de 700 de câmeras de segurança da empresa e torná-los disponíveis na Internet.
Mas não havia sanções financeiras relatadas em que a liquidação só que TRENDnet está impedido de deturpar que seu software é seguro, que deve abordar os riscos de segurança, ajudar os clientes a resolver o seu software e obter uma avaliação independente de seus programas de segurança anualmente por 20 anos.
E Schneier e Heffner disse que eles não viram nenhum progresso na melhoria da segurança. "O mercado simplesmente não está lá", disse Schneier em uma entrevista.
Heffner disse que é "muito encorajado por ações e envolvimento recente da FTC, e eu acho que é um passo na direção certa. No entanto, eu não posso dizer que eu já vi todas as mudanças radicais na segurança de sistemas embarcados mim mesmo. "
Há também uma variedade de pontos de vista sobre o que pode e deve ser feito.Hagins 'SmartThings disse que acha que antes de aumentar regulamentação da FTC, "nós, como uma necessidade da indústria para tomar uma rachadura em auto-regulação com um programa de certificação que é semelhante ao PCI-DSS (o programa de certificação para os cartões de crédito e e-commerce transação de segurança). "
Heffner é dúbia sobre a eficácia de tal iniciativa. "A Internet das coisas tem sido em torno de um longo tempo, apenas sem os anos de nome-e os fabricantes tiveram tolas para regular a si mesmos", disse ele. "Eu acho que é bastante claro que falhou. O que vai motivá-los de repente começar a regular-se agora? "
Heffner acrescentou que o cumprimento do PCI não garante a segurança também."Só porque você verificou todas as caixas, não significa que você não pode ser cortado", disse ele.

Patch Tuesday para a geladeira?

Hagins e Schneier ambos dizem se a segurança vai melhorar em dispositivos embarcados, não terá de ser uma maneira de fazer as atualizações ou patches para corrigir as vulnerabilidades. "A capacidade de atualizar o software, mesmo firmware integrado, é fundamental para a capacidade de lidar com as vulnerabilidades detectadas", disse Hagins.
"O grande problema é que não há nenhuma maneira de corrigir-los", disse Schneier ", e como essas coisas se proliferam, os hackers estão vendo que o melhor alvo não é o computador, mas o roteador (a forma como a maioria dos aparelhos domésticos se conectar à Internet) . "
Em última análise, mesmo que o consumidor não pode ser esperado para entender a segurança de software, especialistas esperam que ele vai tirar a pressão dos consumidores para o paradigma de segurança para mudar.
"Os consumidores pensam coisas é seguro, mesmo que ninguém lhes disse que é", disse McGraw. "Portanto, há um grande descompasso entre as expectativas implícitas de segurança e da situação real. Neste momento, eles estão muito empolgados sobre como TVs inteligentes são legais, mas quando suas expectativas descer em chamas, os consumidores ficam com raiva. E, em seguida, as empresas terão uma razão para responder. "
Uma vez que os consumidores a compreender os riscos de produtos inseguros, "eles vão votar com os pés quando se trata de comprar, recomendando, e utilização de dispositivos", disse Hagins.
Mas essa consciência pode vir a um preço doloroso. Schneier, perguntou se ele acha que vai demorar um alto perfil, corte catastrófico de dispositivos de consumo inteligente para forçar o mercado para tratar da segurança desses produtos, disse: "Infelizmente, acho que sim."


0 comentários Goocle+ 0 Facebook

Postar um comentário

 
Tudo Sobre Tecnologia © 2013-2020. Todos os direitos reservados. Tudo Sobre Tecnologia. Desenvolvido por TST
Topo