domingo, 5 de noviembre de 2017

Los retos en la gestión del riesgo en IOT



Resumen--- El internet a contribuido y evolucionado a una gran escala, lo que ha permitido que los seres humanos nos podamos comunicar desde cualquier parte del mundo con otras personas, de igual forma con dispositivos, y hoy por hoy permite la comunicación entre estos denominada máquina a máquina (M2M), conllevando a realizar un cambio a todas nuestras actividades diarias; pero la innovación no siempre trae buenas noticias, los ciberdelincuentes se aprovechan de las vulnerabilidades, fallos de seguridad y malas configuraciones de t los dispositivos que utilizamos para interconectarnos, con el fin de realizar su actividad criminal, como lo visto en el mes de octubre del año pasado con la botnet Mirai que desestabilizo los servicios de DNS que provee la empresa Dyn, viéndose afectados muchos de sus clientes como Netflix, GitHub, Spotify, Twitter entre muchos otros.

Palabras claves--- IoT, IoE, M2M, Mirai, protocolos.


I. INTRODUCCIÓN

El presente ensayo tiene como finalidad conocer un poco de la historia del IoT, los diferentes campos en que se emplea, conocer varios de los protocolos que permiten la comunicación entre los mismos dispositivos y las personas, diferentes peligros a los que estamos expuestos, los retos y trabajos futuros con IoT.
El internet de las cosas (IoT) o el Internet de todo (IoE) ha permitido comunicar a las personas con las máquinas (M2P), a las máquinas con las máquinas (M2M), así como la extensión de esta con las personas (P2P), mejorando la interacción y acceso a la información de una forma más ágil y rápida. [1]
IoT nos permite realizar estudios de comportamientos, que nos llevan a tomar decisiones en tiempo real para predecir o prevenir un fenómeno, como por ejemplo realizar un monitoreo del tráfico vehicular en un sector en específico.
Debido al crecimiento de la población para el año 2020 existirán 7,6 mil millones de personas, por lo que Cisco prevé que en este mismo año existirán 50 mil millones de dispositivos conectados, conllevando a que los riesgos, amenazas y vulnerabilidades de seguridad, y privacidad crezcan más. [2]
Estas grandes cantidades de dispositivos, nos exigirán pasar a IPv6. [2]

Figura 1. Internet de las cosas

Fuente: Cisco IBSG, abril de 2011

II. HISTORIA

“Cuando lo inalámbrico esté perfectamente desarrollado, el planeta entero se convertirá en un gran cerebro, que de hecho ya lo es, con todas las cosas siendo partículas de un todo real y rítmico… y los instrumentos que usaremos para ellos serán increíblemente sencillos comparados con nuestros teléfonos actuales. Un hombre podrá llevar uno en su bolsillo” [3], frase que, si la traemos a la actualidad podemos observar que el gran Tesla no estaba nada equivocado y más aún que la mayor parte de la población mundial lleva en su bolsillo un teléfono.
Así mismo el grandioso Alan Turing, emitió un concepto en el año 1950: “…también se puede sostener que es mejor proporcionar la máquina con los mejores órganos sensores que el dinero pueda comprar, y después enseñarla a entender y hablar inglés. Este proceso seguirá el proceso normal de aprendizaje de un niño” [3], ciencia que conoceríamos 60 años después como Machine Learning. [4]
La primera vez que se escuchó la palabra Internet de las cosas, ocurrió en el año 2009 cuando el profesor Kevin Ashton del Instituto de Tecnológico Massachusetts (MIT), en una de sus muchas conferencias expuso: “Si tuviésemos ordenadores que fuesen capaces de saber todo lo que pudiese saberse de cualquier cosa –usando datos recolectados sin intervención humana– seríamos capaces de hacer seguimiento detallado de todo, y poder reducir de forma importante los costes y malos usos. Sabríamos cuando las cosas necesitan ser reparadas, cambiadas o recuperadas, incluso si están frescas o pasadas de fecha. El Internet de las Cosas tiene el potencial de cambiar el mundo como ya lo hizo Internet. O incluso más.” [4], a raíz de este término se le comienza a nombrar a todos los dispositivos y sensores electrónicos IoT; Ashton además es conocido por ser el creador del sistema global estándar para RFDI (Identificación por radiofrecuencia). [5]
El IoT o IoE le da vida a los objetos, permitiendo que estos puedan observar, escuchar, aprender, pensar y ejecutar acciones de acuerdo a la información que comparten, conllevando a que trabajen de manera coordinada para la toma de decisiones.

Figura 2. John Romkey conectando una tostadora a Internet 1990

Fuente: www.livinginternet.com/i/ia_myths_toast.htm

Dentro de la historia, se tiene que el primer objeto que se conectó a internet fue una tostadora que se podía encender y apagar en remoto, demostración que se realizó en el evento llamado Interop en EEUU en el año 1990 por el profesional en Ciencias de la Computación John Romkey, dispositivo que se conectaba a través del protocolo TCP/IP. [3]

III. CAMPOS DE ACCIÓN Y USOS

IoT ofrece una infinidad de servicios y usos en sectores como: restaurantes, hoteles, vehículos, agricultura, ganadería, Smart Cities, Smart Home, jardinería, salud, wereables, Smart Grid, deportes, infraestructuras críticas, comercio, logística en bodegas, transporte, entre muchas otras. [5]
Por ejemplo, a las Smart Cities se están vinculando sectores como la policía y judiciales, para hacer uso de las cámaras de vigilancia y la Big Data con el fin de estudiar el comportamiento de las personas y sacar perfiles de ciudadanos que sean potencialmente peligrosos o que vayan a cometer un delito, Colombia no ha sido la excepción y actualmente se encuentran trabajando en este proyecto. [5]
En la agricultura se emplean sensores de humedad y clima, para el sembrado y cuidado de los cultivos de uvas. [1]
Algunos restaurantes poseen múltiples dispositivos conectados a internet, como lo son: las cafeteras, neveras, estufas, hornos microondas, ollas, entre otras.
En el sector automotriz, a muchos vehículos en especial de alta gama se le instalan computadores que poseen conectados diversos sensores y aparatos que permiten saber el estado mecánico del vehículo, los cuales se pueden administrar desde el Smartphone del propietario.
Hoy en día se encuentran muy de moda las casas inteligentes, donde emplean objetos como una nevera que te avisa los productos que te hacen falta o cuales están próximo a vencerse, una cafetera que puedes programar inmediatamente sales del trabajo, para cuando llegues a casa ya esté listo el café.
En el sector salud por ejemplo se emplean dispositivos que le permiten al médico realizar una atención personalizada sin tener al paciente cerca, sensores que permiten monitorear la presión o glucosa sincronizados con relojes inteligentes o computadores para tener un antecedente por horas y días.
Son infinidades de usos, prácticamente en el cargo o labor que nos desempeñemos podemos utilizar al menos un dispositivo de IoT para optimizar nuestras labores.

IV. PROTOCOLOS

IoT hace uso de protocolos existentes hace varios años, así como otros que han ido surgiendo de acuerdo a las necesidades, la mayoría presentan una gran compatibilidad con la Raspberry Pi y Arduino.
Los protocolos más usados son: Wi-fi, NFC, LoRa WAN, BLE, ZigBee, Z-WAVE, Thread, IPSec, 6LoWPAN, RFID, Bluetooth, CoAP, MQTT, XMPP, GPRS, LTE, 4G, WiMAX, Wireless hart, entre otros. [7]
Varios de estos protocolos se encuentran regulados bajo los estándares IEEE 802.11 e IEEE 802.15.4 [7] [8]

V. PELIGROS, A QUÉ NOS ENFRENTAMOS?

Como lo mencionamos en la introducción, los ciberdelincuentes se han inclinado por atacar el IoT debido a su auge y ser atractivos por la cantidad de dispositivos conectados, aprovechando las principales vulnerabilidades que poseen la mayoría de estos, las cuales podemos observar en la siguiente tabla publicada oficialmente por OWASP en su Top 10.

Figura 3. OWASP Top 10 vulnerabilidades IoT

Fuente: www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

Como casos relevantes hemos tenido la botnet Mirai, de la cual ha sido publicado su código y lo han aprovechado para realizar modificaciones y hacerlo mucho más potente, al mirar algunas de sus líneas se puede observar que la principal vulnerabilidad que se aprovechó en los dispositivos, fueron los nombres de usuario y contraseñas por defecto. [8]
No todos los daños a los dispositivos IoT viene de los ciberdelincuentes, pues este año hemos visto el caso de la empresa LockState que, al lanzar una actualización del firmware de un modelo de cerraduras fabricadas por ella, cometieron un grave error de publicarla para el modelo equivocado, conllevando a que cientos de estas quedaran inutilizadas. [9]
En los últimos días han salido varias noticias relacionadas con las múltiples vulnerabilidades que poseen diversas marcas y modelos de marcapasos, dispositivos que serían demasiado peligrosos de llegar a ser atacados y/o ser tomado el control por un delincuente informático, pues estaría jugando con la vida de miles de personas que actualmente tienen instalado uno de ellos. [10]
A muchas casas fabricantes les interesa solo vender el producto y no le prestan el más mínimo interés a la seguridad y privacidad, la seguridad se debe implementar desde que se está desarrollando y no después de que sale al mercado.
Otro gran problema es que existen dispositivos a los que el usuario no puede tener acceso para cambiar su configuración e instalar actualizaciones a su firmware.

VI. RETOS Y TRABAJOS FUTUROS

A continuación, daré a conocer cuales creo yo que son los retos y trabajos futuros en los que nos debemos enfocar los profesionales de seguridad, industria de IoT, Gobierno y usuarios.
En el mercado existen numerosos productos a precios muy económicos y de dudosa fabricación, que al momento de un incidente o falla no tendremos donde pedir una garantía o un soporte, por lo que se debe trabajar desde la parte de gobierno para crear normas que conlleven a que todas estas empresas fabricantes estén reguladas y controladas, garantizando que el producto que va a salir al mercado se encuentra libre de vulnerabilidades conocidas.
De igual forma se debe modificar desde la parte penal, el tema de los delitos informáticos donde se incluyan los cometidos con dispositivos y sensores de IoT.
Desde la industria se debe trabajar también en el tema de investigación para la creación de dispositivos auto sostenibles, específicamente la fuente de energía y establecer protocolos estándar.
Así mismo debe existir una educación hacía la industria y el usuario, pues es este último quien no se preocupa por realizar una configuración segura de sus dispositivos y los deja expuestos.
El IoT almacena y comparte información entre otros dispositivos y las personas, lo que conlleva a que mucha de esta información ante la comisión de un hecho punible pueda hacer parte o catalogarse como evidencia digital, por lo que se hace necesario crear modelos, software y hardware que permitan la recolección de evidencia en los mismos.
Desde la parte de los profesionales en seguridad, se deben crear modelos y uso de herramientas para la realización de Ethical Hacking y Pentesting enfocado a IoT, trabajando de la mano con OWASP y su top 10 de vulnerabilidades.

CONCLUSIONES

Pienso que no se han creado nuevos problemas de seguridad, sino que estos han ido evolucionado a razón de los millones de dispositivos conectados, los protocolos usados, las aplicaciones web y aplicaciones móviles existentes para su administración, que en ocasiones se desarrollan con código reutilizable y vulnerabilidades no corregidas.
El reto es inmensamente grande y aún no nos encontramos preparados para las actividades criminales que se puedan llevar a cabalidad con un dispositivo mal configurado, infectado o con posesión de un ciberdelincuente.

REFERENCIAS

[1]
Cisco , "Cisco Networking Academy," 2016. [Online]. Available: www.netacad.com. [Accessed 10 Septiembre 2017].
[2]
D. Evans, "Cisco," Cisco Internet Business Solutions Group (IBSG), Abril 2011. [Online]. Available: https://www.cisco.com/c/dam/global/es_mx/solutions/executive/assets/pdf/internet-of-things-iot-ibsg.pdf. [Accessed 10 Septiembre 2017].
[3]
B. Cendón, "Pensamientos y tecnología," 17 Enero 2017. [Online]. Available: http://www.bcendon.com/el-origen-del-iot/. [Accessed 10 Septiembre 2017].
[4]
P. S. Pandey, "Machine Learning and IoT for prediction and detection of stress," IEEE 17th International Conference on Computational Science and Its Applications (ICCSA), Trieste, 2017.
[5]
LG CNS, "LG CNS Blog," 22 Abril 2015. [Online]. Available: http://www.lgcnsblog.com/features/entrue-world-2015-kevin-ashtons-keynote-speech/. [Accessed 10 Septiembre 2017].
[6]
N. Dragoni, A. Giaretta and M. Mazzara, "The Internet of Hackable Things," arXiv:1707.08380, Suecia, 2017.
[7]
N. Alvaro, "BID Mejorando vidas," 28 Julio 2017. [Online]. Available: https://blogs.iadb.org/sinmiedos/2017/07/28/sirve-big-data-prevenir-crimen-esperamos-averiguarlo-6-ciudades-colombia/. [Accessed 13 Septiembre 2017].
[8]
D. Dragomir, L. Gheorghe, S. Costea and A. Radovici, "A Survey on Secure Communication Protocols for IoT Systems," IEEE International Workshop on Secure Internet of Things (SIoT), Bucharest, 2016.
[9]
V. Deep and T. Elarabi, "Efficient IEEE 802.15.4 ZigBee Standard Hardware Design for IoT Applications," IEEE International Conference on Signals and Systems (ICSigSys), Sanur, 2017.
[10]
J. A. Jerkins, "Motivating a Market or Regulatory Solution to IoT Insecurity with the Mirai Botnet Code," IEEE 7th Annual Computing and Communication Workshop and Conference (CCWC), Florence, 2017.
[11]
J. Mendiola, "Engadget es," 19 August 2017. [Online]. Available: http://es.engadget.com/2017/08/19/cerraduras-electronicas-seguras/. [Accessed 13 Septiembre 2017].



Los retos en la gestión del riesgo en IOT

Resumen--- El internet a contribuido y evolucionado a una gran escala, lo que ha permiti...