LOGOTD2016 2

Lunes 23 de Septiembre de 2019

+57(1) 361 87 14

Los proveedores de IoT ignoran las mejores prácticas de seguridad básicas, según la investigación de CITL

Los proveedores de IoT ignoran las mejores prácticas de seguridad básicas, según la investigación de CITL

 

Activar las funciones de seguridad en tiempo de compilación es fácil. Entonces, ¿por qué no lo hacen más fabricantes de dispositivos IoT?

 

Agregar marcas para las características de seguridad al crear binarios de firmware de IoT mejoraría drásticamente la seguridad de los dispositivos de IoT en todos los ámbitos. Casi nadie lo está haciendo, y el problema está empeorando, no mejorando, según una nueva investigación del proyecto de difusión masiva CITL .

 

Es muy fácil de hacer ... No hay una buena razón para no hacerlo, y simplemente no molestan.


Cyber ​​ITL es un laboratorio de seguridad sin fines de lucro al estilo de Consumer Reports que hasta ahora ha automatizado el borrado de más de tres millones de binarios de firmware de IoT lanzados en los últimos 15 años . Sus resultados son desalentadores.

 

"Es muy fácil de hacer", la científica en jefe de CITL Sarah Zatko le dice a CSO sobre la falla de los vendedores de IoT para activar las características básicas de seguridad en tiempo de compilación. "No hay una buena razón para no hacerlo, y simplemente no molestan".

 

"No creo que estén descuidando hacerlo a propósito", agrega. "Este no es realmente un caso en el que alguien tomó la decisión consciente de excluir estas características de seguridad. Más bien como negligencia benigna. A alguien no se le ocurrió que ese era su trabajo".

 

¿Es hora de una lista de verificación posterior a la compilación?


Los proveedores de IoT podrían activar fácilmente estos indicadores de seguridad en tiempo de compilación y verificarlos como parte de su proceso de administración de versiones. Una buena higiene de compilación incluye verificar si hay una versión más reciente del compilador y asegurarse de habilitar indicadores de seguridad básicos como ASLR, DEP y guardias de pila. Si bien ninguna de estas mitigaciones de seguridad es mágica, sirven como airbags y cinturones de seguridad del mundo de IoT. Tal vez no eviten un choque, pero podrían salvarte la vida.

 

Requiere un par de horas de trabajo de ingeniería, un día como máximo, dice Zatko. "Si hay algún caso marginal extraño en el que una combinación particular de sistema operativo y chips por alguna razón, podría convertirse en un problema más complicado, pero en su mayor parte debería ser realmente simple".

 

Debido a que las consecuencias de un pobre compuesto de higiene de construcción a medida que continuamos implementando dispositivos IoT inseguros, los proveedores deben comenzar a verificar qué pruebas de control de calidad posteriores a la construcción están haciendo, o pueden verse regulados para hacerlo.

Dado que el mercado libre hasta ahora no ha logrado alentar una conducta tan responsable por parte de los vendedores, uno se pregunta cuánto tiempo antes de que un receso de clase provoque una mala regulación de rodilla, como teme Bruce Schneier .

 

Seguridad de IoT: ¿mercado libre o regulación?


Hasta ahora, el mercado libre no ha logrado crear incentivos para que los proveedores envíen productos con una fuerte seguridad cibernética, pero Zatko tiene la esperanza de que los grandes compradores puedan marcar la diferencia. "El mercado libre por sí solo no está haciendo mucho", admite, "la aguja no se ha movido en 15 años ... Si las personas que toman grandes decisiones de compra comenzaron a hacer preguntas sobre la seguridad de la construcción, eso podría influir en las prácticas de los proveedores Las organizaciones empresariales, las organizaciones gubernamentales compran muchos productos de IoT ".

 

"[Los compradores] generalmente tienen una lista de verificación de las preguntas de seguridad que hacen antes de firmar un nuevo acuerdo", dice Zatko. La inclusión de preguntas de seguridad de construcción en esa lista de verificación obligaría al vendedor a verificar realmente, y también les informaría a los vendedores que los grandes compradores se preocupan por la seguridad de construcción.

 

Problemas de seguridad del firmware de IoT


La investigación de CITL arrojó algunas sorpresas: los puntos de falla en cascada que los proveedores de IoT deberían conocer. Los compiladores y las cadenas de herramientas de firmware, como buildroot, son dependencias clave ascendentes que podrían hacer un mejor trabajo al señalar problemas de seguridad para los desarrolladores en el momento de la compilación. Además, MIPS sigue siendo una cosa y necesita un manejo especial.

 

Mucha gente ha asumido erróneamente que MIPS está saliendo, pero la arquitectura de hardware ha regresado en el espacio de IoT, y de hecho fue la arquitectura más común que encontró CITL durante su ejercicio de fuzz masivo. Descubrieron que el problema es que no todas las arquitecturas son iguales desde el punto de vista de la seguridad.

 

"Mucha gente piensa que si tomas el mismo código fuente y lo mueves a un chip diferente o a una arquitectura diferente, se mantendrán las mismas características de seguridad", dice el director interino de CITL, Tim Carstens, "pero eso realmente no es cierto". Se debe tener en cuenta toda la imagen cuando se trata de seguridad ".

 

Resulta que habilitar las marcas de tiempo de compilación ASLR y DEP para las compilaciones MIPS de Linux no funciona correctamente , y podría pasar años antes de que el problema se solucione, se implemente y se repare universalmente (si es que lo hace). "Los binarios MIPS de Linux han sido más fáciles de explotar a través de ataques clásicos de desbordamiento de pila durante más de una década, y siguen siéndolo de acuerdo con nuestro examen de los parches de la cadena de herramientas", dice el informe de CITL.

 

Peor aún, parece que hay una gran cantidad de reutilización de código irreflexiva en el espacio de firmware de IoT, y todos suponen que alguien más realizó la auditoría de seguridad. "Cuando echamos un vistazo a diferentes productos, muchos tenían un conjunto de binarios en común", dijo Carstens a CSO. "Que hay una indicación de que muchos proveedores diferentes están utilizando los mismos marcos para construir sus plataformas de IoT".

 

Los valores predeterminados de seguridad sensibles en la interfaz de usuario del desarrollador, tanto para los compiladores como para las cadenas de herramientas de compilación de firmware, fluirían aguas abajo y afectarían a los proveedores que usan esos productos, y a los millones de personas que usarán esos dispositivos.

 

"Los propios compiladores podrían proporcionar mejores informes sobre qué características de seguridad se implementaron, una especie de 'información nutricional' al final del proceso de compilación", dice Zatko. "Sería muy fácil para un compilador proporcionar esa transparencia y proporcionar una mejor retroalimentación a los desarrolladores sobre lo que se acaba de producir".

 

Fuente: itworld.com

 
 
 
seo plugin e-max.it

Acceso

Suscripción

Términos y Condiciones

Somos una empresa conformada por un equipo de profesionales y técnicos capacitados permanentemente en las diferentes áreas de la tecnología, con el fin de estar al día en los continuos adelantos y cambios en la normalización y ajuste de procesos y procedimientos exigidos por los diferentes entes en las entidades estatales y públicas, “y de esta manera garantizar un excelente servicio.”

COPYRIGTH 2013 TD TECHNODIGITAL SAS. Prohibida su reproduccion total o parcial, asi como su traduccion a cualquier idioma sin autorizacion escrita de su titular.

Desarrollado por TD-TECHNODIGITAL SAS

 

CONTACTO

Calle 26b No 12i 30 

Bogota - Colombia

tdtechnodigital@tdtechnodigital.com

Tel: 361 87 14  Cel: 312-5463451 / 311-8739800