Después de ataque de DDOS, senador busca estándares de seguridad basada en la industria para dispositivos de IoT

0
122

Masivo ataque distribuido de denegación de servicio de la semana pasada impulsó una concentración urgente en la necesidad de estándares de la industria condujo ciberseguridad para internet de dispositivos de cosas.

Senador Mark Warner, (D -Virginia) dijo el jueves que es partidario de una aproximación basada en la industria antes de buscar alguna forma de regulación del gobierno de la seguridad de IoT.

“Ataque de la semana pasada revelan un nuevo nivel de vulnerabilidad, y estoy tratando de hacerlo… claro que esto no es un problema que el gobierno debería ser el primer actor en problemas,” dijo en una entrevista telefónica.

Después de ataque de DDOS, senador busca estándares de seguridad basada en la industria para dispositivos de IoT

El senador Mark Warner (D-va.)


“IoT debe ser una zona donde la industria colabora y si pueden establecer normas en primer lugar, que es bueno”, dijo Warner.

Algún tipo de industria al día “sello de aprobación” o sistema de clasificación comparativa con respecto a la preparación de la seguridad de dispositivos de Internet puede ser eficaz, dijo.

“Si la industria puede llegar a estándares de seguridad como pasamos de 12 dispositivos de IoT millones a 34 billones en 2020, eso es muy importante,” dijo Warner.

Hoy en día, no hay mucho incentivo económico para fabricantes de dispositivos de Internet agregar protecciones de seguridad, añadió. “Security agrega costo, pero si no hay ningún beneficio económico, figura [fabricantes], ¿por qué hacerlo?”, dijo.

Tener algún tipo de estándar de la industria con un sello de aprobación de sistema o de rating sería alentar a las empresas y los consumidores a comprar dispositivos más seguros, creando así necesitan incentivo económico, Warner razonado.

Warner dijo que su personal ha estado hablando a gurú de seguridad largo plazo Peiter Zatko, también conocido como el hacker Mudge, sobre las posibilidades de clasificación comparativa para dispositivos de IoT.

Zatko dijo el viernes a través de un mensaje de Twitter que ha estado en contacto con la oficina de Warner sobre el concepto de calificaciones y encontrar Warner “mucho apoyo”. Sin fines de lucro Cyber independiente pruebas Lab de Zatko ofrece clasificaciones de informes del consumidor-estilo en el software, incluyendo para la IoT.

«Warner gustó particularmente [nuestras calificaciones] en lugar de sencilla ‘etiquetas de aprobación’, que puede incentivar a vendedores que no más que el mínimo y no permiten una evaluación del riesgo real y seguridad de varios productos que tienen o carecen de un sello tan opaco,» dijo Zatko.

Expertos han sugerido algunos requisitos básicos de seguridad que los fabricantes deben proporcionar. Incluyen un nombre de usuario único y una contraseña para cada dispositivo de IoT. En la actualidad, las contraseñas y nombres de usuario por defecto pueden encontrarse fácilmente por hackers para explotar un dispositivo. Otra recomendación es construir dispositivos de IoT por lo que pueden recibir automáticamente actualizaciones de software, incluyendo los parches de seguridad.

Ataque del viernes pasado utiliza la botnet de Mirai ampliamente disponible para atacar un estimado 100.000 IoT dispositivos tales como cámaras conectadas a internet. Los dispositivos fueron utilizados para servidores en el proveedor de DNS Dyn en un ataque distribuido-denegación de servicio (DDoS), llevando a las interrupciones para los usuarios de internet intentando acceder a los sitios más importantes de la inundación.

Warner, ex gobernador de Virginia, quien participó en el capital de riesgo para la industria de telecomunicaciones en la década de 1980, dijo que la falta de atención a la seguridad de IoT ha sido endémica durante décadas.

“Entramos en internet con la idea de cómo podemos obtener cobertura y capacidad de recuperación, pero lo que no creo que hemos pensado es seguridad. Seguridad no ha sido alta en los criterios de diseño,”dijo Warner.

“¿Cómo hacemos eso refrigerador IoT seguro por lo que puede decir comprar más leche si ataques DDoS por botnets son posibles? Tenemos este gran desafío potencial que se basa en toda una serie de otros problemas como robo de propiedad intelectual y cuestiones de seguridad nacional.”

Debido a la naturaleza del ataque, algunos expertos han especulado que los aficionados podrían han lanzado el ataque del viernes pasado, que de alguna manera podría ser más preocupante que si sofisticados a criminales o hackers de un gobierno extranjero participaron.

“Que sea un estado o un grupo de hackers adolescentes, revela un nuevo nivel de vulnerabilidad”, dijo Warner.

Warner ha tratando insegura IoT aparatos por un tiempo, con una carta a la Comisión Federal de comercio en junio. El martes, envió cartas sobre el ataque a la FTC y el Departamento de seguridad nacional y la Comisión Federal de comunicaciones.

En la carta a la FCC, Warner preguntó nueve preguntas, incluyendo si la FCC ha pedido al Instituto Nacional de estándares y tecnología acerca de la configuración de normas de seguridad. La carta pide que “Fabricantes debían acatar normas técnicas mínimas de seguridad?”.

Otra pregunta de Warner a la FCC que plantea la idea de que los proveedores de servicios de internet podrían negar el acceso de dispositivos de IoT inseguro a sus redes. En la entrevista, Warner dijo: “no estoy sugiriendo que violan los principios de neutralidad de la red, [pero]… tenemos que llegar por delante de este.”

Warner dijo que sus preguntas a la FCC y otros estaban destinadas sólo a aprender el mejor enfoque para reforzar seguridad de IoT. “Todavía estoy probando aprender sobre esto,” dijo. “es demasiado pronto para llegar a una conclusión”.

Un enfoque que favorece claramente es mejor educación ciudadana sobre ciberseguridad. “Creo que es bueno tener un conjunto claro de cyber apropiado higiene técnicas perforados en cada consumidor. Sería gran industria podría dar esas ideas de cómo deben actuar los consumidores.”

También tiene sentido, dijo, para que “Estados Unidos a tomar la iniciativa en esto, pero para asegurarse de que no crear un problema de poner productos americanos en desventaja”.

Uno de los problemas con el Gobierno establecer normas sobre la seguridad de Internet está haciendo la norma lo suficientemente flexible como para satisfacer las demandas futuras. “Si tuviéramos que establecer algún tipo de gobierno estándar, lo que queda flexible por lo que la norma puede cambiar el mes próximo debido a la sofisticación de los hackers?” Pidió a Warner.

Un experto en seguridad dijo que una posibilidad sería que los Estados Unidos prohibir la venta de los dispositivos más inseguros. “Regulaciones que prohíben la venta de dispositivos horriblemente garante en los Estados Unidos podrían causar proveedores fundamentalmente mejorar la seguridad de sus dispositivos para todos los que tienen un impacto global, porque fabricantes quieren ser capaces de vender a los Estados Unidos,” dijo Mark Dufresne, director de prevención investigación y adversario de amenazas en el proveedor de seguridad final.

Sin embargo, Dufresne dijo que es poco práctico para Warner sugerir que un ISP bloquear el acceso de un dispositivo a internet.

“Dispositivos vulnerables en todo el mundo,” él dijo. “Incluso si nos libramos de todos ellos en los Estados Unidos, no importa. El botnet es enorme y aún puede atacar sistemas de Estados Unidos. ISP no puede ser capaces de identificar los dispositivos downstream con confianza y podría pasar por alto algunos mientras que erróneamente algunos apagar.”

Después de ataque de DDOS, senador busca estándares de seguridad basada en la industria para dispositivos de IoT

Credit:

Thinkstock

LEAVE A REPLY