Algunos sitios, como este artículo sobre cifrado de extremo a extremo para IoT , sugieren que todo el tráfico enviado a través de la red de IoT debe cifrarse, diciendo:
Las empresas, agencias gubernamentales y otras organizaciones deberían adoptar [sic] una estrategia de "cifrar todo" para protegerse contra las infracciones habilitadas para IoT.
Puedo entender la necesidad de cifrar cualquier información que pueda ser confidencial, como los comandos para bloquear / desbloquear un dispositivo de 'bloqueo inteligente', pero ¿es realmente necesario cifrar todo , como el sensor que informa la lectura actual del termostato?
¿Es simplemente el caso de que "cifrar todo" impide que las personas se olviden de cifrar datos que realmente deberían cifrarse, o hay un beneficio real de usar la criptografía, a pesar de la potencia, el tiempo y el costo adicionales?
fuente
Respuestas:
Absolutamente porque:
El cifrado por sí solo no le permite confiar en los datos: un atacante puede modificar los datos cifrados incluso si no saben exactamente qué están modificando. Incluso la autenticación por sí sola no le permite confiar plenamente en los datos, ya que los datos auténticos pueden reproducirse. Necesita un protocolo que garantice la integridad de los datos.
fuente
El sensor informa que la lectura actual del termostato me parece muy privada. Un ladrón podría usar los datos para averiguar cuándo una persona está en casa. Después de que la casa fue robada, el propietario podría decidir que es una buena idea demandar al fabricante del termostato violando su privacidad y permitiendo así el robo.
¿Es este el tipo de riesgo legal que un fabricante del termostato quiere para sus productos? ¿Desea argumentar frente a un tribunal que está completamente bien que su empresa brinde a los ladrones la información que necesitan saber cuándo irrumpir en las casas de sus clientes?
fuente
Sí, existe la ventaja de cifrar todas las comunicaciones. No publicaría preguntar si hay alguna ventaja para cerrar su casa, ¿verdad?
No se trata de si, sino de cuánta ventaja puede haber.
Uno de los mayores expertos en seguridad Bruce Schneier , quien tiene un gran blog , por cierto, le dirá que no puede hacer las cosas totalmente seguras. Lo que puede hacer es hacerlos lo suficientemente seguros como para hacer que el costo de descifrarlos sea más que el beneficio de hacerlo.
En términos financieros crudos, si cuesta $ 100 entrar en algún lugar y obtener $ 5, el intruso potencial se disuade, a pesar de que es posible entrar.
En términos sociales crudos, si tengo una alarma visible, cámaras de seguridad, reflectores de activación de movimiento y una jauría de perros, un ladrón decidido podría entrar a mi casa. Pero si su casa de al lado se ve igual y no tiene tales detective ...
Puedes leer muchas de sus reflexiones en IoT, por Goggling para
Bruce Schneier iot
, incluyendoHecho aleatorio de Bruce Schneier # 81
fuente
Siempre es una elección del diseñador / desarrollador. Pero el uso de cifrado y otras medidas de seguridad se convierten en una necesidad en estos días.
Según un ejemplo, un intruso puede controlar el sensor que informa la lectura actual del termostato para enviarle señales falsas. (Pueden tener alguna estrategia para robarte al hacerlo, ¿quién sabe?)
Es posible que haya escuchado que no puede crear sistemas que no se puedan abrir . ¡Solo crea sistemas que son más difíciles de romper!
No importa qué pasos hayas tomado, todavía pueden romperlos. Por lo tanto, ¿por qué molestarse en tomar algunos pasos adicionales para hacerlo seguro?
fuente
Además de otras respuestas, si los datos se envían en texto sin formato, se pueden modificar.
Además de los problemas mencionados, la falsificación de datos puede causar (elevar el calor al máximo debido a que el termómetro acostado en medio del verano caluroso puede provocar un riesgo de incendio, por ejemplo) manipular los datos puede comprometer el dispositivo IoT y todo lo que accede a él (por Por ejemplo, su computadora portátil puede estar verificando la temperatura, pero la página HTML que muestra la temperatura podría reemplazarse en tránsito con virus informáticos diseñados para infectar su red interna, o los datos JSON podrían modificarse para entrar en la aplicación leyendo datos mal formados, etc.
No es que implementar la seguridad esté exento de riesgos, especialmente en el mundo de IoT. La seguridad es difícil, y su implementación generalmente aumenta enormemente la base de código y, con ello, la cantidad de errores (y, por lo tanto, posibles vectores de ataque / oportunidades de explotación). Los IoT rara vez reciben actualizaciones de firmware, por lo que cuando un dispositivo IoT sin actualización automática tiene un problema, es casi seguro que proporcionará a Botnets máquinas zombie adicionales.
Y sí, la actualización automática en sí no está exenta de problemas: desde problemas de privacidad hasta la posibilidad de que los malhechores tomen el control si no se implementan correctamente; pero debería ser un riesgo menor que esperar que su primer firmware no tenga errores de seguridad que permitan a los atacantes aumentar sus rangos de zombis.
fuente