¿Qué pasaría si pudiera comparar la seguridad en los dispositivos de IoT, equivalent a las etiquetas nutricionales, antes de comprarlos? Una organización está tratando de que eso suceda.
Karen Roby de TechRepublic habló con Lorrie Cranor, directora y profesora distinguida de Bosch en tecnologías de seguridad y privacidad de CyLab y profesora de informática y de ingeniería y políticas públicas de FORE Devices en la Universidad Carnegie Mellon, sobre la seguridad en los dispositivos de World wide web de las cosas (IoT) para Mes de la Concienciación sobre Ciberseguridad. La siguiente es una transcripción editada de su conversación.
VER: Política de protección contra robo de identidad (TechRepublic Quality)
Karen Roby: Octubre es nacional Mes de concientización sobre ciberseguridad. Creo que es genial que cada año esto gane más y más tracción a medida que más personas comienzan a comprender la importancia de la ciberseguridad e intentan incluso comprender cómo mantenerse seguros a sí mismos o a sus empresas. Una de las cosas más importantes en las que ha investigado mucho y en las que está trabajando ahora es Etiquetas de privacidad de IoT. Comencemos con lo que son y cómo crees que esto ayudará a la gente.
Lorrie Cranor: Una de las cosas que hemos observado es que existen muchas preocupaciones sobre la seguridad y la privacidad de los dispositivos de IoT. Lo escuchas en las noticias. Y luego, si vas a la tienda y recoges uno de estos dispositivos y miras la caja, no hay información sobre seguridad o privacidad. Incluso si compra en línea, puede comparar todo tipo de funciones, pero en realidad no hay nada sobre seguridad y privacidad.
Entonces, pensamos, bueno, ¿qué pasaría si estas cajas de dispositivos de IoT tuvieran etiquetas como la etiqueta de nutrición alimentaria en una lata de frijoles que le informaran sobre el tipo de nutrición de seguridad y privacidad de estos artículos? Entonces, intentamos diseñar uno. Hicimos algunos estudios de consumidores. Los consumidores pensaron que period una gran strategy, pero no sabían lo que no sabían. No sabían qué información debería estar en estas etiquetas.
Hicimos un estudio de expertos. Recibimos mucha información excelente de expertos y diseñamos nuestra etiqueta. Y la forma en que funciona, es una etiqueta de dos capas. En el empaque o en el sitio website se encuentra solo la información más importante. Y luego hay un código QR en un enlace en el que puede hacer clic para obtener todos los detalles sangrientos si es un experto o si desea ver todos esos detalles.
VER: Ingeniería social: una hoja de trucos para profesionales de negocios (PDF gratuito) (TechRepublic)
Karen Roby: Creo que lo que acabas de decir realmente golpea algo que realmente me resonó. La gente ni siquiera sabe lo que no sabe. No tienen plan de lo que debería ser importante cuando compran estos dispositivos que están colocando en sus casas, pero no tienen ni idea.
Lorrie Cranor: Es por eso que pensamos que vamos a resaltar algunas de las cosas importantes. Algunas de las cosas más importantes son: ¿Qué tipo de handle de acceso tiene? ¿Alguien puede simplemente venir con su teléfono y comenzar a programar sus dispositivos? ¿O puede establecer una contraseña para bloquear a las personas que no forman parte de su familia? Eso es importante.
También analizamos qué información recopilan y la están subiendo a World wide web. ¿O lo comparten con otras empresas? ¿Le están dando los anuncios de destino basados en la información que observa su bombilla?
Luego, en el lado de la seguridad, también es importante saber si recibe actualizaciones de seguridad. Si encuentran una vulnerabilidad, ¿su dispositivo será pirateado? ¿O se instalará automáticamente la última actualización de seguridad?
Karen Roby: Cuando se habla de los fabricantes que están del otro lado de esto, ¿cómo es la reacción? Obviamente, no ha encuestado a todas las empresas que fabrican los dispositivos, pero ¿cuál es su posición al respecto?
Lorrie Cranor: Hemos estado tratando de hacer correr la voz y estamos empezando a despertar cierto interés por parte de los fabricantes. Hasta ahora, esto sigue siendo solo un prototipo y no está disponible. Entonces, si alguien de una empresa está escuchando y le gustaría ponerse en contacto con nosotros, nos encantaría publicarlo y hacer algunas pruebas piloto.
VER: 5G: lo que significa para IoT (PDF gratuito) (TechRepublic)
Karen Roby: Estos dispositivos IoT, Lorrie, la gente simplemente los está devorando y usándolos en todos sus hogares y negocios. ¿Crees que la gente realmente tiene alguna concept con los dispositivos IoT del poder que tienen en cuanto a ser vulnerables y abiertos?
Lorrie Cranor: Creo que la mayoría de la gente realmente no piensa en eso. Compran estos dispositivos porque son convenientes, geniales y divertidos y, «Oh, mira, puedo presionar un botón y hacer que mis luces sean moradas». No creo que hayan pensado mucho en los problemas de seguridad o privacidad. Sin embargo, hay otras personas con las que hablo que dicen: «Oh, sí, nunca compraría estas cosas porque no tengo concept de lo que va a pasar. Y simplemente me asustan».
Karen Roby: Definitivamente también escucho mucho de eso, del otro lado. ¿Cuál es su objetivo para convertir esto en un estándar de la industria algún día? ¿Es eso lo que estás mirando?
Lorrie Cranor: Si. Quiero decir, esperamos que se convierta en una especie de estándar de la industria para que pueda ver el paquete de dispositivos similares y ponerlos uno al lado del otro y hacer esa comparación porque la información está en el mismo formato. en todos los paquetes.
Karen Roby: Eso lo haría más fácil de usar. Quiero decir, sabemos que puedes comparar una caja de pasta, dos marcas diferentes. Sabes exactamente lo que estás tratando de buscar, si son calorías o lo que sea. Pero nuevamente, pones dos dispositivos diferentes cuando estás en Finest Get y no tienes concept.
Lorrie Cranor: Es muy difícil de hacer. De hecho, tenemos un prototipo de una pequeña aplicación que nuestros estudiantes armaron donde usted puede tomar su teléfono, escanear esos dispositivos en Very best Obtain y le dirá cuál es la diferencia entre ellos en seguridad y privacidad. Eso sería muy conveniente. O cuando haces una búsqueda en Amazon, o lo que sea, puedes clasificarlos en función de la seguridad o la privacidad y cosas así.
Karen Roby: Antes de que lo dejemos ir aquí, siendo el mes nacional de Concientización sobre Ciberseguridad, y el trabajo que hacen, y la investigación es algo tan importante que gira en torno a mantener a las personas seguras y sus datos y seguridad desde todos los puntos de vista. Hemos estado hablando de contraseñas desde siempre y todavía nunca deja de sorprenderme que algunas personas tengan la contraseña 123 o ese tipo de cosas. ¿Crees que hemos progresado a partir de eso? ¿O todavía estamos atrapados en este modo? Bueno, mis empleados todavía no usan contraseñas seguras, así que ahí vamos. Estamos siendo violados de nuevo.
Lorrie Cranor: Todavía tenemos un gran problema con las contraseñas. Creo que con el tiempo, la gente está aprendiendo que necesitan tener dígitos en sus contraseñas y cosas así. Pero todavía no están siendo tan inteligentes al respecto. Todavía estamos viendo personas que dicen: «Bueno, tengo que tener un dígito, así que pondré uno al ultimate», lo que realmente no hace que su contraseña sea segura.
Es realmente difícil para las personas porque se les pide que creen tantas contraseñas diferentes. Y lo correcto es hacer que todos sean únicos, pero es difícil para la gente hacer un seguimiento de ellos. Entonces, el consejo que le doy a la gente es que use un administrador de contraseñas. De esa manera, puede hacer que su administrador de contraseñas cree contraseñas aleatorias para usted, que las recuerde todas por usted, y luego no tendrá que recordarlas y almacenará sus contraseñas de forma segura.
Karen Roby: Eso ha sido de gran ayuda para mí, porque los estaba olvidando constantemente y tenía que volver atrás y restablecerlos. Y definitivamente se quita una carga y allí también pueden haber contraseñas realmente fuertes. ¿Qué pasa con la autenticación de dos factores? Quiero decir, ¿dónde ves que estamos en lo que a autenticación se refiere?
Lorrie Cranor: Creo que la autenticación de dos factores también es excelente y es una capa adicional. Incluso si su contraseña es violada, si tiene autenticación de dos factores, será mucho menos probable que tenga un problema porque el atacante tendrá que atravesar ambas capas. Cuando tenga la oportunidad de registrarse para la autenticación de dos factores para una cuenta, es una buena plan hacerlo.
VER: Apple View Collection 6: una hoja de trucos (PDF gratuito) (TechRepublic)
Karen Roby: Cuando se trata de ciberseguridad, estoy seguro de que podría hablar de ello durante días, y la cantidad de investigación que están haciendo es realmente fenomenal. Si tuviera que decir, dentro de cinco años, mirando hacia el futuro, en lo que respecta a la ciberseguridad, ¿qué espera? ¿Esperas que todos estén más conscientes? ¿Que tenemos más gente entrando en el campo de la ciberseguridad? ¿Qué esperas para el futuro cuando se trata de esto?
Lorrie Cranor: Creo que el campo de la ciberseguridad es un gran campo y me gustaría ver a más personas participar, más personas diversas. También espero que podamos desarrollar herramientas que sean inherentemente seguras y fáciles de usar para que el usuario remaining no tenga que ser un experto en seguridad para estar seguro.
Karen Roby: Eso seria genial. Y ciertamente, la demanda está ahí, Lorrie también. Espero que muchas personas más jóvenes, ya sea que estén en la escuela secundaria y estén involucradas en STEM o lo que sea, comiencen a ver el gran campo que es y la demanda de estos trabajos. Seguro que está ahí.
Lorrie Cranor: Seguro.
Ver también
Karen Roby habló con Lorrie Cranor, directora del Instituto de Privacidad y Seguridad CyLab y la Universidad Carnegie Mellon, sobre la seguridad en los dispositivos de Web de las Cosas (IoT) para el Mes de la Concientización sobre la Ciberseguridad.
Imagen: Mackenzie Burke
