Gli hacker amano l'Internet delle cose perché la sicurezza non vende tostapane

La frase "Data Breach" non è arrivata nel linguaggio comune, ovvero "un numero considerevole di ricerche mensili su Google", fino a novembre 2013, quando 110 milioni di carte di pagamento dei clienti sono state esposte da una violazione dei dati di Target. Ora capiamo non solo che le nostre informazioni sono vulnerabili, ma che sono vulnerabili da tutte le parti. Ciò che era vero per Target ora è vero per Barbie Dolls, servizi igienici, macchine per la risonanza magnetica e il sistema di trasmissione di emergenza: queste cose possono essere violate. Questo è il motivo per cui i media si sono innamorati di storie su come i nuovi prodotti potrebbero essere hackerabili o facilmente compromessi. Queste storie sono tanto preveggenti quanto invariabilmente confuse. Dopo tutto, è difficile analizzare cosa significhi "vulnerabile" nell'età della violazione.

Proviamo perché ce ne sono molte altre in arrivo.

Le autostrade digitali che collegano il mondo ora si collegano a strade panoramiche che vanno ovunque. Stiamo aumentando di 30 volte il numero di dispositivi connessi a Internet nei prossimi cinque anni: 26 miliardi di dispositivi online. Non si tratta più solo di smartphone e computer, ma di eleganti maniglie delle porte, termostati, lampadine e altro ancora. Mentre non ci sono necessariamente dati digitali preziosi da rubare da una maniglia della porta collegata a Internet, c'è molto materiale da rubare da casa se qualcuno impara a girarlo. Alcune volte questo processo è spiacevolmente facile per gli esperti.

Dan Guido, CEO di Trail of Bits, responsabile della ricerca e sviluppo della cybersecurity, suggerisce che questo è dovuto a un problema sistemico nella tecnologia contemporanea. Considera il tuo computer o il sistema operativo dello smartphone. Ci sono nuove patch e aggiornamenti rilasciati tutto il tempo per Windows, OS X, iOS e simili. Ognuno di questi aggiornamenti serve a correggere bug assortiti, per quanto invisibili possano essere per il consumatore, e ognuno di essi rappresenta un'opportunità di exploit.

"Non arrivi mai alla fine," disse Guido. "Continuano a sistemare e aggiustare le cose, ma c'è un limite illimitato di vulnerabilità che le persone possono trovare". Il problema fondamentale, dice, è che le persone non stanno costruendo software per essere sicuri fin dall'inizio; c'è troppa enfasi sulla creazione di prodotti rapidi e affidabili - la sicurezza rimane un ripensamento.

Si scopre che la cosa più vicina a un osservatore di sicurezza digitale è la FTC, che negli ultimi anni si è rafforzata per ritenere le aziende responsabili delle loro richieste di sicurezza. Se una società fa affermazioni sulla sicurezza dei suoi prodotti che non reggono, deve far fronte a multe. Ciò potrebbe intimidire alcune aziende più piccole, ma la storia ci dice che i consumatori hanno una memoria corta sui problemi di sicurezza, quindi il mercato tende a risparmiare la sferza. Le aziende spendono tempo e denaro in velocità e convenienza perché in fin dei conti ciò che i consumatori vogliono. La sicurezza sembra essere importante quando fallisce. Questo approccio potrebbe essere meglio riassunto come "nessun danno, nessun fallo".

Questo è un problema perché rende l'innovazione come una proposta pericolosa.

Guido sostiene che molti dispositivi Internet of Things sono così facili da hackerare che i tirocinanti della sua azienda li ripropongono spesso per i loro progetti. "Se vuoi entrare in un iPhone o in Internet Explorer, ci vogliono mesi di sforzi. Se vuoi entrare nell'ultima scala abilitata Wi-Fi, ci vuole una settimana senza esperienza. "La violazione dei moderni dispositivi IoT è così insignificante nel mondo della sicurezza della rete che è stata definita" junk hacking ".

"Il progresso della sicurezza non sta realmente accadendo", spiega Guido, suggerendo che si tratta di un problema di educazione. "Fornire strumenti e incentivi migliori per la sicurezza nell'educazione informatica potrebbe fare la differenza. Dovrebbero esserci standard di sicurezza per il codice che gli studenti consegnano, ma al momento è difficile per un insegnante valutare la sicurezza."

Il punto di partenza della critica di Guido: tutto è vulnerabile, ma specifiche specie di dispositivi sono più suscettibili di incursioni di successo. Qualunque cosa sia nuova, pubblicizzata o altamente iterativa rischia di essere particolarmente vulnerabile, così come i prodotti bootstrap e qualsiasi prodotto tecnologico che trae valore sfruttando un marchio non tecnologico. Questo dovrebbe essere motivo di preoccupazione o mancanza di spazio tra i consumatori? Dipende. Se il pomello della tua maniglia ha un legittimo problema di sicurezza, il tuo tostapane hackable rappresenta un potenziale ma improbabile disagio. E potrebbe esserci un valore a questo inconveniente. Dopotutto, un tostapane super hackerabile può essere hackerato anche al suo proprietario, il che consente un nuovo tipo di personalizzazione della cucina.

Stanno per proliferare storie sulla vulnerabilità. La cosa importante da ricordare quando i titoli iniziano a urlare è che non tutti gli hack sono creati uguali e che non ci sono cose come la sicurezza assoluta - solo le migliori scommesse.