Los dispositivos IoT están ganando popularidad con 18 mil millones de dispositivos conectados a finales de este año. Este crecimiento en popularidad ha captado la atención de los piratas informáticos que explotan las vulnerabilidades en esta industria relativamente nueva. El mundo ya ha visto algunos ataques importantes causados por credenciales codificadas en dispositivos IoT, uno de los ataques más notables fue el ataque de botnet Mirai en 2016 donde los atacantes crearon una gran botnet hecha de dispositivos IoT con credenciales SSH y telnet predeterminadas derribaron una gran parte de La Internet.
Seis años después del ataque de la botnet Mirai, continúan los ataques exitosos a dispositivos IoT con credenciales codificadas crece al igual que lo hace la amenaza a la seguridad y el bienestar del consumidor. A medida que los dispositivos de IoT controlan más sistemas con los que los consumidores interactúan a diario (por ejemplo, hornos, vehículos, cerraduras inteligentes, etc.), los ataques a estos dispositivos se vuelven más perturbadores y, en algunos casos, potencialmente mortales.
El mercado de IoT es todavía un mercado relativamente nuevo, la actual prisa por llegar al mercado empuja a los fabricantes de dispositivos de IoT a centrarse en ser los primeros en comercializar en lugar de centrarse en reforzar la seguridad de los dispositivos existentes y futuros. A menudo, esto significa utilizar credenciales codificadas para la administración de dispositivos o dejar la seguridad del dispositivo para que la administren sus proveedores de hardware.
Esta falta de seguridad hace que el espacio de IoT sea un paraíso para los piratas informáticos, lo que significa que si un pirata informático logra forzar una contraseña por fuerza bruta, puede obtener acceso a millones de dispositivos en todo el mundo con capacidades de Internet, creando grandes botnets que pueden usarse para: cerrar servicios, enviar spam, expandir la botnet atacando más puntos finales y más. Para empeorar las cosas, muchas de estas contraseñas codificadas están codificadas en código o en firmware, lo que hace que sea difícil y, a veces, imposible rotar las contraseñas una vez que se ven comprometidas.
Mientras que los desarrolladores que desarrollan servicios en la nube tienen recursos casi ilimitados en lo que respecta a computación y almacenamiento, los desarrolladores de IoT están muy limitados: se debe tener en cuenta cada byte y cada ciclo de computación para que los dispositivos de IoT sean más pequeños y más eficientes energéticamente. Lo que significa que estos desarrolladores no tienen el espacio ni la computación para crear su propia API de administración con la autenticación y autorización adecuadas. Impulsar a los desarrolladores de IoT a utilizar SSH con credenciales codificadas para administrar de forma remota los dispositivos.
Los certificados SSH son una excelente alternativa a la codificación de credenciales para dispositivos IoT. Dado que muchos de estos dispositivos ejecutan una versión de Linux con OpenSSH, ya se admite la autenticación de certificado SSH. Lo que significa que, sin recursos adicionales, los fabricantes de dispositivos IoT pueden acceder de forma segura a los dispositivos IoT a través de SSH mediante la creación de certificados SSH a corto plazo. Sustituir la práctica insegura de codificar credenciales.
En Keytos, nuestro equipo de expertos en identidad hace que su experiencia de desarrollo de IoT sea lo más fácil y segura posible. Desde nuestra solución EZSSH, una CA SSH como servicio que permite a las empresas gestionar el acceso SSH a sus endpoints con certificados SSH de corta duración; Además de la integración de EZCA con IoT Hub de Azure, nuestras soluciones le permitirán proteger sus productos de IoT lanzándolo a una realidad sin contraseña. Programe una reunión con uno de nuestros expertos en seguridad para una consulta gratuita sobre seguridad de IoT.
