El desastre del F-35 (con Internet)

Tiendo a leer las noticias de tecnología cada mañana: echo una ojeada mientras me tomo un cola-cao a mis variopintos feeds y dejo las que son mas largas en pocket, para seguir leyendo en el bus desde el móvil. Y es que la noticia del F-35 me dejó patidifusa…

El desastre del F-35

It took several days for the crews to get ALIS working on the local base network. After extensive troubleshooting, IT personnel figured out they had to change several settings on Internet Explorer so ALIS users could log into the system. This included lowering security settings, which DOT&E noted with commendable understatement was “an action that may not be compatible with required cybersecurity and network protection standards.”

Que en el avión, entre sus muchos desastres, tenían que cambiar la configuración de Internet Explorer para que funcionase. Mi primer pensamiento, obviamente fue: ¿para qué quieres un navegador de internet para pilotar un avión? Seguido de: ¿en serio Internet Explorer?  ¿Es un chiste malo, no? Pero no, no lo es. Si pensábamos que ese Eurofighter era de chiste, aquí tenemos algo parecido, pero como no, con conexión a Internet 😀

Una vez mas, ¿seguro que era necesario darle esa funcionalidad? Sé de sobra que está de moda que todo se conecte a Internet, pero un elemento conectado es un elemento vulnerable a ataques. Puede que sea mi vena friki, pero la comparación me es inevitable: la nave viejuna que era la Battlestar Galactica resistió porque era la única que no tenía los sistemas principales conectados en red. Igual si a esta gente les da ver ciencia ficción quizás les dé por plantearse algo.

Anuncios

Reflexión frustrante del día: qué estamos haciendo con el IoT…

Me gusta programar. Disfruto trabajando en el sector tecnológico, el tener la posibilidad de mejorar las vidas de las personas. Y de repente ves que en vez de invertir esfuerzos en sectores de sanidad se están dedicando a hacer lavavajillas inteligentes sin securizar, capaz de convertirse en un servidor y generando una enorme vulnerabilidad de red con un simple comando GET. Y una vez mas me pregunto: ¿para qué quieren conectar un lavavajillas a Internet? ¿A qué viene esa brillante idea?

Reflexión frustrante del día: qué estamos haciendo con el IoT...

Ya puedo esperar que en el próximo Terminator Skynet sea un lavavajillas. Estoy oficialmente deprimida.

La solución a la falta de seguridad en IoT, ¿un router mejor?

Esta semana leí un artículo bastante curioso, en el que se hablaba de cómo Norton (una de las típicas empresas de seguridad informática que nos ha bombardeado tantos y tantos años con sus anuncios), anunciaba que estba construyendo un nuevo router. ¿El motivo? Buscar una solución para el problema del IoT.

Y es que el problema es real, pues esos dispositivos “inteligentes”, para ser mas baratos, recortan en sistemas de protección. Es más, en muchos casos, ni siquiera tienen capacidad de procesamiento para ello.

La solución a la falta de seguridad en IoT, ¿un router mejor?

La solución que propone esta gente es un “router con esteroides”, que tiene la capacidad de monitorizar todo el tráfico, incluído el de los desipositivos IoT, para frenarlos cuando empiezan a tener comportamientos extraños, tal como pasó con el incidente de Mirai. Pero claro, nos conocemos y Norton querrá hacer dinero con esto, así que asumamos que será un router con subscripciones para actualizarse, y aque de paso estará fisgando nuestra actividad de red, así que no termina de inspirarme confianza el hecho de que pueda filtrar mas contenidos de lo que debería. La verdad es que esto tampoco soluciona los problemas de infraestructura de los botnets, puesto que poca gente lo comprará por su precio (si el IoT triunfa es porque gran parte de él es ridículamente barato), así apenas marcará una diferencia real.

El IoT en carretera podrá ser una realidad en 2017

El gobierno de Noruega está en proceso de legalizar el eso de vehículos que se conducen solos para el año que entrante. Mas allá de hacerse pruebas en condiciones algo complejas, con la nieve y las bajas temperaturas, es llamativo saber que que hablamos de terreno real. Definitivamente los escandinavos están apostando por estas tecnologías, pero una vez mas, el Internet de las cosas me preocupa.

El IoT en carretera podrá ser una realidad en 2017

De entrada, por cuestiones de patentes, es una tecnología que está envenenada desde su nacimiento por cuestiones de guerras de patentes. La idea de esta tecnología es interconectar elementos, pero con los DRMs y algunas compañías intentando patentar las APIs e interfaces (ejem, Oracle, ejem) es cada vez mas complicado. Por otro lado, está la cuestión de “¿y para qué quieres ponerle internet a esto?” (el colofón para mí fue la aparición del termómetro rectal con Internet, de manera que podemos decir con todas las de la ley que se pueden meter el Internet de las cosas  por…), que al colocarle esa funcionalidad innecesaria a un precio ridículo a un componente no se securiza, de manera que se puede producir un acceso no autorizado con malas intenciones que puede acabar pero que muy mal. Además está la cuestión de la responsabilidad ética: en caso de choque inevitable, ¿a qué darle? Los programadores tenemos tanto que pensar…

El ataque DDOS del viernes 21 de octubre

¿Cuántos os encontrásteis la noche del viernes pasado que gran parte de vuestras webs habituales no funcionaban? ¿Y no tenéis curiosidad por saber qué sucedió?

Resulta que dicho día gran parte de Estados Unidos estuvo bajo un ataque de DDOS (Denegación de servicio) contra una infraestructura de Dyn DNS (dominios web, la dirección alfanumérica que escribimos en nuestros navegadores en lugar de una serie de números imposibles de recordar). Así no había manera de acceder a Spotify, Amazon, Twitter, o muchos otros de una larga lista. ¿El origen? El botnet Mirai, cuyo objetivo son dispositivos ligeros Linux sin seguridad adecuada.

El ataque DDOS del viernes 21 de octubre

Mirai es un programa malintencionado que se propaga por dispositivos que no están securizados adecuadamente, y como he mencionado anteriormente en este blog, la mayor parte de los dispositivos del IoT (Internet de las Cosas, eso de conectar cualquier cosa a Internet, ya sea una cámara de videovigilancia baratita o una tetera… sí, hay teteras que se conectan a Internet, no lo penseis demasiado) no tienen ningún tipo de seguridad para así abaratar costes, y los fabricantes no tiene responsabilidad alguna sobre ello, pues las leyes se lo permiten. En consecuencia, este botnet se esparció y comenzó a hacer llamadas a Dyn hasta hacerlo caer.

Como curiosidad, el código fuente de Mirai está liberado, por lo que cualquiera puede acceder a él y montarse una red de botnets cualquier día que se aburra gracias a esa lluvia de bombillas, lavadoras, frigoríficos o camas elásticas con Internet. Y sí, no es broma, si seguís a InternetOfShit en Twitter vereís la cantidad de cosas con Internet que jamás han necesitado conexión para ser funcionales salen al mercado a diario.

Esto debería hacer saltar de nuevo la voz de alarma. Cualquier dispositivo con conexión a Internet es vulnerable, no importa lo insignificante que sea. Como decía este señor, “¿por qué estará mi aspiradora subiendo 25MB de datos?”.