Un nuevo enfoque de la cadena de bloques podría garantizar la seguridad de los dispositivos de IO que carecen de procesamiento. Lea sobre la propuesta de los investigadores.
Los 5 elementos básicos de la cadena de bloquesLa cadena de bloques se está convirtiendo en una de las palabras de moda con más buzos. Aquí está lo esencial que usted debe saber.
Cualquier duda de que los dispositivos de la Internet de los objetos (IO) tengan la capacidad de causar estragos digitales se disipó durante el último trimestre de 2019, cuando las redes de bots Mirai alimentadas por dispositivos de IO interrumpieron con facilidad el servicio de Internet.
Para averiguar por qué los dispositivos de IO están siendo atacados, los investigadores de la Universidad de Portsmouth analizaron 55 sistemas de gestión de la IO y descubrieron que la mayoría de ellos no tenían apoyo para la seguridad o la privacidad, ni implementaban controles robustos. ¿Por qué es este el caso?
En este comunicado de prensa de la Universidad de Portsmouth, Paul Fremantle, miembro de la Escuela de Computación de la Universidad, dice: «No hay incentivos realmente fuertes para que los fabricantes actualicen sus sistemas para mantenerte seguro…..». Fremantle añade otra razón probable es que los dispositivos de IO no tienen suficiente capacidad de procesamiento y/o memoria para implementar soluciones de seguridad sólidas.
VER: Ebook-Cybersecurity in an IoT and mobile world (ConsejoTecnologico.com)
Podría haber una solución viable
Fremantle cree que la tecnología de cadenas de bloqueo puede utilizarse para mejorar la seguridad, la privacidad y la capacidad de gestión de los dispositivos de IO. «Las cadenas de bloques crean un gobierno compartido», se cita en el comunicado de prensa. «Producen un entorno para las redes de IO en el que puede haber confianza, anonimato y contratos efectivos entre las partes sin que ningún proveedor esté a cargo y sin exigir que se confíe más en ninguna de las partes que en otra».
¿Qué es una cadena de bloqueo?
La muestra cómo la tecnología de cadenas de bloqueo utiliza una base de datos descentralizada compartida entre una red de computadoras para aprobar un intercambio. En un artículo para el Foro Económico Mundial, Rosamond Hutt señala que, en una cadena de bloques, la información se guarda de forma segura y transparente en un libro de contabilidad digital para que todos los usuarios de la red la vean.
¿Qué hay de no tener suficiente potencia de computación?
En cuanto a que los dispositivos de IO no tengan suficiente potencia de procesamiento, en el documento de investigación Enhancing IoT Security and Privacy with Distributed Ledgers, los autores Fremantle, Benjamin Aziz, profesor titular de la Escuela de Informática de la Universidad de Portsmouth, y Tom Kirkham, del Consejo de Financiación de Ciencia y Tecnología de Harwell, Reino Unido, escriben:
VER: Fundamentos de la Gestión de la Seguridad de la Información (ConsejoTecnologico.com Academy)
Afortunadamente, los tres autores han encontrado la manera de que incluso los dispositivos de IO más pequeños puedan participar utilizando un árbitro de confianza entre las cadenas de bloques y los dispositivos conectados a Internet.
Más información sobre ciberseguridad
Su propuesta utiliza un concepto existente en la tecnología de cadenas de bloques llamado oráculo. «Un oráculo es un sistema que informa sobre el mundo a la cadena de bloques de una manera fiable», explican Fremantle, Aziz y Kirkham. «Por ejemplo, un contrato inteligente puede requerir pago cuando se cumple una cierta condición, y el oráculo se usa para reportar a la cadena de bloqueo cuando esa condición existe.»
Los investigadores quieren cambiar cómo funciona un oráculo. «Proponemos que las industrias de la IO y de la cadena de bloques requieran exactamente lo contrario: un intermediario de confianza que informe sobre el estado de la cadena de bloques en nombre del dispositivo de la IO», los tres estados que figuran en su documento. «Una entidad de este tipo, a la que llamamos Pythia, podría interactuar con la cadena de bloques en nombre de los dispositivos de IO y hacerlo de forma fiable. Por lo tanto, actuaría como un oráculo para el dispositivo, así como un oráculo para la cadena de bloques».
«Pythia lleva el nombre de la sacerdotisa del templo de Apolo en la antigua Grecia, que actuaba como intermediaria entre los dioses y los humanos», explica el comunicado de prensa de la universidad. «Con este sistema, los desarrolladores de la IO podrán confiar más fácilmente en las cadenas de bloques, lo que dará lugar a muchos nuevos enfoques para una IO segura.»
VER: Guía del líder de TI para la cadena de bloques (Tech Pro Research)
Aún en fase de planificación
Fremantle, Aziz y Kirkham explican que Pythia es una propuesta preliminar en este momento. Pero, están convencidos de que es posible implementarlo:
- Una cadena de bloques basada en ledgers distribuidos existentes que permiten contratos inteligentes como HyperLedger o Ethereum; y
- Un cliente de cadena de bloqueo basado en SGX para proporcionar datos de confianza de la cadena de bloqueo.
Los tres investigadores creen que su metodología de utilizar un libro mayor distribuido para proporcionar un modelo de gobernanza compartida para dispositivos de IO, redes y sistemas de nube es viable, y están en el proceso de crear un prototipo del concepto. Fremantle añade una nota de precaución: «A menos que resolvamos los problemas de seguridad pronto, habrá ataques más serios».
Todo lo que hay que hacer es buscar «2019 y botnets de IO» para ver que Fremantle no está bromeando.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves