Kerry Scharfglass asegura sus cosas de IO

Todos hemos visto los naufragios de la seguridad de los dispositivos IO: esos aparatos que fallan tan espectacularmente que la sección de comentarios se ilumina con llamadas de “¿estaban pensando en la seguridad más básica?”. No, probablemente no lo estaban. ¿Y tú?

El colaborador de Digital Lithium y todo el buen chico Kerry Scharfglass piensa en la seguridad básica para ganarse la vida, y su charla se dirige al recién llegado a la seguridad de los dispositivos. (Incrustado abajo.) Por supuesto que la “seguridad” no es una propuesta de talla única; tienes que pensar en qué amenazas te preocupan, cuáles puedes ignorar, y defenderte de lo que importa. Pero si nunca has trabajado en un ejercicio de este tipo, te vas a encontrar con un regalo. Necesitas pensar como un creador, pensar como un rompedor y, sorprendentemente, pensar como un contador al definir lo que constituye riesgos aceptables.

Kerry trabaja a través de tres productos, un dispositivo de formación médica de IO, un cerrojo inteligente y un scooter compartido sin muelle de IO. Aunque se podría pensar que el dispositivo médico exigiría una alta seguridad, en realidad era el más sencillo de su lista. Es usado por profesionales médicos en el sitio, en un ambiente controlado, y no hay mucho más que se pueda hacer con él. Hicieron algunos esfuerzos para dificultar el flasheo del firmware incorrecto, incluyendo el flasheo sólo a través de USB, pero básicamente decidieron que el mínimo de seguridad era aceptable.

Contraste el dispositivo médico con el bloqueo de IOT. El candado es todo sobre la seguridad y la protección de su casa. Peor aún, si falla, te dejará fuera de tu casa. Y la superficie de la amenaza es grande. Imagínese que utiliza la cerradura de su puerta para dejar entrar a la gente en su alquiler de AirBnB – ahora tiene a un extraño con un acceso físico extendido al dispositivo, que incluso podría desmontarlo sin parecer demasiado extraño.

Hay preocupaciones de privacidad, ataques de denegación de servicio, y la posibilidad de utilizarlo para pivotar en su red doméstica. No hace falta decir que el mecanismo de actualización de firmware aquí era mucho más complejo, involucrando autenticación y de cifrado, y Kerry entra en toda la cadena aquí.

Finalmente, el scooter. El dispositivo en sí es genial, puede ser robado, un peligro para la seguridad pública si falla, y si pudieras encontrar una manera de apagarlo a distancia, sabes que los vídeos aparecerían en YouTube. En resumen, es una pesadilla de seguridad. La mitad de esto se solucionó haciendo que los técnicos de las scooters se hicieran cargo de los dispositivos con frecuencia. El firmware sólo se puede flashear localmente con un cable. Los técnicos podían ver si se había añadido algo al PCBA. Etc. La otra mitad se solucionó dedicando un microcontrolador separado al acelerador y a los frenos, desconectando las funciones de conducción más importantes del material de IO.

Lo más interesante del estudio de caso de la scooter es todo lo que la compañía eligió no para luchar contra ella. ¿Estupidez del usuario? No. ¿Robo? De todos modos, sólo tienen una vida útil de 6 meses, y los “cerebros” del mercado de accesorios están disponibles en Amazon para cualquiera que realmente quiera robarlo.

Hay muchas otras amenazas, pero el tema general de la charla de Kerry es identificar qué riesgos se pueden mitigar y cuáles no. Centrar tus esfuerzos en lo básico te permite superar las amenazas básicas. Y eso evitará que las empresas para las que trabajó Kerry acaben avergonzadas en la sección de comentarios de Digital Lithium.

Convirtiendo OLEDs y acrílico en tubos falsos Nixie

Convirtiendo OLEDs y acrílico en tubos falsos Nixie

Los ames o los odies, los Nixies y los relojes retro que adornan están aquí para quedarse. Al menos hasta ...
Leer Más
Pequeñas burbujas en el reloj

Pequeñas burbujas en el reloj

Cuando [DonHo] cantaba sobre las pequeñas burbujas, probablemente no pensaba en ellas incrustadas en la glicerina. Pero ahí es donde ...
Leer Más
Nivelación manual de la cama de malla para impresoras 3D

Nivelación manual de la cama de malla para impresoras 3D

En la impresión 3D, a menudo hablamos de nivelar la cama de impresión, aunque no es un término exacto. Una ...
Leer Más
Los Nixies a medida funcionan cuando se encienden hasta 100,000 Hertz

Los Nixies a medida funcionan cuando se encienden hasta 100,000 Hertz

Con la popularidad de los relojes Nixie, se nos perdonaría el pensar que los tubos luminosos sólo sirven para aplicaciones ...
Leer Más
Ya era hora de que viéramos otro reloj con espejo infinito

Ya era hora de que viéramos otro reloj con espejo infinito

¿Ya has hecho un espejo infinito? En este momento son más o menos un proyecto de rito de paso. Pero ...
Leer Más
Puede que confíes en los coches sin conductor, pero ¿confías en los barberos sin conductor?

Puede que confíes en los coches sin conductor, pero ¿confías en los barberos sin conductor?

Aunque cada vez es más común tener coches que se conducen solos en la carretera, tenemos que admitir que todavía ...
Leer Más
Almendras: Asistente Personal Abierto de Stanford

Almendras: Asistente Personal Abierto de Stanford

El estado actual de los asistentes personales virtuales -Alexa, Cortana, Google y Siri- deja mucho que desear. El reconocimiento de ...
Leer Más
Hackaday Links: 1 de diciembre de 2019

Hackaday Links: 1 de diciembre de 2019

Podemos recordar un libro de nuestra juventud que catalogaba algunos de los aviones más interesantes del mundo. Una bestia particularmente ...
Leer Más
Turbina de agua de código abierto de 50 dólares de partes reprogramadas

Turbina de agua de código abierto de 50 dólares de partes reprogramadas

El fácil acceso a una energía eléctrica confiable es algo que muchos de nosotros damos por sentado, pero en los ...
Leer Más
Los satélites Starlink plantean problemas a los astrónomos

Los satélites Starlink plantean problemas a los astrónomos

La observación de satélites desde la tierra es un pasatiempo popular entre los astrónomos aficionados. Típicamente, los satélites ISS e ...
Leer Más
DTMF a su ordenador, con un Gamepad

DTMF a su ordenador, con un Gamepad

Aunque muchos de nosotros nunca habremos experimentado con él, la mayoría de los lectores deberían estar familiarizados con el DTMF ...
Leer Más
Desmontaje de la pulsera PixMob LED (más emisores IR y cómo detectarlos)

Desmontaje de la pulsera PixMob LED (más emisores IR y cómo detectarlos)

Las unidades PixMob son dispositivos LED vestibles destinados a las multitudes de asistentes a eventos como conciertos. Estos dispositivos permiten ...
Leer Más
El escudo de aislamiento del micrófono es un gran "hack" de IKEA; definitivamente no es un huevo de Xenomorfo

El escudo de aislamiento del micrófono es un gran “hack” de IKEA; definitivamente no es un huevo de Xenomorfo

Como cualquier creador de contenidos sabe, un buen audio es la clave para mantener una audiencia. Tener un micrófono de ...
Leer Más
radio ww2

La radio de los aviones de la Segunda Guerra Mundial

Toda mi vida me han hablado de las antiguas tiendas de excedentes del Ejército y la Marina donde se podían ...
Leer Más
La Mujer Maravilla y el verdadero lazo de la verdad

La Mujer Maravilla y el verdadero lazo de la verdad

Puede que te parezca extraño que una historia sobre tecnología empiece hablando de la Mujer Maravilla. Cuando te das cuenta ...
Leer Más
Estas lecciones se aprendieron en el diseño del recinto, pero van mucho más allá

Estas lecciones se aprendieron en el diseño del recinto, pero van mucho más allá

Foaly] ha estado trabajando duro en la fabricación de una cámara de largo alcance de código abierto a distancia, y ...
Leer Más
Brochetas de bambú lanzan un dirigible

Brochetas de bambú lanzan un dirigible

Tenemos que admitir que nos gustan las aeronaves. Hay algo en la imagen de un majestuoso zepelín flotando sobre Manhattan ...
Leer Más
La réplica del paquete de protones es una gran construcción de Halloween

La réplica del paquete de protones es una gran construcción de Halloween

En 1984, los Cazafantasmas defendieron a la ciudad de Nueva York de un ataque de fenómenos sobrenaturales. En su honor, ...
Leer Más
La caja ocupada vence al aburrimiento del bebé

La caja ocupada vence al aburrimiento del bebé

Nos encantaría ser una mosca en la pared la mañana de Navidad para ver al hijo de [Wilksyonreddit] arrancar el ...
Leer Más
La paleta de ping pong iluminada por el borde ilumina la lucha

La paleta de ping pong iluminada por el borde ilumina la lucha

y a sus compañeros les gusta soplar un poco de vapor de la hora del almuerzo en la mesa de ...
Leer Más
Esta semana en seguridad: Tegra Bootjacking, Leaking SSH, And StrandHogg

Esta semana en seguridad: Tegra Bootjacking, Leaking SSH, And StrandHogg

CVE-2019-5700 es una vulnerabilidad en el cargador de arranque Nvidia Tegra, descubierto por [Ryan Grachek], y que se rompió primero ...
Leer Más
Rescate de un costoso servo con algo de ingeniería inversa

Rescate de un costoso servo con algo de ingeniería inversa

[Andrew] tenía un servo dañado por alguien que conectaba la fuente de alimentación a los pines equivocados (whoops), lo cual ...
Leer Más
Construir un motor con un compresor de aire acondicionado

Construir un motor con un compresor de aire acondicionado

Los compresores de aire acondicionado no son exactamente un pilar de la caja de trastos de un hacker medio. Típicamente, ...
Leer Más
¿Por qué su teléfono móvil no es un ordenador más útil?

¿Por qué su teléfono móvil no es un ordenador más útil?

A veces, cuando estás navegando al azar a través de las fuentes de tecnología, aparece un artículo que cristaliza un ...
Leer Más
Cómo entrar en los coches - Elegir su primer coche de proyecto

Cómo entrar en los coches – Elegir su primer coche de proyecto

El automóvil es un invento maravilloso, quizás uno de los más transformadores del siglo XX. Son máquinas que a menudo ...
Leer Más
Bucear con un suministro de aire ilimitado

Bucear con un suministro de aire ilimitado

Si quieres explorar bajo el agua, tienes algunas opciones. Puedes aguantar la respiración. Puedes intentar reciclar tu aire. Puedes llevar ...
Leer Más
El reloj de matriz LED es el reloj inteligente que no sabíamos que queríamos

El reloj de matriz LED es el reloj inteligente que no sabíamos que queríamos

Mile] armó este impresionante reloj de matriz LED, en el que las estrellas de este espectáculo son los 256 LED ...
Leer Más
¿Qué necesita un banco de trabajo electrónico?

¿Qué necesita un banco de trabajo electrónico?

¿Alguna vez ha estado en una situación en la que no está seguro de dónde empezar a construir su propio ...
Leer Más
El sintetizador de muñeca programable empuja el sobre

El sintetizador de muñeca programable empuja el sobre

Los sintetizadores son muy divertidos, no importa lo bien o mal que suenen. En realidad, no hay ninguno que suene ...
Leer Más
Entrenando murciélagos en el bosque al azar con la matriz de confusión

Entrenando murciélagos en el bosque al azar con la matriz de confusión

Cuando se explora el ámbito del Aprendizaje Automático, siempre es bueno tener algunos datos reales e interesantes con los que ...
Leer Más

Deja un comentario