Inga stjärnor på sakernas Internet säkerhet

Det finns tre typer av säkerhetshot, enligt Andrew Jamieson, som frossar i jobbtitel Security Oompa Loompa vid säkerhets Science-företag UL. Han kallade det “Säkerhet DIY”. Inte gör-det-själv, men Avsiktlig, okunniga och ännu inte upptäckt.

Avsiktliga hot, såsom bakdörrar och fjärr dataöverföring, fixa med kod recensioner.

Okunniga hot, såsom dåliga säkerhetskonfigurationer eller dåliga designval, du hittar genom penetrationstester.

Och ännu inte upptäckt hot? Dessa är de okända eller orapporterade sårbarheter i programvaran som är som används. De kan vara fel, eller helt nya typer av attacker. Det är bara att be.

Säkerhets utvärderingar tar tid, kostar pengar, och alltid misslyckas med att hitta alla möjliga problem, Jamieson berättade AusCERT 2016 informationssäkerhet konferens på Australiens Gold Coast på onsdag.

Dessa utvärderingar är dyra nog för dyrare objekt. Med sakernas Internet (IoT) enheter blir billigare, leverantörer att lägga till fler funktioner, och den ständigt accelererande design prototyp-produktionscykler lämnar lite tid för korrekt testning ändå.

Konsumenterna kan säga att de bryr sig om säkerhet, men de röstar med sina plånböcker, sade Jamieson. Och varför skulle de inte? Om det finns två enheter med samma funktionalitet, och ingenting annat att skilja dem, varför skulle du köpa det dyrare?

Leverantörer har inte något incitament att spendera tid och pengar bygga upp säkerheten i produkter, och ännu mindre incitament patchning dem när de levereras. Nej, de vill sälja dig den nya modellen nästa år.

Jamieson viktigaste iakttagelse var att sakernas säkerhet är därför en kommersiell problem, så den behöver en kommersiell fix. Och att korrigering har att ta så lite tid och pengar som möjligt.

Jamieson föreslagna lösningen är en “säkerhets Star” rating, i linje med de energi- och vattenanvändningen betyg för konsument vitvaror, eller US Department of Transportation 5-stjärniga Säkerhets betyg för bilar.

Det finns några uppenbara problem. How do you jämföra olika produkter, olika arkitekturer och olika säkerhetskrav objektivt? Utan kostsamma kodgranskning och penna provning av varje release, är det?

Jamieson svar är att hålla det enkelt.

Enheter kan definieras av tre saker, Jamieson sade, som alla påverkar den totala attackytan: Antalet och typen av gränssnitt, både in- och utmatning, bearbetningsattackytan, och systemarkitektur. Vi “bara” behöver svepa några mätvärden runt detta, sade han.

Glädjen i statistik är att du bara kan göra dem, precis som kilo.

Jamieson föreslog ett mått som han kallade det logiska säkerhetstillstånd (LSP). En anordning poäng pekar för säkerhetsfunktioner, och förlorar poäng för funktioner som ökar attackytan. Och om det finns ingen skyldighet att uppdatera firmware, ja, det är en automatisk noll stjärna misslyckas.

Stjärnor utfärdas baserat på “antal år säkra”, så “4 stjärnor fram till 2018” skiljer sig från “5 stjärnor till 2015”, och regelbundna kontroller på plats av en uppföljningstjänst kan torka en produkts stjärnor om de har smyg ändrat designen.

Detaljerna för hur detta kan fungera är i Jamieson s presentationsbilder.

Säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, säkerhet, Vita huset utser först Federal Chief Information Security Officer, säkerhet, Pentagon kritiseras för cyber -emergency svar av regeringen vakthund

Detta är en utmärkt idé, förutsatt att det finns en viss utbildning för att säkerställa att konsumenterna förstår att en 5-stjärnor betyder inte en enhet är ointaglig, bara att det är i stort sett bättre än ett 4-stjärnigt enhet, och de kan skilja mellan annars identiska enheter . De kan välja en mindre säker enhet om de inte är alltför orolig för en kamera i en gård skjul eller en säkrare en för sina barns lekrum.

Processerna för att köra ett stjärngraderingssystemet är väl etablerade i andra branscher, så det finns byråkrati modeller för att kopiera, och det finns företag som UL som vet hur man gör bedömningar.

Men jag ser några viktiga problem.

Som Constellation Research vice ordförande för digital säkerhet och integritet Steve Wilson påpekade vissa aspekter av säkerhet inte sitta prydligt på en skala.

Jag är hos doktorn, se ett trestjärnigt effekt på luftkonditioneringen. Jag är lite ledsen, men ändå, kan de vara stora återvinnings, “Wilson twittrade.” Hos läkaren, autoklaven kan ha tre av fem stjärnor för sterilitet. Nej vänta, det kan inte. Säkerhet är godkänd / underkänd “, tillade han.

Kan konsumenterna verkligen vet hur man avvägning säkerhet för pris eller bekvämlighet? finns sådana problem för hälsosam mat betyg, till exempel. Vad är säkerhets motsvarande besluta att eftersom du inte äter några kolhydrater till frukost, kan du ha så många korvar som du vill?

Kan den stora oberoende sinnade frihetlig-lutande sakernas industrin samarbetar tillräckligt bra för att det ska fungera?

Jag ser också ett stort problem som mycket väl kan vara orättbara. Säkerhets hotbilden förändras snabbt. Väldigt snabbt.

Inom bilindustrin, säg, produktsäkerhets påminner är vanligen begränsade till en enda tillverkare design eller produktionsprocess, och kanske bara en enda modell. Men mjukvara är oerhört mycket mer komplicerad än bilens fysiska utformningen.

Om en av dessa ännu-till-vara-upptäckta hot dyker upp, kan det göra en hel kategori av LSP scoring ogiltig. Det i sin tur kan upphäva en hel kategori av mönster som använder numera misslyckade konstruktionsmönster, och potentiellt en hel kategori av enheter.

Du skulle behöva en omfattande anmälan ompröva och återkalla regim, och det skulle behöva arbeta snabbt. Det låter dyrt. Mycket dyrt, för en $ 30 armband. Och ändå en sådan brist skulle kunna ge en väg via Bluetooth genom en konsument smartphone, med alla sina personuppgifter, med uppenbara resultat.

Jag gillar verkligen tanken på en säkerhets stjärnor. Jag kan bara inte se att det händer.

Upplysningar: Stilgherrian reste till Gold Coast som en gäst i AusCERT.

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål

Vita huset utser först Federal Chief Information Security Officer

Pentagon kritiserats för cyber nödsituationer av regeringen vakthund