Debemos pensar en armar estrategias de prueba para IoT?

IoT
img extraída desde http://hp.sys-con.com/

Desde el sitio oficial de HP, pude leer un artículo referido con «Seguridad básica de Internet de las cosas» y lo asocié en ese mismo momento con armar estrategias de prueba para IoT, ¿será tan así?

A medida que pasa el tiempo, no se si te pasa lo mismo, pero es como que si uno va entendiendo de qué va ésto de la Internet de las Cosas (IoT), porque las estamos viviendo, e indudablemente a muchos les ayuda con montones de cosas, a empresas y a particulares, pero … como siempre hay un pero…el autor del artículo propone una reflexión y que gira en torno a la : seguridad, tema no menor hoy en día y más considerando el artículo que publiqué ayer referido con la falla que se encontró en el whatsapp web.

Profundicemos un poco.

Así como están las oportunidades, también están latentes las amenazas que pueden activarse frente a eventos en particular.

Rescato un párrafo del artículo: «…Durante una audiencia celebrada en noviembre de 2016 por el U.S. House Energy and Commerce Committee, un experto líder en ciberseguridad informó que la proliferación de productos IoT sin seguridad plantea «riesgos catastróficos» a la vida y a la propiedad. Para estar seguros, los ataques facilitados por la IoT pueden crear ejércitos de computadoras manipulables, capaces de causar grandes daños en empresas e instituciones. En un hospital, por ejemplo, un ataque a la IoT podría hacer que los ascensores y sistemas de ventilación dejasen de funcionar, amenazando la seguridad y la vida de los pacientes, empleados y visitantes por igual…»

Acaso no me vas a decir que éste párrafo no te hace recordar pelis de ciencia ficción? o me equivoco? y la verdad es que no estamos muy lejos de este tipo de ocurrencias.

Según el autor, y pensemos que toda esta experiencia traducida en artículos es de una persona que vive en los EEUU donde la tecnología, las costumbres y la sociedad difieren a las de muchos países latinoamericanos e incluso con los de Europa de habla hispana, un estudio informa que el 70 % de los dispositivos IoT son vulnerables a ataques.

IoT vulnerabilidades

Como vulnerabilidades tenemos a las siguientes:

  • Interfaces web o móviles inseguras
  • Servicios de red inseguros
  • Software inseguro
  • Autenticación insuficiente
  • Falta de cifrado de transporte
  • Controles de privacidad débiles

y aquí me detengo un momento para pensar,

Testing funcional, Testing no funcional, Automatización de pruebas funcionales, Testing de rendimiento y carga, Testing de seguridad? Qué tipo de testing convendrá más aplicar? o se deberán aplicar todos?

Habrá que tener en cuenta las mejores prácticas de seguridad?
En este sentido, una de las referencias del artículo original nos lleva al OWASP que tiene un considerando :

OWASP Internet of Things (IoT) Project
[acceder al sitio oficial]

 

IoT

 

¿Qué contenido podemos encontrar?

What is the OWASP Internet of Things Project?
The OWASP Internet of Things Project provides information on:

  • IoT Attack Surface Areas
  • IoT Vulnerabilities
  • Firmware Analysis
  • ICS/SCADA Software Weaknesses
  • Community Information
  • IoT Testing Guides
  • IoT Security Guidance
  • Principles of IoT Security
  • IoT Framework Assessment
  • Developer, Consumer and Manufacturer Guidance
  • Design Principles

Proyectos Relacionados

  • OWASP Project Repository
  • OWASP Mobile Security
  • OWASP Web Top 10
  • OWASP .NET
  • OWASP Java and JVM
  • OWASP C/C++

Archivos para bajar

  • IoT Attack Surface Mapping DEFCON 23
  • IoT Testing Guidance Handout
  • OWASP IoT Top Ten PDF
  • OWASP IoT Top Ten Infographic
  • OWASP IoT Top Ten PPT
  • OWASP IoT Top Ten-RSA 2015
  • OWASP IoT Project Overview

 


OWASP ¿se aplica al testing?

¿Sabias que hace un tiempo había diseñado un mapa mental?

OWASP TESTING CHECKLIST

https://testingbaires.com/herramientas-para-testers/mapas-mentales/


Fuente de inspiración: hp

 

Gus Terrera

Apasionado por el agile testing y la ia.

Deja una respuesta