Bibliografie tematică IoT

Bibliografie tematică IoT

385

Craig Smith and Daniel Miessler, Internet of Things HP Security Research Study, HP Fortify, June 2014

http://www8.hp.com/h20195/V2/GetPDF.aspx/4AA5-4759ENW.pdf

Reacţionând foarte pozitiv atunci când a fost pusă în dificultate, după dezvăluirile firmei Pwnie care a arătat că 83% din imprimantele wireless HP prezentau un risc sporit de securitate datorită unei greșeli de configurare a software-ului nativ, HP a lansat divizia sa de securitate, HP Fortify, într-o anchetă nu numai asupra produselor proprii, dar și asupra celor mai populare zece device-uri IoT de pe piaţa SUA. Rezultatul acestui test este catastrofal: peste 250 de fisuri în total, cam 25 pentru fiecare obiect, și 70% din produse declarate total nesigure. Așadar, această scurtă sinteză redactată de către HP trebuie considerată un document istoric. Ea a acţionat ca o adevarată bombă, adică exact acel „breaking news” care lipsea pentru a da startul, peste tot în lume, unor grupuri de cercetare publice și private focalizate asupra problemei de insecuritate „by design” a majorităţii obiectelor conectate și a consecinţelor lor exponenţiale într-o lume virtuală deja destul de problematică în sine.


Information Security, Insider Edition, Securing the Internet of Things (august 2014):

http://searchsecurity.techtarget.com/ezine/Information-Securitymagazine/A-comprehensive-guide-to securing-the-Internet-of-Things

Foarte bine scris și structurat, ca și toate ediţiile acestui e-maga zine, volumul de faţă se distinge prin pedagogia excelentă cu care sunt explicate cele 7 riscuri majore introduse de către obiectele IoT într-un ecosistem, adre sează întrebări antreprenorilor despre cât este serviciul lor de IT security pregătit sau nu să facă faţă la aceste riscuri iminente suplimentare, și în sfârșit subliniază („who’s in charge”) că fără o mobilizare și conștientizare colectivă a tuturor angajaţilor unei firme sub îndrumarea Security Officer-ului, introducerea unor noi unelte IoT este un gest pe cât de iresponsabil pe atât de extrem de periculos.


The President’s National Security Telecommunications Advisory Committee, NSTAC Report to the President on the Internet of Things, draft versiune finală, noiembrie 2014

http://www.dhs.gov/sites/default/files/publications/IoT%20Final%20Draft%20Report%2011-2014.pdf

Îngrijorător? Nu. Apocaliptic. Acest raport exemplar, vendor-neutral, nu iartă nimic și privește IoT și securizarea sa strict din punctul de vedere al reglementărilor legale. Concluzia din prima pagină a „final draft” este fără apel: „There is a small—and rapidly closing— window to ensure that IoT is adopted in a way that maximizes security and minimizes risk. If the country fails to do so, it will be coping with the consequences for generations” (p.3). Sunt disecate doate domeniile unde IoT s-a dovedit că poate să facă ravagii dezastruoase, de neconceput până în ultimii ani: furt de date, uzurparea de identitate, atac asupra infrastructurilor critice, valuri necontrolabile de malware și viruși, adică tot ceea ce deja cunoaștem, dar la nivel pandemic. Rămâne de văzut în ce măsură toate recomandările și evidenţele expuse în acest document fără apel vor fi folosite de către instituţii de forţă și de către juriști și autorităţi de reglementare din SUA.


UK Government office for Science, The Internet of Things: making the most of the Second Digital Revolution, A report by the UK Government Chief Scientific Adviser, 30.12.2014

https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/409774/14-1230-internet-of-thingsreview.pdf

So typically British, acest raport contrastează cu cel pomenit anterior (NSTAC), prin neutralitatea și flegmatismul său. Este o expunere foarte bună, ca un fel de balanţă, despre tot ce este pro și contra în IoT în forma sa actuală. Problemele de securitate sunt punctate eficient, dar fiind un document adresat politicienilor (este prefaţat de Premierul David Cameron) și Parlamentului, acest document nu poate decât să dea naștere la un sentiment amestecat care oscilează între a nu renunţa la profiturile imense aduse de aceste tehnologii și imperativitatea de a reduce drastic riscurile inerente.


TrapX Labs, Research report, Anatomy of an attack: The Internet of Things (IoT) – The Hidden Danger Exposed, martie 2015

http://trapx.com/wp-content/uploads/2015/02/Anatomy-of-Attack__Internet-of-Things.pdf

Pentru pasionaţi și nu numai, un mic manual care arată formele și metodele de atac asupra unui IoT tool și răspândirea acestui atac asupra altor obiecte conectate. Este și bine scris, și bine ilustrat, și arată cu mare talent nașterea/creșterea firmelor (ca și cea care a publicat raportul de faţă) care se specializează din ce în ce mai mult asupra securizării excluzive a IoT.


U.S. Federal Trade Commission, Staff report. Internet of Things. Privacy and Security in a Connected World (ianuarie 2015)

https://www.ftc.gov/system/files/documents/reports/federaltrade-commission-staff-report-november-2013-workshop-entitled-internet-things-privacy/150127iotrpt.pdf

55 de pagini care explică (aproape) toate aspectele IoT. Interesant faptul că raportul, destul de neutru, tratează bine situaţia: faţă de 3 pagini de „benefits” găsim 9 pagine de „risks” despre înfrângerea în sfera privată a cetăţeanului și a companiei, urmate de 30 de pagini de sfaturi de „good practices” și de propuneri de reglementări/ legiferări.


Information Security vol 17:3 Defending against the Digital Invasion (aprilie 2015):

http://searchsecurity.techtarget.com/ezine/Information-Security-magazine/Defending-againstthe-digital-invasion

Nici nu au trecut opt luni de la apariţia ediţiei dedicate problematicilor de secu ritate a IoT, și iată că revista Information Security revine, cu greutate, asupra aceleiași tematici. Cu interviuri și articole de clasa întâia, volumul pune chiar cititorul în faţa unei crize majore: IoT, daca este în plus dublat de BYOD, duce o firmă la o catastrofă sigură și rapidă. Sunt date nu numai soluţii tehnice, dar și posibilităţi de „formule” de aplicat imediat pentru a ieși nevătămaţi dintr-un labirint din ce în ce mai complex.


Mobile Working Group, Security Guidance for Early Adopters of the Internet of Things, Cloud Security Alliance peer-reviewed material, aprilie 2015

https://downloads.cloudsecurityalliance.org/whitepapers/Security_Guidance_for_Early_Adopters_of_the_Internet_of_Things.pdf

Pentru toţi cetăţenii și mai ales companiile care vor să cumpere / să implementeze unelte IoT acasă și la sediu dar încă (spre norocul lor!) nu au făcut-o încă. Acest ghid este exact ceea ce ar trebui difuzat urgent de către fiecare guvern din ţările avansate. Este simplu (55 de pagini), foarte bine explicat și agreabil (culmea!) de citit. Pune pe masă toate riscurile în funcţie de tipul de aparat (TV, smartphone, automate NFC și IoT pentru firme), tipul deţinătorului (cetăţean, firmă mică, firmă mare). Iar faţă de toate rapoartele recenzate mai sus, dă și soluţii pentru fiecare risc, multe dintre ele fiind strict legate de adptarea la un comportament uman, personal și colectiv de prudenţă. Apoi urmează soluţii tehnice, non-vendor, care explică firmelor cum și în ce condiţii merită implementate device-uri IoT. La sfârșit, cititorul găsește o pagină de referinţe de bază selecate cu grijă, i.e. numai cele indispensabile, pentru a deschide ușa universului de publicaţii/soluţii vendors/rapoarte

Recenziile din acest număr sunt redactate de către Laurent Chrzanovski și nu exprimă neapărat punctul de vedere al revistei.