Follow us on:
Perspectives

Como la "casa inteligente" desvela nuestras vidas

Sunday, 01 January 2017 Maria Jose de la Calle Posted in iTTi Views

La inseguridad de los objetos conectados

El título del artículo es un remedo de otro cuyo título es "Cómo los modernos dispositivos desvelan nuestras vidas"[i], centrado en la falta de [ciber]seguridad de dispositivos de uso cotidiano a los que hoy día se ha dotado de funciones propias de un ordenador y de conectividad a Internet. Dispositivos como frigoríficos, termostatos, "vigilabebés", televisores, cámaras de vigilancia, cerraduras "inteligentes",etc., los cuales, por medio de un chip, pueden recoger, procesar, enviar y recibir datos, y actuar con y sin intervención humana. 

 

Se ha demostrado que dichos objetos conectados son muy vulnerables, no sólo por los resultados de las investigaciones que expone el artículo mencionado, sino por otras anteriores o por ataques  ya acaecidos. No hay más que escribir en un buscador, por ejemplo, "vulnerabilidades IoT" para encontrar gran cantidad de información, como el estudio realizado por HP en 2014 sobre el tema. 

 

Según el blog "Segu-Info"[ii], que comentaba dicho estudio, se encontró una media de 25 vulnerabilidades en cada dispositivo examinado -cámaras web, termostatos, tomas de alimentación remota, alarmas, cerraduras, etc.- lo que los hace estar expuestos a ataques. El fácil acceso a cualquiera de ellos, manipulables a distancia, no sólo podría servir para modificar datos o comportamientos del propio dispositivo sino para hacer de puerta de  acceso a otros dispositivos teóricamente más protegidos con los que estuvieran conectados, como ordenadores o teléfonos.

 

Botnets, Mirai y Dyn

 

La falta de protección de estos objetos hace que sea fácil introducir en ellos malware por personas no autorizadas con el fin de tomar control sobre ellos y ordenar acciones cuando quieran. De esta manera los atacantes forman una red de dispositivos a sus órdenes. Esta red es lo que se conoce como "botnet", red de dispositivos comprometidos. 

 

Hasta ahora, las botnet estaban fundamentalmente formadas por ordenadores personales, a los que se han ido uniendo teléfonos, tabletas, y en el momento actual cualquier objeto más simple conectado, mucho más sencillo de controlar que los anteriores. Estos objetos vienen con una configuración de fábrica, incluidas las contraseñas, las cuales, en muchos casos, como el de los routers, están publicadas en Internet por fabricante y modelo; en otros, están recopiladas en diccionarios utilizados para perpetrar ataques con herramientas de forma automática. 

 

Incluso hay dispositivos para los cuales entre las recomendaciones del fabricante está la de no cambiar la contraseña, ya que podría dejar de funcionar correctamente, o también que esta acción sea realmente difícil para llevarla a cabo por los propios usuarios [iii]. 

 

El pasado 21 de octubre se produjo un ataque de denegación de servicio distribuido o DDoS (Distributed Denial of Service) contra la empresa Dyn, utilizando para ello un malware -"Mirai"- para comprometer miles de dispositivos de la IoT. Dyn es un proveedor de DNS's. El DNS -Domain Name System- es una tabla que relaciona la dirección digital -dirección IP, una serie de ceros y unos- dónde reside una página, con su nombre o URL (Uniform Resource Locator)  -ej. www.twitter.com-, que es la forma acostumbrada al navegar o buscar una página. 

 

Ese ataque, citando el blog de "Kaspersky Lab"[iv] se produjo por medio de una botnet de miles de dispositivos conectados (IoT) lanzando tantas peticiones a la vez a los servidores de la empresa -1,2 terabits/sg- que los colapsaron. 

 

La consecuencia fue que no se pudo acceder durante unas horas a las web correspondientes a las URL's de empresas (muchas muy grandes) registradas en servidores de Dyn. Más de 80 grandes websites y servicios en-línea quedaron inaccesibles, como si se hubiera ejecutado un ataque sobre todas ellas a la vez, y no estuvieran accesibles. ¡Y no lo estaban! No se podía encontrar la dirección IP de las url's correspondientes ya que el servidor de DNS no podía responder.  

 

Entre las páginas afectadas figuraban Netflix, PayPal, Sony PlayStation, y, tampoco se podía tweetear, porque también Twitter era un cliente de Dyn.    

 

Siguiendo con el mismo post del blog de "Kaspersky Lab" citado, "Mirai" ya se utilizó en el mes de septiembre de este año para lanzar un ataque sobre el blog [v] del periodista de seguridad Brian Krebs, colapsando el servidor con peticiones de 665 gigabits/sg procedentes  de 380.000 dispositivos zombis.

 

Poco después del ataque, se publicó el código fuente de "Mirai", provocando que el número de bots aumentara. El ataque a Dyn ocurrió menos de un mes después. 

 

El pasado 14 de octubre y unos días antes del ataque a Dyn, el "Department of Homeland Security" de los EEUU publicó una alerta [vi] sobre "Mirai" y sobre los peligros de los ataques DDoS por botnets de dispositivos de la IoT. La alerta también preveía posibles ataques futuros. Concretamente "Mirai" se apoya en dispositivos de la IoT, tal como routers de los hogares, cámaras con IP y aparatos de vídeo.  

 

El éxito de los ataques DDoS sólo dependen de lanzar solicitudes suficientes para colapsar la capacidad de los servidores atacados, es decir, el ancho de banda. Cuanto más ancho de banda más peticiones a la vez se necesitan, o lo que es lo mismo, más dispositivos. Pero su número no parece que vaya a ser un problema con la IoT, con la que se puede contar con billones de dispositivos conectados para hacer una botnet, o unir varias de las ya existentes. 

 

La "casa inteligente" 

 

Se puede definir como un edificio en el cual hay una red domótica que abarca comunicaciones, seguridad, iluminación, climatización, aparatos de música, televisión, puertas, y cualquier objeto al que se le haya dotado de un chip y pueda proporcionar alguna función en el hogar.  

 

Estos objetos, conectados a Internet, pueden ser manejados a distancia por otros dispositivos y/o por un ordenador, teléfono o tableta, con o sin intervención humana, pueden enviar alertas, e incluso, pueden hablar, caso de "Echo"[vi]i de Amazon. Este dispositivo con su interfaz de voz "Alexa", responde preguntas como si de una "Wikipedia" parlante se tratara, proporciona información sobre la previsión meteorológica u horarios de eventos locales; además, es un reproductor de música, y puede controlar niveles de luz o termostatos. 

 

"Echo" siempre está escuchando las conversaciones por si se dice "Alexa", en cuyo caso tiene que responder. En la casa hay otros aparatos que también están a la escucha, como el televisor cuyo mando se ha sustituido por la voz. 

 

Para la seguridad en la casa hay cámaras, que estarán conectadas o desconectadas según los requerimientos de los habitantes de la casa. 

 

Las puertas de la calle o del garaje se abrirán cuando detecten a alguien o algo, como el coche, que tenga permiso para entrar, bien por alguna señal enviada por algún otro dispositivo, por reconocimiento facial o por la voz. 

 

Todas estas funciones se apoyan, como ya se ha dicho, en chips que constituyen pequeños ordenadores con sus mismas necesidades de seguridad pero sin las medidas que sus homólogos más tradicionales, los ordenadores o los teléfonos, ya tienen. Y todos estos aparatos están en el hogar.  

 

Ya se ha apuntado que cualquiera puede fácilmente acceder a los "objetos inteligentes" que conforman el "hogar inteligente", con lo cual la confidencialidad y la integridad de los datos que recogen, procesan y comunican están en entredicho. Son datos que se pueden robar, divulgar o vender; y el software se puede manipular. 

 

Un escenario podría ser el siguiente: se podría modificar el software de la cerradura para dejar pasar a un intruso. La cerradura conectada con las cámaras de vigilancia, las indica que todo es correcto y no se activa la alarma. El intruso previamente ha recogido datos de las costumbres de los habitantes de la casa gracias a los objetos de escucha y a las cámaras. 

 

La ingeniería social [viii], técnicas psico-sociológicas para obtener ilegítimamente información de terceros,   nunca fue tan sencilla. El intruso puede anticipar que no haya nadie en casa o que quien esté no le vaya a suponer un problema. 

 

Según "Help Net Security" en un artículo [ix] del 19 de septiembre pasado, parece que hay un alarmante incremento de "ransomware" (extorsión basada en la amenaza del cese de un servicio tecnológico), en televisores inteligentes y en cámaras conectadas, ataques de inyección de código y amenazas de "día-cero", así como muchas vulnerabilidades en protocolos de comunicación para el "hogar inteligente".  

 

Esta falta de seguridad que puede servir para recoger datos sobre todo lo que ocurre en el hogar, espacio que es considerado eminentemente privado, es lo que constituye una preocupación especial en la seguridad de la información en general.  

 

Teniendo en cuenta que los objetos "escuchan" y "ven", la información disponible no son sólo datos acerca de la temperatura de la casa o del nivel de iluminación deseada, es información sobre lo que dicen y hacen las personas que la habitan, sus costumbres y sus gustos, información personal e íntima que expone la vida de sus habitantes a ojos y oídos no deseados. 

 

Conclusión

 

La importancia de la seguridad de la IoT en general, y de los dispositivos inteligentes para los hogares en particular se torna vital. Por una parte, la inseguridad de estos dispositivos los hace muy apetecibles para ser utilizados para actividades no deseadas. Y teniendo en cuenta su gran número, su potencia de ataque es extraordinaria, pudiendo inhabilitar parte de Internet actuando sólo sobre unos cuantos servidores -ataque a Dyn-. Por otra, puede hacer de nuestros hogares un lugar inseguro y vigilado. 

 

¿Tienen los ciudadanos que ser expertos en ciberseguridad para tener su casa segura? 

 

El número 315 de "Cuadernos de Seguridad", del pasado mes de octubre, contiene una entrevista a Miguel Ángel Abad, Jefe del Servicio de Seguridad del Centro Nacional para la Protección de Infraestructuras Críticas o CNPIC. En ella Abad opinaba lo siguiente: 

 

"... pongo en duda que los usuarios deban convertirse en expertos en ciberseguridad. A nivel personal opino que la ciberseguridad debe evolucionar hacia sistemas transparentes para el usuario final," 

 

A los ciudadanos no se les debería convencer de que son ellos responsables de que sus dispositivos sean seguros. Son los fabricantes los que deben proporcionar dispositivos seguros, e instalarlos en los hogares de forma segura, haciéndose responsables de los posibles fallos que puedan tener, análogamente a otros cualesquiera fallos físicos de funcionamiento.  

 

Pero corresponde a la sociedad civil, a los ciudadanos, las asociaciones, los partidos políticos, los colegios profesionales crear un estado de opinión que fuerce a los políticos a un necesario esfuerzo regulador. Y mientras tanto, no estaría de más mantenerse informado sobre lo que puede traernos un empacho de tecnología, dejándonos embaucar por lo atractivo de lo que nos aporta, sin considerar que podemos estar (y estamos) metiendo el caballo de troya en el dormitorio de nuestros bebés, en el coche automático o en la 'termomix'.

 

* * *

 

Este artículo fué publicado originalmente por @PuntoSeguridad.com/"Cuadernos de Seguridad", diciembre, 2016, nº 317, pg.64, Ciberseguridad – "Cómo la «casa inteligente» desvela nuestras vidas" – María José de la Calle.  

 

---------------------------------

 

[i] Mirko Zorz (9 de mayo, 2016). "Internet of Fail: How modern devices expose our lives". HelpnetSecurity.  url [a 30-10-2016] https://www.helpnetsecurity.com/2016/05/09/internet-of-fail/ 

[ii] "Segu-Info" (5 de agosto, 2014) "Internet of Things: un promedio de 25 vulnerabilidades por dispositivo". url [a 30-10-2016] http://blog.seguinfo.com.ar/2014/08/internet-of-things-un-promedio-de-25.html  

[iii] Brian Krebs (16 de octubre, 2016) "Who Makes the IoT Things Under Attack?" KrebsOnSecurity. url [a 30-10-2016] https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/ 

[iv] Kate Kochetkova (26 de octubre, 2016) "How to not break the Internet". Kaspersky-lab. url [a 30-10-2016] https://blog.kaspersky.com/attack-on-dyn-explained/13325/ 

[v] Brian Krebs (16 de septiembre, 2016) "KrebsOnSecurity Hit With Record DDoS". KrebsOnSecurity. url [a 30-10-2016]  https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/ 

[vi] "Heightened DDoS Threat Posed by Mirai and Other Botnets" (14 de octubre, 2016). DHS. url [a 30-10-2016] https://www.us-cert.gov/ncas/alerts/TA16-288A  

[vii] url [a 30-10-2016] https://www.amazon.com/Amazon-Echo-Bluetooth-Speaker-with-WiFi-Alexa/dp/

[viii] url [a 30-10-2016]  https://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_%28seguridad_informática%29 

[ix] "Connected devices riddled with badly-coded APIs, poor encryption" (9 de septiembre, 2016) "Help Net Security" url [a 30-10-2016] https://www.helpnetsecurity.com/2016/09/19/connected-devices-insecurity/ 

 

Comments (0)

Leave a comment

You are commenting as guest.

To find out more about the cookies we use and how to delete them, see our privacy policy.

I accept cookies from this site.
EU Cookie Directive plugin by www.channeldigital.co.uk