Internet de las Cosas Peligrosas, Parte II: Conferencia RSA

SAN FRANCISCO – Algunos afirman que la industria de seguridad de la información no está cumpliendo con su misión de proteger las computadoras, las redes y toda la información que transita a través de Internet.

No hay duda que defender todos los dispositivos informáticos supone un gran reto, sobre todo en lo relativo a la protección de los dispositivos móviles, que en la última década ha experimentado un desarrollo muy importante. Probablemente no es una exageración decir que la lucha para salvaguardar a los equipos tradicionales y a los móviles modernos la encabezan los cibercriminales.

Cuando se camina por el hall central de la conferencia RSA en el Centro Moscone de San Francisco, uno se da cuenta de una absurda e irónica realidad. Millones de dólares son invertidos en los stands de las empresas. El propósito de esto es saturar el lugar con una multitud de productos y servicios de seguridad acompañados por decenas de profesionales del sector.

Mientras tanto, a pesar de las grandes inversiones realizadas para desarrollar estos productos, personas como Billy Rios -autor de una famosa presentación sobre hacking a la seguridad de los aeropuertos el año pasado– y David Jacoby realizaron demostraciones de ciberataques en las que destruyeron completamente sistemas de automatización de hogares, redes y dispositivos.

La Internet de las Cosas Peligrosas: documentando la inseguridad #IoT en la conferencia #RSA

Tweet

Para ser justos, muchas de las presentaciones realizadas en RSA apuntaban a forjar relaciones B2B (business to business). Sin embargo, los estudios más recientes demuestran que las computadoras actuales son inseguras, tanto en los hogares como en las oficinas. A pesar de esta realidad preocupante, la industria de la tecnología continúa persiguiendo de manera agresiva el objetivo de conectar cada vez más aparatos a Internet. De eso se trata la Internet de las Cosas, que ha demostrado ser un espacio inseguro.

En este sentido, no resulta sorpresivo que Billy Rios, fundador de la firma de seguridad Laconicly, haya explotado una vulnerabilidad que tiene dos años de antigüedad en el dispositivo de automatización de Vera para casas inteligentes. Esta falla de seguridad le permitió a Rios acceder a la red del dispositivo y a todas las computadoras conectadas a esta red.

So @XSSniper is going to demo a home automation hack at @RSAConference, using Pac-Man to illustrate it: http://t.co/LJW27SsAWJ

— Kelly JacksonHiggins (@kjhiggins) April 16, 2015

Ríos explotó una vulnerabilidad cross-site en el sistema de automatización de Vera y obligó al sistema a aceptar una actualización modificada del firmware. Más específicamente, Ríos usó una técnica de phishing en la que inducía a su víctima a visitar un sitio web malicioso con un malvertising integrado.

Una vez desactivado el mecanismo de actualización del firmware original de Vera, Rios carga su firmware que, en este caso, era una copia del Pac Man. Esto probó que Rios podía subir lo que quería a un dispositivo que controla cientos de otros aparatos IoT tales como cerraduras, termostatos, luces, sistemas de alarmas y puertas.

Kelly Jackson Higgins de Dark Reading reportó que Vera solucionaría este error con una actualización de firmware, cuya fecha no está determinada aún.

Nice wrap up of #IoT-related talks at #TheSAS2015: "Internet of Crappy Things: https://t.co/ORygHSJs9W

— Eugene Kaspersky (@e_kaspersky) February 20, 2015

Un día después, el investigador de seguridad de Kaspersky Lab David Jacoby desplegó una combinación de códigos maliciosos, exploits y técnicas de phishing para comprometer una red de almacenamiento adherida a su propia red hogareña en Suecia. Su presentación forma parte de un proyecto de Hackeo del hogar, que Kaspersky Daily ha documentado con gran detalle.

Researcher @JacobyDavid on home hacking at #RSAC: pic.twitter.com/InHS8GcBhj

— Securelist (@Securelist) April 22, 2015

Jacoby denunció que la mayoría de los fabricantes de los productos que consiguió atacar no mostraban ningún interés real en solucionar las vulnerabilidades de seguridad que él mismo había reportado. “La segmentación de Red, explicó Jacoby, es la mejor forma de mitigar estas fallas. Desafortunadamente, es una solución muy compleja para implementar con la mayoría de los usuarios promedio.”

Aproximadamente 20 minutos después de que Jacoby hizo su presentación, Yier Jin, un hacker de hardware y profesor asistente de la Universidad de Florida Central, demostró la existencia de una puerta trasera en los dispositivos de termostato de Nest.

A few demos generated by a customized toolchain on the Nest Thermostat is released. https://t.co/KCg3Wdy8gV

— Yier Jin (@jinyier) August 12, 2014

Jin encontró una puerta trasera en los dispositivos de Nest que le permitía instalar un firmware malicioso en todos esos aparatos. Además de eso, descubrió una forma de monitorear los datos que los dispositivos de Nest subían a los servidores cloud de esta compañía. Estos datos, según explicó Jin, incluían informaciones sensibles en la mayoría de los casos. Bajo estas circunstancias, un atacante podría por ejemplo determinar cuando un usuario no se encuentra en su casa.

Además, desde un punto de vista ético, Nest no le permite al usuario tomar la decisión de que sus datos no sean recopilados. Y, si esto no fuera poco, el acceso a la raíz le permitió a Jin ingresar a otros dispositivos conectados a la misma red y ver las credenciales en texto plano.

TL; DR – A pesar de los cientos de miles de millones de dólares invertidos en seguridad, las computadoras tradicionales y la Internet de las Cosas permanecen expuestos a los ataques cibernéticos.

Traducido por: Guillermo Vidal Quinteiro