La seguridad en dispositivos inteligentes es un tema candente hoy en día. Existen muchos artículos online en los que se habla de cómo hackers e investigadores encuentran constantemente vulnerabilidades en automóviles, neveras, hoteles y alarmas para el hogar. Todos estos dispositivos,están englobados dentro de la categoría “Internet de las Cosas” (Internet of things) y es uno de los temas sobre los que más se debate dentro de la industria. El único problema con este tipo de investigación, es que no podemos controlar todo. Si no somos incapaces de protegernos de las amenazas actuales, ¿cómo vamos a identificar y contrarrestar las nuevas amenazas futuras? Una casa moderna estándar puede tener fácilmente alrededor de cinco dispositivos conectados a la red local,sin contar conordenadores, tablets o smartphones. Me refiero a dispositivos como Smart TVs, impresoras, consolas de videojuegos, dispositivos de almacenamiento y reproductores multimedia.
Una casa moderna estándar puede tener alrededor de 5 dispositivos conectados, que no son ordenadores, tablets o teléfonos móviles. La mayoría de ellos son susceptibles de ser hackeados.
Tweet
Decidí empezar un proyecto de investigación para tratar de identificar lo fácil que sería hackear mi propia casa. ¿Son vulnerables los dispositivos conectados a mi red doméstica? ¿Qué podría hacer un atacante si estos dispositivos fueran comprometidos? ¿Se puede hackear mi casa? Antes de empezar con mi investigación, estaba bastante convencido de que mi casa era segura. Me refiero, a que trabajo en la industria de la seguridad informática desde hace más de 15 años y soy bastante paranoico cuando se trata de instalar parches de seguridad etc. Según mis cálculos, existenotras casas más “hackeables” que la mía, porque en realidad no tengo demasiados dispositivos de alta tecnología.
Durante mi investigación no me centré en los ordenadores, tablets o smartphones, sino en los otros dispositivos conectados a mi red doméstica. Fue una sorpresa darme cuenta de que en realidad tenía bastantes dispositivos conectados a mi red, la mayoría de ellos de entretenimiento: una smart TV, un receptor satélite, un reproductor DVD/Blue-ray, dispositivos de almacenamiento de red y consolas. Además, estoy mudándome a una nueva casa y he estado hablando con mi compañía de seguros. Me sugirieron que comprara el último modelo de sistema de alarmas, que se conecta a la red y se puede controlar desde un dispositivo móvil… Tras mi investigación, no estoy seguro de que esto sea muy buena idea.
Algunos de los dispositivos conectados a mi red:
- Dispositivo de almacenamiento de Red (NAS), de una marca famosa #1.
- NAS de una marca famosa #2.
- Smart TV.
- Receptor satélite.
- Router de mi proveedor ISP.
- Impresora.
Entre los dispositivos conectados a mi red son los siguientes:
Para que un hackeo sea considerado un éxito, debería lograrse al menos una de las siguientes cosas:
- Conseguir acceso al dispositivo; por ejemplo, acceder a los archivos que se encuentran en el dispositivo de almacenamiento de red.
- Conseguir acceso administrativo/operativo al dispositivo
- Ser capaz de transformar/modificar el dispositivo según mis propios intereses (puerta trasera, etc.).
Antes de llevar a cabo la investigación, actualicé todos mis dispositivos con la última versión de firmware. Durante el proceso, también me di cuenta de que no todos los dispositivos disponen de sistemas de actualización automáticos, lo que hacía del proceso algo bastante tedioso. Otra observación interesante fue que la mayoría de los productos estaban descatalogados desde hacía más de un año, o simplemente no disponían de actualizaciones disponibles.
El Hackeo
Tras analizar los dispositivos de almacenamiento de red, encontré 14 vulnerabilidades que podrían permitirle a un hacker ejecutar comandos del sistema de forma remota, con privilegios de administrador. Los dos dispositivos no sólo tenían una interfaz web vulnerable, sino que la seguridad local de los dispositivos también era escasa. Los dispositivos tenían unas contraseñas muy débiles, permisos incorrectos en los archivos de configuración y claves en texto plano. Para conocer más detalles sobre el hacheo de estos dispositivos, puedes leer un artículo más extenso en Viruslist
Durante el proyecto de investigación, me encontré con otros dispositivos que tenían funciones ‘ocultas’. Uno de éstos dispositivos era mi router ADSL,de mi proveedor de acceso a Internet (ISP). Descubrí que había muchísimas funciones a las que yo no tenía acceso. Entonces supuse que mi proveedor de acceso a Internet o el fabricante, eran quienes tenían el CONTROL TOTAL del dispositivo, y podían hacer lo que quisieran con él y acceder a todas las funciones a las cuales yo no tenía permiso. Con sólo mirar los nombres de las funciones ‘ocultas’, todo parecía indicar que el proveedor de servicios de Internet podía, por ejemplo, crear accesos para conectarse a cualquier dispositivo de mi red. ¿Qué pasaría si estas funciones cayeran en las manos equivocadas? Entiendo que supuestamente estas funciones están para ayudar al proveedor de servicios de Internet para realizar soporte técnico, pero cuando accedo utilizando mi cuenta de administrador, no tengo el control total de mi propio dispositivo, lo que es aterrador, especialmente cuando algunas de estas funcionen tienen nombres como ‘Cámara Web’, ‘Configuración experta de telefonía’, ‘Control de Acceso’, ‘WAN-Sensing’ y ‘Actualizaciones’.
Actualmente, sigo trabajando en esta investigación para ver qué es lo que hacen estas funciones realmente. Si encuentro algo interesante, estoy seguro de que publicaremos otro artículo
Para hackear la Smart TV y el reproductor DVD, tuve que esforzarme más. Jugué con la idea de que yo era un hacker que ya había comprometido los dos dispositivos de almacenamiento de red ¿Qué podía hacer ahora? Los reproductores multimedia (Smart TV y DVD) tienen más facilidad para leer la información de los dispositivos de almacenamiento (que ya había comprometido previamente). Una vez llegados a ese punto, me puse a buscar potenciales vulnerabilidades de ejecución de códigos en mi Smart TV y mi reproductor de DVD, pero como me costaron mucho dinero, decidí no seguir adelante con la investigación. No se trataba sólo del dinero que perdería si estropeaba mi recién estrenada LED Smart TV, tampoco sabía cómo explicarle a mis hijos que había destrozado la TV y que se quedarían sin ver Scooby Doo. Sin embargo, logré identificar un curioso problema de seguridad en la Smart TV. Cuando el usuario accede al menú principal de configuración del dispositivo, todas las imágenes en miniatura y widgets se descargan desde los servidores del fabricante si el dispositivo está conectado a la red.La TV no usa ningún tipo de autentificación o codificación para descargar esos contenidos, lo que significa que un hacker podría lanzar un ataque man-in-the-middle contra la TV y modificar las imágenes en la interfaz de administración o hacer que la TV cargue un archivo JavaScript, lo cual no es nada bueno. Un vector de ataque potencial sirve para utilizar JavaScript para leer los archivos locales del dispositivo y utilizar los contenidos de los archivos para encontrar más vulnerabilidades. Pero estoy trabajando en ello, junto al fabricante, para ver si es posible o no. Como prueba de mi ataque he sustituido la imagen de un widget por una foto de Borat. Yakshemash!
La Conclusión
Este artículo no nombra concretamente a ninguna TV, NAS o router ADSL a propósito. El objetivo de mi investigación no es alardear sobre las vulnerabilidades que he descubierto o resaltar los fallos de seguridad de ciertas líneas de productos de una determinada marca. Siempre habrá vulnerabilidades, eso es algo que tenemos que entender. No obstante, por “entender” no me refiero a “aceptar”. Me refiero a que tenemos que hacer algo al respecto. Debemos concienciarnos de las consecuencias de estos fallos y asumir que nuestros dispositivos pueden (si es que no lo están ya) ser comprometidos por los hackers. Tenemos que empezar a asumir que los productos son vulnerables y que los hackers pueden y van a tener acceso a ellos.
Quiero terminar mi investigación diciendo que nosotros, a nivel personal y de las empresas, debemos comprender los riesgos de los dispositivos con conexión de red. También tenemos que entender que nuestra información no está segura sólo porque tengamos una contraseña fuerte o una solución antivirus contra virus maliciosos. Igualmente, tenemos que entender que hay muchas cosas sobre las que no tenemos ningún control, y que, en gran medida, dependemos de los fabricantes de software y hardware. Me llevó menos de 20 minutos descubrir y verificar vulnerabilidades extremadamente graves en un dispositivo que supuestamente era seguro; un dispositivo en el que ingénuamente confiamos y en el que guardamos la información que no queremos que nos roben.
Tenemos que encontrar soluciones alternativas que ayuden a las personas y a las empresas a mejorar su seguridad. Este no es un problema que puedas solucionar simplemente instalando un parche o un producto de seguridad. Por eso, quiero acabar este artículo diciendo que aunque la industria del entretenimiento familiar no esté preocupada por la seguridad, nosotros en Kaspersky Lab sí lo estamos, y creemos que con un par de consejos se puede mejorar la seguridad de los usuarios. Con suerte, algunos fabricantes leerán este artículo y mejorarán la seguridad de sus softwares. Pero hasta que eso ocurra, aquí tienes unos cuantos consejos que mejorarán tu protección:
- Asegúrate de que todos tus dispositivos cuenten con las últimas actualizaciones de seguridad y firmware. Esto es un problema para muchos dispositivos, pero por ahora es lo mejor que puedes hacer para protegerte contra las vulnerabilidades que ya conocemos. También te permite saber si hay actualizaciones disponibles para tus dispositivos o si éstos ya están descatalogados.
- Asegúrate de cambiar el usuario y la contraseña predeterminados; esto es lo primero que un hacker intentará vulnerar para comprometer tu dispositivo. Recuerda que aunque sea un producto ‘estúpido’, como un receptor satélite o un dispositivo de almacenamiento de red, sus interfaces de administración suelen tener serias vulnerabilidades.
- Encripta tus archivos, incluso aquellos que guardas en tu dispositivo de almacenamiento de red. Si no tienes acceso a una herramienta de codificación, puedes colocar tus archivos en un archivo ZIP protegido por una contraseña; sigue siendo mejor que no hacer nada.
- La mayoría de los routers y switches domésticos ofrecen la posibilidad de configurar diferentes DMZ/VLAN. Esto significa, que puedes configurar tu propia red ‘privada’ para tus dispositivos con conexión de red, para restringir el acceso a la red desde y hacia este dispositivo.
- Utiliza el sentido común y acepta que todo puede ser hackeado, incluso tus dispositivos hardware.
- Si eres un paranoico de la seguridad siempre puedes monitorizar el tráfico de salida de red de estos dispositivos, para ver si hay algo extraño, pero para ello se necesitan ciertos conocimientos técnicos. Otra buena opción es restringir el acceso de los dispositivos con conexión de red para que no accedan a páginas web inadecuadas, y sólo permitirles conectarse para actualizarse, nada más.