SAN FRANCISCO – Algunos afirman que la industria de seguridad de la información no está cumpliendo con su misión de proteger los ordenadores, las redes y toda la información que transita a través de Internet.
No hay duda que proteger a todos los dispositivos informáticos supone un gran reto, sobre todo en lo relativo a la protección de los dispositivos móviles, que en la última década ha experimentado un desarrollo muy importante. Probablemente no es una exageración decir que la lucha para proteger a los tradicionales ordenadores y a los modernos móviles la encabezan los cibercriminales.
La Conferencia RSA en el Moscone Center (centro de convenciones) de San Francisco refleja una realidad absurda e irónica. Se invierten incalculables millones de dólares en los stands de los vendedores, cuyo propósito es vender múltiples productos y servicios de seguridad a un gran número de profesionales de la seguridad. Mientras tanto, a pesar de las grandes inversiones necesarias para desarrollar estos productos, personas como Billy Ríos, quien hizo una presentación muy famosa sobre la piratería y la seguridad en los aeropuertos el año pasado, y David Jacoby han demostrado que es posible hackear el control absoluto de los sistemas de automatización que se encuentran en los hogares modernos, las redes y los dispositivos de consumo.
El Internet de las Cosas (Inútiles): informando sobre la inseguridad del #IoT en directo desde la #RSAC
Tweet
A decir verdad, la mayoría de los negocios que se realizan aquí en la RSA es entre empresas. No es una conferencia de seguridad para consumidores. Los títulos de las principales revistas y periódicos y los distintos debates celebrados en numerosas conferencias demuestran claramente que los ordenadores son inseguros, aunque estén en tu casa o en la oficina. A pesar de esto, la extensa industria de la tecnología está intentando perseguir agresivamente la brillante idea de conectar más cosas extrañas a Internet a escala exponencial. Esto es lo que llamamos el “Internet de las Cosas”, y tampoco es algo seguro.
Por lo tanto, no sorprende que Billy Ríos, fundador de la empresa de seguridad informática Laconicly, haya aprovechado una vulnerabilidad de hace dos años en un dispositivo de automatización para casas inteligentes de la marca Vera, que a cambio le dio acceso total a la red del dispositivo y a todos los ordenadores conectados a éste.
So @XSSniper is going to demo a home automation hack at @RSAConference, using Pac-Man to illustrate it: http://t.co/LJW27SsAWJ
— Kelly Jackson Higgins (@kjhiggins) April 16, 2015
Ríos aprovechó una vulnerabilidad de cross-site presente en el sistema de domótica de Vera y lo forzó a aceptar una actualización modificada del firmware. Para ser más específicos, Ríos utilizó un método de phishing con el cual obligó (hipotéticamente) a su víctima a visitar un sitio web malicioso utilizando técnicas malvertising.
La actualización del mecanismo del firmware del dispositivo de Vera se desactivó, y Ríos cargó su propio firmware, que, en este caso, era una copia de Pac-Man. Su firmware “malicioso” es divertido, pero la cuestión es que podría haber cargado lo que quisiera al dispositivo diseñado para controlar muchos otros dispositivos del IoT, como smart locks (bloqueo inteligente), termostatos, luces, sistemas de alarmas y puertas de garaje, por nombrar algunos.
Kelly Jackson Higgins de Dark Reading ha anunciado que Vera solucionará el error con una actualización del firmware.
Nice wrap up of #IoT-related talks at #TheSAS2015: "Internet of Crappy Things: https://t.co/ORygHSJs9W
— Eugene Kaspersky (@e_kaspersky) February 20, 2015
Un día después, David Jacoby, investigador senior de seguridad de Kaspersky Lab, utilizó una mezcla de códigos maliciosos y técnicas de phishing para ceder un dispositivo con red de almacenaje a la red de su casa en Suecia. Esta presentación es parte de un hackeo mucho más amplio de la casa, de la que ya hemos hablado aquí en Kaspersky Daily.
Researcher @JacobyDavid on home hacking at #RSAC: pic.twitter.com/InHS8GcBhj
— Securelist (@Securelist) April 22, 2015
Jacoby insistió mucho en el tema porque la mayoría de los vendedores no se interesan por las diversas vulnerabilidades de seguridad. También dijo que la segmentación de redes es probablemente la mejor solución para estos errores. Desafortunadamente, la segmentación de redes es una solución complicada para los usuarios medios.
Unos 20 minutos después de la presentacón de Jacoby, Yier Jin, un hacker de hardware y profesor asistente en la Universidad de Florida Central, nos mostró una puerta trasera presente en los famosos termostatos inteligentes de la marca Nest.
A few demos generated by a customized toolchain on the Nest Thermostat is released. https://t.co/KCg3Wdy8gV
— Yier Jin (@jinyier) August 12, 2014
Jin encontró que la puerta trasera le permitió instalar un firmware malicioso en el dispositivo. Además de eso, descubrió una manera de registrar los fragmentos de datos que los dispositivos de Nest transfieren a los servidores de la nube de Nest. Entre estos, el experto explicó que a menudo es información sensible. Un hacker podría saber si un usuario de Nest se encuentra o no en casa. Aparte de esto, el usuario no puede evitar la recopilación de estos datos. Si esto no fuera suficiente, el acceso a la raíz de Jin podía permitirle el acceso a otros dispositivos de la misma red, ver las credenciales de red en texto plano, entre otras cosas.
En resumen, a pesar de los miles de millones de dólares invertidos en la seguridad, los ordenadores tradicionales, por no mencionar el Internet de las Cosas (inútiles), siguen estando expuestos a ciberataques.