Llegamos a ustedes gracias a:



Reportajes y análisis

Resolución de año nuevo para los proveedores de IoT

Comiencen a tratar las LANs como hostiles

[30/01/2017] En noviembre del año pasado, los investigadores de la empresa de seguridad cibernética Invincea informaron de una vulnerabilidad que podría haber permitido a los hackers infectar los enchufes inteligentes Belkin WeMo con malware. La falla se localizó en un protocolo de configuración que funcionaba sobre la red de área local y no requería ninguna autenticación.

En el 2015, cuando los investigadores de Rapid7, la firma de inteligencia de vulnerabilidad, analizaron nueve monitores de bebé conectados a Internet, encontraron credenciales codificadas en cuatro de ellas. Esas cuentas de backdoor proporcionaron acceso administrativo a los dispositivos a través de la red local.

El uso de cuentas ocultas, protocolos de administración no autenticados, y claves criptográficas codificadas o contraseñas, es muy común en el mundo de dispositivos IoT y dispositivos integrados. Estos problemas, que equivalen a configuraciones por defecto inseguras, se encuentran con frecuencia no solo en productos de consumo, sino también en empresas, incluyendo firewalls y otros dispositivos de seguridad.

Por ejemplo, a principios de diciembre los investigadores de SEC Consult advirtieron que 80 modelos de cámaras de seguridad profesionales de Sony -utilizadas principalmente por empresas y agencias gubernamentales- tenían cuentas de backdoor. Y este es solo uno de los muchos casos reportados el año pasado.

Estas debilidades básicas no se derivan de las prácticas de programación inseguras -de las que muchos proveedores también son culpables-, sino de no tomar todo tipo de ataques en cuenta al diseñar sus productos. Como resultado, podrían eliminarse más fácilmente que las vulnerabilidades relacionadas con el código, lo que requeriría inversiones en formación de desarrolladores y revisiones de seguridad.

Este tipo de configuraciones inseguras podrían evitarse fácilmente si los fabricantes de dispositivos incluyeran ataques basados en LAN en su modelado de amenazas, pero la mayoría todavía parecen tratar las redes de área local como entornos implícitamente confiables, creyendo que los atacantes solo se dirigen a dispositivos que pueden llegar directamente desde La Internet.

Lamentablemente eso no ha sido por muchos años. Los ataques de falsificación de solicitudes cruzadas (CSRF, por sus siglas en inglés) que secuestran los navegadores de los usuarios cuando visitan sitios web maliciosos, y los utilizan para atacar a routers y otros dispositivos a través de la red local, son ahora comunes.

Los hackers frecuentemente también infectan computadoras portátiles o teléfonos con malware, y luego buscan otros sistemas en LAN que puedan comprometer para obtener un punto de apoyo permanente -una práctica conocida como movimiento lateral.

"Esta mentalidad de 'confiar en la LAN' es muy frecuente", señaló Craig Young, investigador principal de seguridad de Tripwire. "El riesgo de CSRF o aplicaciones comprometidas de smartphone es enorme y nadie parece conseguirlo, en muchos casos la LAN no necesita vulnerabilidades expuestas, porque los dispositivos ni siquiera requieren autenticación de dispositivos locales".

Hace apenas unas semanas, Proofpoint descubrió una campaña de malversación a gran escala que invadió los routers de las personas a través de CSRF. Los atacantes colocaron anuncios maliciosos en redes publicitarias usadas por sitios populares, y redirigieron a sus visitantes a un kit de herramientas de ataque basado en web. El objetivo final era escanear sus redes locales a través de sus navegadores, identificar sus routers e intentar comprometerlos.

El kit de herramientas tenía huellas dactilares digitales para 129 modelos de routers y exploits para 36 de ellos. Para el resto, intentó utilizar las credenciales predeterminadas conocidas para iniciar sesión.

Los ataques CSRF no son la única posibilidad de atacar dispositivos LAN que no están expuestos directamente a Internet. También se pueden utilizar programas maliciosos que se ejecutan en computadoras o teléfonos inteligentes con este fin.

Los investigadores de Kaspersky Lab encontraron recientemente el primer malware basado en Android construido para hackear routers. Una vez instalado en un teléfono, la aplicación malintencionada adivina una contraseña a la fuerza contra la interfaz web de administración del enrutador a través de la red local.

Muchos proveedores de IoT basan su estrategia de defensa en el hecho de que sus dispositivos se instalarán detrás de los routers, en lugar de centrarse en la seguridad de los dispositivos, anota Brian Knopf, director senior de investigación de seguridad y arquitecto de IoT en Neustar. "Este pensamiento de los fabricantes es ignorante".

Knopf, quien anteriormente trabajó en seguridad de productos en Linksys, Belkin y Wink, dio el ejemplo de una vulnerabilidad del 2013 que encontrada en el puente Philips Hue que controla las bombillas inteligentes en hogares u oficinas. La debilidad provenía de un protocolo de gestión inseguro que usaba tokens de acceso basados en direcciones MAC físicas para autenticar comandos.

La falla solo fue explotable a través de la LAN, por lo que el investigador que encontró el problema escribió un exploit en Java que podría ser entregado remotamente a una computadora a través del navegador para recopilar direcciones MAC locales, y utilizarlas para enviar comandos deshonestos al puente Philips.

"Lo único que cambiará este pensamiento atrasado por parte de los proveedores es que haya requisitos obligatorios con penas vinculadas a no hacerlas", anota Knopf. "Claro, hay compañías de IoT que hacen lo correcto, pero son superadas en número por aquellos que no lo hacen".

Uno de los principales defectos en la mayoría de los dispositivos conectados es que confían en otros dispositivos de la red local de forma predeterminada, comenta Ted Harrington, socio ejecutivo de Independent Security Evaluators, la empresa que organiza el concurso de hacking IoT en la conferencia Def Con cada año. "Esto es una violación del principio de diseño seguro fundamental, conocido como Asumir hostilidad o confianza en la renuencia".

Asumir la confianza en lugar de la hostilidad es problemático por varias razones, y los llamados ataques de escalones son una de ellas, indica Harrington. Se trata de ataques en los que los hackers ponen en peligro sistemas que ya tienen cierto nivel de confianza o acceso a su objetivo final.

Uno de esos ataques llevó a la brecha del 2013 en Target que afectó a más de 100 millones de clientes. En ese caso, los atacantes comenzaron por comprometer un sistema de calefacción, ventilación y aire acondicionado (HVAC, por sus siglas en inglés) y que les permitió finalmente llegar a la red de puntos de venta de la compañía.

Muchos pequeños aparatos electrónicos no parecen tener mucho valor para los atacantes a primera vista, porque tienen bajo poder computacional. Pero eso puede ser engañoso: su compromiso es menos probable que se detecte y se pueden utilizar para lanzar ataques contra objetivos más valiosos ubicados en la misma red.

"Sin considerar adecuadamente el modelo de confianza en la red local, cada dispositivo adicional instalado presenta una nueva forma de comprometer la red", indica Harrington.

En el 2016 hubo aproximadamente 100 informes de credenciales predeterminadas codificadas o inseguras en dispositivos embebidos, según estadísticas de la firma de inteligencia de vulnerabilidad Risk Based Security. Desde el 2013, se han reportado cerca de 550 debilidades.

"Incluso antes de que IoT se hiciera enormemente popular, los dispositivos integrados tenían una seguridad mezquina", indica Carsten Eiram, director de investigación de Risk Based Security. "Estos dispositivos tienen a menudo 10 años por detrás del software normal cuando se trata de la madurez del código desde una perspectiva de seguridad. Gran parte de eso es por la falta de escrutinio que recibieron".

Según Eiram, es difícil decir si algunos dispositivos IoT están plagados de problemas de configuración inseguros, porque sus creadores no tienen en cuenta las amenazas locales o porque no tienen ni idea de la seguridad en general.

"Creo que la llamada a la acción para los dispositivos embebidos/proveedores de IoT no es mucha: Tiene que tomar la seguridad en serio al no ver los ataques basados en LAN como menores", tanto como "debe empezar a preocuparse por la seguridad"; indica Eiram. "Pero si algunos proveedores consideran que los ataques basados en LAN están fuera de su modelo de amenaza, ciertamente tienen que empezar a incluirlos".

En la experiencia de Eiram, algunos proveedores ni siquiera consideran la posibilidad de que alguien sea capaz de descubrir sus contraseñas codificadas, o de realizar ingeniería inversa en sus protocolos de comunicaciones propietarias.

Es preocupante que muchas empresas no cuenten con políticas para controlar quién y en qué circunstancias pueden llevar dispositivos IoT a sus redes, señala Eiram. Esto crea un problema de TI en la sombra donde las empresas no tienen ni siquiera un seguimiento de este tipo de dispositivos, por lo que es aún más importante para ellos desarrollarse pensando en la seguridad, añade Eiram.

Los consumidores se enfrentan a un problema similar en la aplicación de controles de acceso en sus redes, según Alex Balan, investigador de seguridad en jefe del proveedor de antivirus de Bitdefender. Ponen estos nuevos dispositivos -desde termostatos inteligentes y sensores, a los timbres conectados a Internet y cámaras de seguridad- en sus hogares, sin restringir quién puede acceder a ellos. A continuación, comparten sus contraseñas Wi-Fi con amigos y familiares que traen sus propias computadoras portátiles y teléfonos inteligentes que pueden estar infectados.

"Debe hacerse una pregunta simple: '¿Mi red doméstica puede ser hackeada?'", señala Balan. "Si la respuesta es sí, entonces pregúntese por qué tiene este tipo de políticas de seguridad débiles, considerando todos los datos sensibles dentro de la red -fotos privadas, documentos, archivos que se llevó a casa del trabajo. Si la respuesta es no, entonces está realmente informado o severamente mal informado".

Hasta que los proveedores comiencen a bloquear sus dispositivos correctamente, hay algunas cosas que puede hacer. En primer lugar, asegúrese de que su router está asegurado lo mejor que puede, ya que es la puerta de entrada a la red, y probablemente el tipo más específico de dispositivo integrado. Por lo menos cambie su contraseña de administrador por defecto y trate de cambiar su dirección IP LAN por defecto para que sean más difíciles los ataques CSRF automatizados.

Si su router ofrece la opción de crear redes de área local virtuales (VLAN, por sus siglas en inglés) utilice esta característica para aislar los dispositivos IoT en su propio segmento de red, y una su computadora o teléfono a la red solo cuando sea necesario. Muchos dispositivos IoT se pueden gestionar a través de servicios basados en la nube, por lo que además de la puesta a punto inicial, ni siquiera es necesario acceder a ellos a través de la red local.

Si el router le permite crear un cliente de red Wi-Fi se puede usar eso como una alternativa de VLAN para sus dispositivos IoT. Una red de huéspedes está normalmente aislada de la red principal y solo proporciona acceso a Internet a los dispositivos conectados a ella. Si decide hacer esto, no utilice el mismo huésped red Wi-Fi para las personas que visitan su casa.

Las empresas deben monitorear sus redes para los nuevos dispositivos conectados todo el tiempo, para que puedan eliminar de inmediato los que no hayan sido autorizadas. Los dispositivos IoT aprobados deben ser colocados detrás de los cortafuegos internos con las políticas de acceso fuerte para que no puedan ser atacados por otros equipos de la red.