Entradas
El analista de seguridad de Kaspersky Lab David Jacoby realizó un experimento de investigación
en su propia sala para averiguar qué tan seguro es su hogar en términos
de seguridad cibernética. Inspeccionó dispositivos domésticos de
entretenimiento tales como almacenamientos conectados a la red de
Internet (NAS, por sus siglas en ingles), Smart TVs, router, reproductor
de Blu-ray, etc., con el fin de averiguar si son vulnerables a los
ataques informáticos. Y resultó que sí son vulnerables.
El
experto de Kaspersky Lab examinó dos modelos de unidades NAS de
distintos proveedores, una Smart TV, un receptor de satélite y una
impresora conectada a la red. Como resultado de su investigación, David
Jacoby logró encontrar 14 vulnerabilidades en los dispositivos de
almacenamiento conectados a la red, una vulnerabilidad en la Smart TV y
varias funciones del control remoto potencialmente ocultas en el router.
De
acuerdo con la política de divulgación responsable, Kaspersky Lab no
revela el nombre de los proveedores cuyos productos fueron parte de la
investigación hasta que se libere un parche que cierre las
vulnerabilidades. Se les informó a todos los proveedores acerca de la
existencia de las vulnerabilidades. Los especialistas de Kaspersky Lab
trabajan de cerca con los proveedores para eliminar las vulnerabilidades
que se van descubriendo.
Ejecución de código remoto y contraseñas débiles:
Las vulnerabilidades más graves se encontraron en los almacenamientos
conectados a la red. Varias de ellas permitirían a un atacante ejecutar
de manera remota comandos del sistema con los privilegios de
administración más altos. Los dispositivos de la investigación también
tenían contraseñas débiles por defecto, muchos archivos de configuración
tenían los permisos incorrectos y además contenían contraseñas en texto
simple. En particular, la contraseña de administrador predeterminada de
uno de los dispositivos contenía sólo un dígito. Otro dispositivo
incluso compartía todo el archivo de configuración con contraseñas
cifradas para todos en la red.
Utilizando
otra vulnerabilidad, el investigador fue capaz de cargar un archivo en
un área de la memoria de almacenamiento inaccesible para usuarios
comunes. Si se tratase de un archivo malicioso, el dispositivo
comprometido se convertiría en una fuente de infección para otros
dispositivos conectados a este NAS - una PC doméstica, por ejemplo - e
incluso servir como bot de denegación de servicio (DDoS) en un botnet.
Por otra parte, teniendo en cuenta que la vulnerabilidad permitió cargar
el archivo en una parte especial del sistema de archivos del
dispositivo, la única manera de eliminarlo fue a través de la misma
vulnerabilidad. Evidentemente, esto no es una tarea trivial incluso para
un técnico especialista, y mucho menos para el propietario promedio de
los equipos de entretenimiento doméstico.
Ataque vía intermediario mediante el Smart TV: Mientras
investigaba el nivel de seguridad de su propio Smart TV, el
investigador de Kaspersky Lab descubrió que no se utiliza ningún tipo de
cifrado en la comunicación entre el televisor y los servidores del
proveedor del televisor. Eso abre potencialmente el camino para ataques
vía intermediario (man-in-the-middle) que podrían acabar en la
transferencia de dinero del usuario a los estafadores en el momento de
intentar comprar contenido a través de la televisión. Como prueba del
concepto, el investigador fue capaz de sustituir un icono de la interfaz
gráfica del Smart TV con una fotografía. Normalmente los elementos de
control gráfico (widgets) y las miniaturas (thumbnails) se descargan de
los servidores del proveedor de TV y debido a la falta de una conexión
cifrada, la información podría ser modificada por un tercero. El
investigador también descubrió que el Smart TV es capaz de ejecutar
código Java que, en combinación con la capacidad para interceptar el
intercambio de tráfico entre la televisión e Internet, podría resultar
en ataques maliciosos mediante exploits.
Funciones ocultas de espionaje de un router: El
router DSL que se utiliza para proporcionar acceso inalámbrico a
Internet para todos los demás dispositivos domésticos contenía varias
características peligrosas ocultas para su propietario. Según el
investigador, algunas de estas funciones ocultas podrían potencialmente
proporcionar el acceso remoto ISP (Proveedor de Servicios de Internet) a
cualquier dispositivo en una red privada. Lo más importante es que,
según los resultados de la investigación, las secciones de la interfaz
con la web del router llamadas "Web Cameras", "Telephony Expert
Configure", "Access Control", "WAN-sensing" y "Update" son "invisibles" y
el propietario del dispositivo no las puede ajustar. Sólo se puede
acceder a ellas a través de la explotación de una vulnerabilidad
bastante genérica la cual hace posible viajar entre las secciones de la
interfaz (que son básicamente páginas web, cada una con su propia
dirección alfanumérica) forzando los números al final de la dirección.
Originalmente,
estas funciones se implementaron para la comodidad del propietario del
dispositivo: la función de acceso remoto permite que el ISP pueda
resolver problemas técnicos en el dispositivo de manera rápida y fácil,
pero la comodidad podría convertirse en un riesgo si los controles caen
en las manos equivocadas.
"Las
personas, así como las empresas deben entender los riesgos de seguridad
relacionados con los dispositivos conectados a la red. También tenemos
que estar conscientes que nuestra información no está segura solo porque
tenemos una contraseña fuerte, y que hay muchas cosas que no podemos
controlar. Me tomó menos de 20 minutos encontrar y verificar
vulnerabilidades extremadamente graves en un dispositivo que luce seguro
y que incluso alude a la seguridad como parte de su nombre. ¿Qué es lo
que encontraríamos si se llevara a cabo una investigación a mucho mayor
escala más allá de mi propia sala? Esta es sólo una de las muchas
preguntas que deben ser abordadas de manera colaborativa por los
proveedores de dispositivos, la comunidad de seguridad y los usuarios de
estos dispositivos en el futuro cercano. La otra cuestión importante es
el ciclo de vida de los dispositivos. Conforme me he enterado a través
de conversaciones con los proveedores, algunos de ellos no desarrollarán
revisiones de seguridad para un dispositivo vulnerable cuando termine
su vida útil. Por lo general, este ciclo de vida útil dura uno o dos
años, pero la vida real de los dispositivos - NASs por ejemplo - es
mucho más larga. De cualquier modo que se le vea, no es una política muy
justa", dijo David Jacoby, el autor de la investigación.
Cómo mantenerse a salvo en el mundo de dispositivos conectados a la red
- Hágale la vida más difícil a los hackers: todos sus dispositivos deben actualizarse con todas las actualizaciones de firmware y seguridad más recientes. Esto reducirá el riesgo de aprovechar las vulnerabilidades conocidas.
- Asegúrese de cambiar el nombre de usuario y contraseña por defecto - esto es lo primero que un atacante intentará para comprometer su dispositivo.
- La mayoría de los routers y switches domésticos tienen la opción para configurar su propia red para cada dispositivo, y también restringen el acceso al dispositivo - con la ayuda de diferentes zonas desmilitarizadas (DMZs) (un segmento de red independiente para sistemas con un mayor riesgo de compromiso) / redes de área local virtual (VLANs) (un mecanismo para lograr una separación lógica entre diferentes redes lógicas en la misma red física). Por ejemplo, si usted tiene una televisión, es posible que desee restringir el acceso a la televisión y sólo permitir que ésta tenga acceso a un recurso concreto dentro de la red. No tiene mucho sentido que su impresora esté conectada a la televisión.
El texto completo de la investigación, "El Internet de las cosas: el día que ataqué mi propia casa" está disponible en Securelist.com.
Acerca de Kaspersky Lab
