A finales de 2018, el número de dispositivos IoT conectados
superó los 22 mil millones . De los 7.600 millones de personas en la Tierra, 4.000 millones tienen acceso a Internet. Resulta que para cada persona hay 5.5 dispositivos de Internet de las cosas.
En promedio, transcurren
aproximadamente 5 minutos entre el momento en que el dispositivo IoT se conecta a la red y el momento del primer ataque. Además, la mayoría de los ataques a dispositivos inteligentes son
automáticos .
Por supuesto, tales estadísticas tristes no podrían dejar indiferentes especialistas en el campo de la ciberseguridad. La organización internacional sin fines de lucro OWASP (Open Web Application Security Project) estaba preocupada por la seguridad de Internet de las cosas en 2014, lanzando la primera versión de OWASP Top 10 IoT. En 2018 se lanzó una versión actualizada de los "
TOP 10 vulnerabilidades de los dispositivos de Internet de las cosas " con amenazas actualizadas. Este proyecto está diseñado para ayudar a los fabricantes, desarrolladores y consumidores a comprender los problemas de seguridad de IoT y tomar decisiones de seguridad de la información más informadas al crear ecosistemas de IoT.
10. Seguridad física inadecuada.
La falta de medidas de protección física, lo que permite a los posibles atacantes obtener información confidencial, que en el futuro puede ayudar a implementar un ataque remoto u obtener control local sobre el dispositivo.
Uno de los desafíos de seguridad del ecosistema IoT es que sus componentes se distribuyen en el espacio y a menudo se instalan en ubicaciones públicas o inseguras. Esto permite a los atacantes obtener acceso al dispositivo y controlarlo localmente o usarlo para acceder al resto de la red.
Un atacante puede copiar la configuración (red IP, dirección MAC, etc.) y colocar su dispositivo en lugar del original para escuchar o reducir el rendimiento de la red. Puede piratear un lector RFID, establecer un marcador de hardware, infectar con malware, robar los datos necesarios o simplemente deshabilitar físicamente el dispositivo IoT.
La solución a este problema es una: complicar el acceso físico a los dispositivos. Se pueden instalar en áreas protegidas, en altura o utilizar gabinetes protegidos contra vandalismo.
9. Configuración predeterminada insegura
Los dispositivos o sistemas vienen con configuraciones predeterminadas inseguras o no pueden hacer que el sistema sea más seguro al restringir que los usuarios cambien las configuraciones.
Cualquier fabricante quiere ganar más y gastar menos. El dispositivo se puede implementar con muchas funciones inteligentes, pero no es posible configurar la seguridad.
Por ejemplo, no admite la verificación de las contraseñas para verificar su confiabilidad, no es posible crear cuentas con varios derechos: administrador y usuarios, no hay configuraciones para el cifrado, el registro y la notificación a los usuarios sobre eventos de seguridad.
8. La incapacidad de controlar el dispositivo.
Falta de soporte de seguridad para dispositivos implementados en producción, incluida la gestión de activos, gestión de actualizaciones, desmantelamiento seguro, monitoreo del sistema y respuesta.
Los dispositivos IoT suelen ser una caja negra. No han implementado la capacidad de monitorear el estado del trabajo, identificar qué servicios se están ejecutando y con qué interactuar.
No todos los fabricantes ofrecen a los usuarios de dispositivos IoT un control total sobre el sistema operativo y las aplicaciones en ejecución, así como verificar la integridad y la legitimidad del software descargado o instalar parches de actualización en el sistema operativo.
Durante los ataques, el firmware del dispositivo se puede reconfigurar para que solo se pueda reparar flasheando completamente el dispositivo. Una desventaja similar fue utilizada, por ejemplo, por el
malware Silex .
La solución a estos problemas puede ser el uso de software especializado para administrar dispositivos de Internet de las cosas, por ejemplo, soluciones en la nube AWS, Google, IBM, etc.
7. Transferencia y almacenamiento de datos inseguros.
Falta de cifrado o control de acceso a datos confidenciales en cualquier parte del ecosistema, incluso durante el almacenamiento, la transmisión o el procesamiento.
Los dispositivos de Internet de las cosas recopilan y almacenan datos ambientales, incluida información personal diversa. Se puede reemplazar una contraseña comprometida, pero los datos robados de un dispositivo biométrico (huella digital, retina, biometría facial) no.
Al mismo tiempo, los dispositivos IoT no solo pueden almacenar datos sin cifrar, sino también transmitirlos a través de la red. Si la transmisión de datos en claro en la red local puede explicarse de alguna manera, entonces, en el caso de una red inalámbrica o transmisión por Internet, puede ser propiedad de cualquier persona.
El usuario mismo puede usar canales de comunicación seguros para la transferencia de datos, pero el fabricante del dispositivo debe encargarse de cifrar las contraseñas almacenadas, los datos biométricos y otros datos importantes.
6. Protección de la privacidad inadecuada
La información personal del usuario almacenada en un dispositivo o ecosistema que se usa de forma insegura, inadecuada o sin permiso.
Este elemento TOP-10 se hace eco del anterior: todos los datos personales deben almacenarse y transmitirse de manera segura. Pero este párrafo considera la privacidad en un sentido más profundo, es decir, desde el punto de vista de la protección de los secretos de privacidad.
Los dispositivos IoT recopilan información sobre qué y quién los rodea, incluido esto también se aplica a personas desprevenidas. Los datos de usuario robados o procesados incorrectamente pueden desacreditar involuntariamente a una persona (por ejemplo, cuando las cámaras de carretera configuradas incorrectamente exponen cónyuges infieles), y pueden usarse en el chantaje.
Para resolver el problema, debe saber exactamente qué datos recopila el dispositivo IoT, la aplicación móvil y las interfaces en la nube.
Debe asegurarse de que solo se recopilen los datos necesarios para el funcionamiento del dispositivo, para verificar si hay permiso para almacenar datos personales y si están protegidos, y si se prescriben políticas de almacenamiento de datos. De lo contrario, si no se observan estas condiciones, el usuario puede tener problemas con la ley.
5. Uso de componentes inseguros u obsoletos
Usar componentes o bibliotecas de software obsoletos o inseguros que podrían comprometer su dispositivo. Esto incluye la configuración insegura de las plataformas del sistema operativo y el uso de componentes de software o hardware de terceros de una cadena de suministro comprometida.
Un componente vulnerable puede negar toda la seguridad configurada.
A principios de 2019, el experto
Paul Marrapiz identificó vulnerabilidades en la utilidad iLnkP2P P2P, que está instalada en más de 2 millones de dispositivos conectados a la red: cámaras IP, monitores para bebés, timbres inteligentes y DVR.
La primera vulnerabilidad
CVE-2019-11219 permite que un atacante identifique un dispositivo, la segunda es una vulnerabilidad de autenticación en iLnkP2P
CVE-2019-11220 , para interceptar el tráfico en estado claro, incluidas las transmisiones de video y las contraseñas.
Durante varios meses, Paul
recurrió tres veces al fabricante y dos veces al desarrollador de la utilidad, pero nunca recibió una respuesta de ellos.
La solución a este problema es monitorear la liberación de parches de seguridad y actualizar el dispositivo, y si no salen ... cambie el fabricante.
4. Falta de mecanismos seguros de actualización
La imposibilidad de actualizar de forma segura el dispositivo. Esto incluye la falta de validación de firmware en el dispositivo, la falta de entrega segura (sin cifrado durante la transmisión), la ausencia de mecanismos para evitar retrocesos y la ausencia de notificaciones sobre cambios de seguridad debido a actualizaciones.
La imposibilidad de actualizar el dispositivo en sí es una debilidad de seguridad. Si no se instala la actualización, los dispositivos siguen siendo vulnerables por un tiempo indefinido.
Pero además, la actualización en sí y el firmware también pueden ser inseguros. Por ejemplo, si los canales encriptados no se usan para recibir el software, el archivo de actualización no está encriptado o no se verifica su integridad antes de la instalación, no hay protección antirretroceso (protección contra el regreso a una versión anterior más vulnerable) o no hay notificaciones sobre cambios de seguridad debido a actualizaciones.
Una solución a este problema también está del lado del fabricante. Pero puede verificar si su dispositivo es capaz de actualizarse. Asegúrese de que los archivos de actualización se descarguen del servidor verificado a través de un canal encriptado y que su dispositivo utilice una arquitectura de instalación de actualización segura.
3. Interfaces inseguras del ecosistema
Una interfaz web, API, nube o interfaces móviles inseguras en el ecosistema fuera del dispositivo, lo que le permite comprometer el dispositivo o sus componentes relacionados. Los problemas comunes incluyen falta de autenticación o autorización, falta o cifrado débil y falta de filtrado de entrada y salida.
El uso de interfaces web inseguras, API, interfaces en la nube y móviles le permite comprometer el dispositivo o sus componentes relacionados, incluso sin conectarse a él.
Por ejemplo,
Barracuda Labs realizó un análisis de la aplicación móvil y la interfaz web de una de las cámaras "inteligentes" y encontró vulnerabilidades que permiten obtener una contraseña para el dispositivo de Internet de las cosas:
- La aplicación móvil ignoró la validez del certificado del servidor.
- La aplicación web era vulnerable a las secuencias de comandos entre sitios.
- Fue posible omitir archivos en un servidor en la nube.
- Las actualizaciones del dispositivo no estaban protegidas.
- El dispositivo ignoró la validez del certificado del servidor.
Para protección, es necesario cambiar el usuario y la contraseña predeterminados, asegúrese de que la interfaz web no esté sujeta a secuencias de comandos entre sitios, inyección SQL o ataques CSRF.
Además, se debe implementar protección contra ataques de contraseña por fuerza bruta. Por ejemplo, después de tres intentos de ingresar la contraseña incorrectamente, la cuenta debe bloquearse y permitir la recuperación de la contraseña solo a través de un restablecimiento de hardware.
2. Servicios de red inseguros
Servicios de red innecesarios o inseguros que se ejecutan en el propio dispositivo, especialmente abiertos a una red externa, poniendo en peligro la confidencialidad, integridad, autenticidad, accesibilidad de la información o permitiendo el control remoto no autorizado.
Los servicios de red innecesarios o inseguros ponen en peligro la seguridad del dispositivo, especialmente si tienen acceso a Internet.
Los servicios de red inseguros pueden ser susceptibles al desbordamiento del búfer y a los ataques DDoS. Los puertos de red abiertos se pueden escanear en busca de vulnerabilidades y servicios de conexión inseguros.
Hasta ahora, uno de los vectores más populares de ataques e infecciones de dispositivos IoT es la enumeración de contraseñas en servicios
Telnet no deshabilitados
y en SSH . Después de obtener acceso a estos servicios, los atacantes pueden descargar software malicioso en el dispositivo u obtener acceso a información valiosa.
1. Contraseña débil, adivinable o codificada
El uso de credenciales fáciles de descifrar, disponibles públicamente o inmutables, incluidas las puertas traseras en firmware o software de cliente que proporciona acceso no autorizado a los sistemas implementados.
Sorprendentemente, hasta entonces, la mayor vulnerabilidad es el uso de contraseñas débiles, contraseñas predeterminadas o contraseñas filtradas a la red.
A pesar de la obvia necesidad de usar una contraseña segura, algunos usuarios aún no cambian las contraseñas predeterminadas. En junio de 2019, el malware Silex aprovechó esto, que
en una hora se convirtió en un bloque de aproximadamente 2000 dispositivos IoT.
Y antes de eso, el conocido botnet y gusano Mirai logró infectar 600 mil dispositivos de Internet de las cosas, utilizando una base de datos de
61 combinaciones
estándar de inicio de sesión y contraseña.
¡La solución es cambiar la contraseña!
ConclusionesCuando los usuarios compran dispositivos IoT, piensan principalmente en sus capacidades "inteligentes", no en la seguridad.
De hecho, de la misma manera, al comprar un automóvil o un microondas, esperamos que el dispositivo tenga un "
diseño seguro " para su uso.
Mientras la seguridad de IoT no esté regulada por la ley (hasta ahora, tales leyes solo están
en proceso de creación ), los fabricantes no gastarán dinero extra en ella.
Resulta que la única forma de motivar al fabricante es no comprar dispositivos vulnerables.
Y para esto necesitamos ... pensar en su seguridad.