La solución a la falta de seguridad en IoT, ¿un router mejor?

Esta semana leí un artículo bastante curioso, en el que se hablaba de cómo Norton (una de las típicas empresas de seguridad informática que nos ha bombardeado tantos y tantos años con sus anuncios), anunciaba que estba construyendo un nuevo router. ¿El motivo? Buscar una solución para el problema del IoT.

Y es que el problema es real, pues esos dispositivos “inteligentes”, para ser mas baratos, recortan en sistemas de protección. Es más, en muchos casos, ni siquiera tienen capacidad de procesamiento para ello.

La solución a la falta de seguridad en IoT, ¿un router mejor?

La solución que propone esta gente es un “router con esteroides”, que tiene la capacidad de monitorizar todo el tráfico, incluído el de los desipositivos IoT, para frenarlos cuando empiezan a tener comportamientos extraños, tal como pasó con el incidente de Mirai. Pero claro, nos conocemos y Norton querrá hacer dinero con esto, así que asumamos que será un router con subscripciones para actualizarse, y aque de paso estará fisgando nuestra actividad de red, así que no termina de inspirarme confianza el hecho de que pueda filtrar mas contenidos de lo que debería. La verdad es que esto tampoco soluciona los problemas de infraestructura de los botnets, puesto que poca gente lo comprará por su precio (si el IoT triunfa es porque gran parte de él es ridículamente barato), así apenas marcará una diferencia real.

El IoT en carretera podrá ser una realidad en 2017

El gobierno de Noruega está en proceso de legalizar el eso de vehículos que se conducen solos para el año que entrante. Mas allá de hacerse pruebas en condiciones algo complejas, con la nieve y las bajas temperaturas, es llamativo saber que que hablamos de terreno real. Definitivamente los escandinavos están apostando por estas tecnologías, pero una vez mas, el Internet de las cosas me preocupa.

El IoT en carretera podrá ser una realidad en 2017

De entrada, por cuestiones de patentes, es una tecnología que está envenenada desde su nacimiento por cuestiones de guerras de patentes. La idea de esta tecnología es interconectar elementos, pero con los DRMs y algunas compañías intentando patentar las APIs e interfaces (ejem, Oracle, ejem) es cada vez mas complicado. Por otro lado, está la cuestión de “¿y para qué quieres ponerle internet a esto?” (el colofón para mí fue la aparición del termómetro rectal con Internet, de manera que podemos decir con todas las de la ley que se pueden meter el Internet de las cosas  por…), que al colocarle esa funcionalidad innecesaria a un precio ridículo a un componente no se securiza, de manera que se puede producir un acceso no autorizado con malas intenciones que puede acabar pero que muy mal. Además está la cuestión de la responsabilidad ética: en caso de choque inevitable, ¿a qué darle? Los programadores tenemos tanto que pensar…

El ataque DDOS del viernes 21 de octubre

¿Cuántos os encontrásteis la noche del viernes pasado que gran parte de vuestras webs habituales no funcionaban? ¿Y no tenéis curiosidad por saber qué sucedió?

Resulta que dicho día gran parte de Estados Unidos estuvo bajo un ataque de DDOS (Denegación de servicio) contra una infraestructura de Dyn DNS (dominios web, la dirección alfanumérica que escribimos en nuestros navegadores en lugar de una serie de números imposibles de recordar). Así no había manera de acceder a Spotify, Amazon, Twitter, o muchos otros de una larga lista. ¿El origen? El botnet Mirai, cuyo objetivo son dispositivos ligeros Linux sin seguridad adecuada.

El ataque DDOS del viernes 21 de octubre

Mirai es un programa malintencionado que se propaga por dispositivos que no están securizados adecuadamente, y como he mencionado anteriormente en este blog, la mayor parte de los dispositivos del IoT (Internet de las Cosas, eso de conectar cualquier cosa a Internet, ya sea una cámara de videovigilancia baratita o una tetera… sí, hay teteras que se conectan a Internet, no lo penseis demasiado) no tienen ningún tipo de seguridad para así abaratar costes, y los fabricantes no tiene responsabilidad alguna sobre ello, pues las leyes se lo permiten. En consecuencia, este botnet se esparció y comenzó a hacer llamadas a Dyn hasta hacerlo caer.

Como curiosidad, el código fuente de Mirai está liberado, por lo que cualquiera puede acceder a él y montarse una red de botnets cualquier día que se aburra gracias a esa lluvia de bombillas, lavadoras, frigoríficos o camas elásticas con Internet. Y sí, no es broma, si seguís a InternetOfShit en Twitter vereís la cantidad de cosas con Internet que jamás han necesitado conexión para ser funcionales salen al mercado a diario.

Esto debería hacer saltar de nuevo la voz de alarma. Cualquier dispositivo con conexión a Internet es vulnerable, no importa lo insignificante que sea. Como decía este señor, “¿por qué estará mi aspiradora subiendo 25MB de datos?”.

Samsung y el IoT, sin preocuparse por el usuario

Probablemente que desde hace tiempo la tengo tomada con Samsung, pero qué le vamos a hacer, tengo la impresión de que esta gente se está riendo de sus usuarios. Primero fue su actualización de sus sistema operativo, con la que está insertando publicidad segmentada ya no en sus propias aplicaciones, sino en contenidos de terceros.

Pero la cosa no se queda aquí, estos señores utilizan la tecnología que está tan de moda de reconocimiento de gestos y voz para controlar la televisión de forma muy similar al Kinect de la XboxOne, y su manual indica honestamente:

Samsung y el IoT, sin preocuparse por el usuario

Por favor, sea consciente de que si al hablar incluye información personal sensible, ésta se encontrará entre los datos capturados y transmitidos a terceras partes mediante el uso del reconocimiento de voz.

Ahora supongamos que probablemente esta televisión, al igual que la mayoría de los “dispositivos inteligentes” cotidianos, no estará bien securizado. No digo que sea el caso porque aún no he podido comprobar sus bondades, pero si está en la media de lo que suele ser el IoT (Internet o Things, o lo que muchos informáticos entendemos como “esa manía de ponerle un microchip a algo que no lo necesita y a la larga lo arruina”), los productos se producen al precio mínimo para hacerlos viables. De esta manera, el usuario que en general ni se lee las instrucciones no tiene ni idea de los agujeros de seguridad, mientras que al fabricante le da igual, porque tampoco es que se den cuenta.

Usando Shodan, un buscador de dispositivos que emplea filtros de metadatos, podemos acceder facilmente a cámaras mal securizadas, lo que nos permite hacer visitas a garajes, cámaras de bancos,  colegios, piscinas, casas… ahora pensad en todo lo que podremos toquetear en el futuro, especialmente desde que existe el patito de goma o los pomos de puertas con conexión a Internet.

¿Qué podemos hacer al respecto?

  • Leer las especificaciones e instrucciones de los productos, para conocer las virtudes y riesgos.
  • Hacer uso del sentido común: leer las políticas de privacidad y rechazar aquellas con las que no estamos de acuerdo. Si no te gusta una funcionalidad que puedas desconectar, quítala, como puede ser por ejemplo la lente de Amazon que viene preinstalada en el Unity de Ubuntu o la recopilación de datos de uso de Google o Microsoft. Si directamente es una aplicación, como la búsqueda online integrada en el sistema operativo o el reconocimiento de voz conectado todo el rato, desinstálala o desconéctala.
  • Plantearnos si realmente necesitamos tener las funcionalidades online que son útiles puntualmente encendidas todo el tiempo, y hacer un uso responsable. Por ejemplo El GPS del móvil puede ser muy útil si queremos llegar a algún lugar mediante una ruta que no conozcamos bien, pero tenerlo encendido todo el tiempo no solo hace un gran gasto de batería inútil para el usuario, sino que permite a terceras partes saber dónde estás todo el tiempo.

Seguridad e “Internet de las cosas”

Una de las cosas que me gusta hacer los fines de semana es echar un rato viendo alguna conferencias en Internet. Uno de mis habituales es Mikko Hyppönen, un experto en ciberseguridad que, además de decir cosas interesantes suele ser bastante entretenido de escuchar. Os dejo el enlace por si os interesa verlo completo y tener mas dato de las vulnerabilidades o exploits, pero aviso que es largo y está en inglés.

Los que me conocen saben que siempre he tenido debilidad por curiosear los gadgets informáticos estúpidos y el Internet de las cosas (Intenet of Things, IoT), sobre los cuales suelo pensar “¿realmente necesita conexión Internet?”. Bueno, este vídeo contiene un ejemplo absolutamente genial: contemplad la smart-lightbulb o bombilla inteligente, y os dejo la traducción de ese fragmento.

"La bombilla inteligente"Las bombillas inteligentes son explotables, y esto no es una teoría, es una realidad. Estas bombillas las hace una compañía llamada LIFX, y las pueden enroscar en cualquier conector estándar de bombillas y las puedes controlar mediante tu smartphone (teléfono explotable) para encenderlas, apagarlas, y cambiar el color… y esto tiene una vulnerabilidad remota de seguridad.

Ahora, podréis pensar lo que yo también pensaba cuando oí hablar de esta vulnerabilidad: “bueno, es una vulnerabilidad en una maldita bombilla, pero… ¿a quién le importa? ¡Es una maldita bombilla! ¿A quién le interesaría piratear bombillas? Obviamente nadie lo haría porque es una maldita bombilla”. Bueno, me equivocaba, porque esta vulnerabilidad en particular no solo ganaba acceso a la bombilla, sino que permitía extraer las credenciales de la red WiFi a la que estaba conectada, así que los hackers no estaban interesados en la bombilla, sino en la red corporativa, y esta bombilla se acababa de convertir en un vector de acceso a la red inalámbrica porque uno de los empleados colocó una de estas bombillas en uno de los conectores. No es la bombilla, es a dónde te puede llevar la bombilla.

En este caso, la compañía sacó un parche para la vulnerabilidad, que se puede descargar para arreglar esa vulnerabilidad en particular, así que… acordaos de parchear vuestras bombillas.

Una vez mas, solo podemos repetir el mantra: “you can’t spell idiot without IoT” (no puedes deletrear idiota sin IoT).