La solución a la falta de seguridad en IoT, ¿un router mejor?

Esta semana leí un artículo bastante curioso, en el que se hablaba de cómo Norton (una de las típicas empresas de seguridad informática que nos ha bombardeado tantos y tantos años con sus anuncios), anunciaba que estba construyendo un nuevo router. ¿El motivo? Buscar una solución para el problema del IoT.

Y es que el problema es real, pues esos dispositivos “inteligentes”, para ser mas baratos, recortan en sistemas de protección. Es más, en muchos casos, ni siquiera tienen capacidad de procesamiento para ello.

La solución a la falta de seguridad en IoT, ¿un router mejor?

La solución que propone esta gente es un “router con esteroides”, que tiene la capacidad de monitorizar todo el tráfico, incluído el de los desipositivos IoT, para frenarlos cuando empiezan a tener comportamientos extraños, tal como pasó con el incidente de Mirai. Pero claro, nos conocemos y Norton querrá hacer dinero con esto, así que asumamos que será un router con subscripciones para actualizarse, y aque de paso estará fisgando nuestra actividad de red, así que no termina de inspirarme confianza el hecho de que pueda filtrar mas contenidos de lo que debería. La verdad es que esto tampoco soluciona los problemas de infraestructura de los botnets, puesto que poca gente lo comprará por su precio (si el IoT triunfa es porque gran parte de él es ridículamente barato), así apenas marcará una diferencia real.

El aftermath de #electionday

Llevo días intentando procesarlo y aún me cuesta. Era plenamente consciente de que las elecciones de USA eran guatemala o guatepeor, mi poca simpatía por Clinton es mas que conocida, porque eso de haber estado primero favor y luego en contra de tantas propuestas le daba una credibilidad prácticamente nula, pero teniendo como alternativa a un racista, xenófobo, misógino y homófobo suponía que al final saldría elegida…

Ahora la realidad es que en los próximos 4 años tenemos todas la maquinaria de ciberseguridad de la NSA y los drones (con licencia para matar), que ya de por sí son espeluznantes, estarán en manos de un tipo cuyas declaraciones acerca del tema fueron (buscadlo si queréis en su primer debate con Clinton):

“We had to get very, very though on cyber and cyber warfare. It is a huge problem. I have a son – he’s 10 years old. He has computers. It’s unbelievable. The security aspect is very, very though. And maybe, it’s hardly doable. But I will say, we are not doing the job we should be doing”.

– Donald Trump, 45th USA president

 La traducción sería algo como:

“Tenemos un problema muy, muy difícil con el cyber y la cyberguerra. Es un problema enorme. Tengo un hijo, tiene 10 años. Tiene ordenadores. Es increíble. El aspecto de la seguridad es muy, muy difícil. Y quizás apenas sea posible. Pero digo que no estamos haciendo el trabajo que deberíamos estar haciendo”.

Creo que el gesto del Vicepresidente Biden durante el discurso de Obama sobre la victoria de Trump lo dice todo. Que nos pillen confesados.

El aftermath de #electionday

El ataque DDOS del viernes 21 de octubre

¿Cuántos os encontrásteis la noche del viernes pasado que gran parte de vuestras webs habituales no funcionaban? ¿Y no tenéis curiosidad por saber qué sucedió?

Resulta que dicho día gran parte de Estados Unidos estuvo bajo un ataque de DDOS (Denegación de servicio) contra una infraestructura de Dyn DNS (dominios web, la dirección alfanumérica que escribimos en nuestros navegadores en lugar de una serie de números imposibles de recordar). Así no había manera de acceder a Spotify, Amazon, Twitter, o muchos otros de una larga lista. ¿El origen? El botnet Mirai, cuyo objetivo son dispositivos ligeros Linux sin seguridad adecuada.

El ataque DDOS del viernes 21 de octubre

Mirai es un programa malintencionado que se propaga por dispositivos que no están securizados adecuadamente, y como he mencionado anteriormente en este blog, la mayor parte de los dispositivos del IoT (Internet de las Cosas, eso de conectar cualquier cosa a Internet, ya sea una cámara de videovigilancia baratita o una tetera… sí, hay teteras que se conectan a Internet, no lo penseis demasiado) no tienen ningún tipo de seguridad para así abaratar costes, y los fabricantes no tiene responsabilidad alguna sobre ello, pues las leyes se lo permiten. En consecuencia, este botnet se esparció y comenzó a hacer llamadas a Dyn hasta hacerlo caer.

Como curiosidad, el código fuente de Mirai está liberado, por lo que cualquiera puede acceder a él y montarse una red de botnets cualquier día que se aburra gracias a esa lluvia de bombillas, lavadoras, frigoríficos o camas elásticas con Internet. Y sí, no es broma, si seguís a InternetOfShit en Twitter vereís la cantidad de cosas con Internet que jamás han necesitado conexión para ser funcionales salen al mercado a diario.

Esto debería hacer saltar de nuevo la voz de alarma. Cualquier dispositivo con conexión a Internet es vulnerable, no importa lo insignificante que sea. Como decía este señor, “¿por qué estará mi aspiradora subiendo 25MB de datos?”.

The Amnesic Incognito Live System (Linux Tails)

Una de las distros mas curiosas (y que menos les gustan a los servicios de espionaje) es Tails, una distribución centrada en la seguridad y el anonimato. Principalmente hablamos de un LiveCD (o mas bien Live-pendrive a día de hoy), basado en Debian que contiene todo lo necesario para trabajar de forma segura y minimizando el rastro que dejamos en un equipo. Está orientada a periodistas o bloggers, que se pueden topar con problemas de vigilancia o bloqueos de acceso a determinados servicios web (por ejemplo, el “gran Firewall de China”, que tiene bloqueados un montón de servicios). También resulta muy útil conocer su existencia para cuando se va a usar un equipo que no es el tuyo, como por ejemplo, al salir de viaje y usar un ordenador extraño que no nos inspira especial confianza.

The Amnesic Incognito Live System (Linux Tails)

Entre otras aplicaciones con un retoque, destacan:

  • Tor con sus puentes, y la versión de Mozilla Firefox orientada a a trabajar con este (Tor Browser), con bloqueadores de rastreo y publicidad.
  • Pidgin (sistema de mensajería) con encriptado preconfigurado.
  • Icedive, una versión del cliente de correo Thunderbird que también viene preconfigurado para codificar los mensajes.
  • Electrum, una aplicación para el manejo de Bitcoin (moneda electrónica anónima).
  • Metadata Anonymistation Toolkit, que elimina los metadatos de nuestros ficheros (autor, fecha, dónde se creo, datos del equipo o la herramienta usada…).
  • Un teclado virtual, para evitar los keyloggers (malware que registra las pulsaciones en el teclado físico, que se puede utilizar, por ejemplo, para robar constraseñas).

 

 

Samsung y el IoT, sin preocuparse por el usuario

Probablemente que desde hace tiempo la tengo tomada con Samsung, pero qué le vamos a hacer, tengo la impresión de que esta gente se está riendo de sus usuarios. Primero fue su actualización de sus sistema operativo, con la que está insertando publicidad segmentada ya no en sus propias aplicaciones, sino en contenidos de terceros.

Pero la cosa no se queda aquí, estos señores utilizan la tecnología que está tan de moda de reconocimiento de gestos y voz para controlar la televisión de forma muy similar al Kinect de la XboxOne, y su manual indica honestamente:

Samsung y el IoT, sin preocuparse por el usuario

Por favor, sea consciente de que si al hablar incluye información personal sensible, ésta se encontrará entre los datos capturados y transmitidos a terceras partes mediante el uso del reconocimiento de voz.

Ahora supongamos que probablemente esta televisión, al igual que la mayoría de los “dispositivos inteligentes” cotidianos, no estará bien securizado. No digo que sea el caso porque aún no he podido comprobar sus bondades, pero si está en la media de lo que suele ser el IoT (Internet o Things, o lo que muchos informáticos entendemos como “esa manía de ponerle un microchip a algo que no lo necesita y a la larga lo arruina”), los productos se producen al precio mínimo para hacerlos viables. De esta manera, el usuario que en general ni se lee las instrucciones no tiene ni idea de los agujeros de seguridad, mientras que al fabricante le da igual, porque tampoco es que se den cuenta.

Usando Shodan, un buscador de dispositivos que emplea filtros de metadatos, podemos acceder facilmente a cámaras mal securizadas, lo que nos permite hacer visitas a garajes, cámaras de bancos,  colegios, piscinas, casas… ahora pensad en todo lo que podremos toquetear en el futuro, especialmente desde que existe el patito de goma o los pomos de puertas con conexión a Internet.

¿Qué podemos hacer al respecto?

  • Leer las especificaciones e instrucciones de los productos, para conocer las virtudes y riesgos.
  • Hacer uso del sentido común: leer las políticas de privacidad y rechazar aquellas con las que no estamos de acuerdo. Si no te gusta una funcionalidad que puedas desconectar, quítala, como puede ser por ejemplo la lente de Amazon que viene preinstalada en el Unity de Ubuntu o la recopilación de datos de uso de Google o Microsoft. Si directamente es una aplicación, como la búsqueda online integrada en el sistema operativo o el reconocimiento de voz conectado todo el rato, desinstálala o desconéctala.
  • Plantearnos si realmente necesitamos tener las funcionalidades online que son útiles puntualmente encendidas todo el tiempo, y hacer un uso responsable. Por ejemplo El GPS del móvil puede ser muy útil si queremos llegar a algún lugar mediante una ruta que no conozcamos bien, pero tenerlo encendido todo el tiempo no solo hace un gran gasto de batería inútil para el usuario, sino que permite a terceras partes saber dónde estás todo el tiempo.