Reflexión frustrante del día: qué estamos haciendo con el IoT…

Me gusta programar. Disfruto trabajando en el sector tecnológico, el tener la posibilidad de mejorar las vidas de las personas. Y de repente ves que en vez de invertir esfuerzos en sectores de sanidad se están dedicando a hacer lavavajillas inteligentes sin securizar, capaz de convertirse en un servidor y generando una enorme vulnerabilidad de red con un simple comando GET. Y una vez mas me pregunto: ¿para qué quieren conectar un lavavajillas a Internet? ¿A qué viene esa brillante idea?

Reflexión frustrante del día: qué estamos haciendo con el IoT...

Ya puedo esperar que en el próximo Terminator Skynet sea un lavavajillas. Estoy oficialmente deprimida.

Malware, DLLs y la CIA

Hemos tenido una semana entretenida desde que Wikileaks publicó el Vault 7, revelando una lista de malware que la CIA ha estado utilizando para labores de espionaje. Personalmente no me gusta que se cuelen en mi sistema, pero hay que dejar muy claro que cuestiones morales aparte, es un hecho que al infectar equipos siempre se generan vulnerabilidades, lo que nos deja indefensos ante mas ataques, así que para quién esté a gusto pensando que los que se han colado no van a hacer nada, que también piense que esa puerta la pueden usar otros mucho menos de su gusto.

Malware, DLLs y la CIA

Esto ha afectado a equipo de sobremesa, móviles y otros elementos del IoT (las smart TVs son especialmente jugosas, con eso de fingir que están apagadas pero tienen el micro y la cámara abiertos fisgando), y mientras unos se dan prisa en parchear, otros ni se molestarán (de nuevo el IoT, como no).

Me pareció especialmente curioso el caso de Notepad++, una aplicación que uso  diariamente en el trabajo porque Windows carece de una aplicación de bloc de notas digno. En la lista de Vault7 tenemos que la CIA reemplazó un DLL (scilexer.dll, unfichero de código externo que usa esta gente para trabajar en cuestiones de léxico) para recopilar y enviar datos. Lo que hicieron los programadores fue validar que ese DLL es auténtico y no el suplantado de la CIA, pero claro, esto no certifica que no hayan atacado el PC por otro sitio. Pero lo que mas me gusta de su comunicado es la reflexión final de cara a quienes consideran que para qué actualizar para prevenir la vulnerabilidad si igual entran por otro sitio:

Aunque sé que una cerradura es inútil si alguien se empeña en entrar robar, seguiré cerrando la puerta y echando el cerrojo cuando salgo cada mañana.

La solución a la falta de seguridad en IoT, ¿un router mejor?

Esta semana leí un artículo bastante curioso, en el que se hablaba de cómo Norton (una de las típicas empresas de seguridad informática que nos ha bombardeado tantos y tantos años con sus anuncios), anunciaba que estba construyendo un nuevo router. ¿El motivo? Buscar una solución para el problema del IoT.

Y es que el problema es real, pues esos dispositivos “inteligentes”, para ser mas baratos, recortan en sistemas de protección. Es más, en muchos casos, ni siquiera tienen capacidad de procesamiento para ello.

La solución a la falta de seguridad en IoT, ¿un router mejor?

La solución que propone esta gente es un “router con esteroides”, que tiene la capacidad de monitorizar todo el tráfico, incluído el de los desipositivos IoT, para frenarlos cuando empiezan a tener comportamientos extraños, tal como pasó con el incidente de Mirai. Pero claro, nos conocemos y Norton querrá hacer dinero con esto, así que asumamos que será un router con subscripciones para actualizarse, y aque de paso estará fisgando nuestra actividad de red, así que no termina de inspirarme confianza el hecho de que pueda filtrar mas contenidos de lo que debería. La verdad es que esto tampoco soluciona los problemas de infraestructura de los botnets, puesto que poca gente lo comprará por su precio (si el IoT triunfa es porque gran parte de él es ridículamente barato), así apenas marcará una diferencia real.

El aftermath de #electionday

Llevo días intentando procesarlo y aún me cuesta. Era plenamente consciente de que las elecciones de USA eran guatemala o guatepeor, mi poca simpatía por Clinton es mas que conocida, porque eso de haber estado primero favor y luego en contra de tantas propuestas le daba una credibilidad prácticamente nula, pero teniendo como alternativa a un racista, xenófobo, misógino y homófobo suponía que al final saldría elegida…

Ahora la realidad es que en los próximos 4 años tenemos todas la maquinaria de ciberseguridad de la NSA y los drones (con licencia para matar), que ya de por sí son espeluznantes, estarán en manos de un tipo cuyas declaraciones acerca del tema fueron (buscadlo si queréis en su primer debate con Clinton):

“We had to get very, very though on cyber and cyber warfare. It is a huge problem. I have a son – he’s 10 years old. He has computers. It’s unbelievable. The security aspect is very, very though. And maybe, it’s hardly doable. But I will say, we are not doing the job we should be doing”.

– Donald Trump, 45th USA president

 La traducción sería algo como:

“Tenemos un problema muy, muy difícil con el cyber y la cyberguerra. Es un problema enorme. Tengo un hijo, tiene 10 años. Tiene ordenadores. Es increíble. El aspecto de la seguridad es muy, muy difícil. Y quizás apenas sea posible. Pero digo que no estamos haciendo el trabajo que deberíamos estar haciendo”.

Creo que el gesto del Vicepresidente Biden durante el discurso de Obama sobre la victoria de Trump lo dice todo. Que nos pillen confesados.

El aftermath de #electionday

El ataque DDOS del viernes 21 de octubre

¿Cuántos os encontrásteis la noche del viernes pasado que gran parte de vuestras webs habituales no funcionaban? ¿Y no tenéis curiosidad por saber qué sucedió?

Resulta que dicho día gran parte de Estados Unidos estuvo bajo un ataque de DDOS (Denegación de servicio) contra una infraestructura de Dyn DNS (dominios web, la dirección alfanumérica que escribimos en nuestros navegadores en lugar de una serie de números imposibles de recordar). Así no había manera de acceder a Spotify, Amazon, Twitter, o muchos otros de una larga lista. ¿El origen? El botnet Mirai, cuyo objetivo son dispositivos ligeros Linux sin seguridad adecuada.

El ataque DDOS del viernes 21 de octubre

Mirai es un programa malintencionado que se propaga por dispositivos que no están securizados adecuadamente, y como he mencionado anteriormente en este blog, la mayor parte de los dispositivos del IoT (Internet de las Cosas, eso de conectar cualquier cosa a Internet, ya sea una cámara de videovigilancia baratita o una tetera… sí, hay teteras que se conectan a Internet, no lo penseis demasiado) no tienen ningún tipo de seguridad para así abaratar costes, y los fabricantes no tiene responsabilidad alguna sobre ello, pues las leyes se lo permiten. En consecuencia, este botnet se esparció y comenzó a hacer llamadas a Dyn hasta hacerlo caer.

Como curiosidad, el código fuente de Mirai está liberado, por lo que cualquiera puede acceder a él y montarse una red de botnets cualquier día que se aburra gracias a esa lluvia de bombillas, lavadoras, frigoríficos o camas elásticas con Internet. Y sí, no es broma, si seguís a InternetOfShit en Twitter vereís la cantidad de cosas con Internet que jamás han necesitado conexión para ser funcionales salen al mercado a diario.

Esto debería hacer saltar de nuevo la voz de alarma. Cualquier dispositivo con conexión a Internet es vulnerable, no importa lo insignificante que sea. Como decía este señor, “¿por qué estará mi aspiradora subiendo 25MB de datos?”.