HACKEO DE UNA SALA CONECTADA: KASPERSKY LAB ENCUENTRA MÚLTIPLES VULNERABILIDADES EN DISPOSITIVOS DOMÉSTICOS DE ENTRETENIMIENTO
El analista de seguridad de Kaspersky Lab
David Jacoby realizó un
experimento de investigación en su propia sala para averiguar qué tan
seguro es su hogar en términos de seguridad cibernética. Inspeccionó
dispositivos domésticos de entretenimiento tales como almacenamientos
conectados a la red de Internet (NAS, por sus siglas en ingles), Smart TVs,
router, reproductor de Blu-ray, etc., con el fin de averiguar si son
vulnerables a los ataques informáticos. Y resultó que sí son vulnerables.
El experto de Kaspersky Lab examinó dos
modelos de unidades NAS de distintos proveedores, una Smart TV, un receptor de
satélite y una impresora conectada a la red. Como resultado de su
investigación, David Jacoby logró encontrar 14 vulnerabilidades en los
dispositivos de almacenamiento conectados a la red, una vulnerabilidad en la
Smart TV y varias funciones del control remoto potencialmente ocultas en el
router.
De acuerdo con la política de
divulgación responsable, Kaspersky Lab no revela el nombre de los proveedores
cuyos productos fueron parte de la investigación hasta que se libere un parche
que cierre las vulnerabilidades. Se les informó a todos los proveedores acerca
de la existencia de las vulnerabilidades. Los especialistas de Kaspersky Lab
trabajan de cerca con los proveedores para eliminar las vulnerabilidades que se
van descubriendo.
Ejecución de código remoto y contraseñas
débiles: Las
vulnerabilidades más graves se encontraron en los almacenamientos conectados a
la red. Varias de ellas permitirían a un atacante ejecutar de manera remota
comandos del sistema con los privilegios de administración más altos. Los
dispositivos de la investigación también tenían contraseñas débiles por
defecto, muchos archivos de configuración tenían los permisos incorrectos y
además contenían contraseñas en texto simple. En particular, la contraseña de
administrador predeterminada de uno de los dispositivos contenía sólo un
dígito. Otro dispositivo incluso compartía todo el archivo de configuración con
contraseñas cifradas para todos en la red.
Utilizando otra vulnerabilidad, el
investigador fue capaz de cargar un archivo en un área de la memoria de
almacenamiento inaccesible para usuarios comunes. Si se tratase de un archivo
malicioso, el dispositivo comprometido se convertiría en una fuente de
infección para otros dispositivos conectados a este NAS - una PC doméstica, por
ejemplo - e incluso servir como bot de denegación de servicio (DDoS) en un
botnet. Por otra parte, teniendo en cuenta que la vulnerabilidad permitió
cargar el archivo en una parte especial del sistema de archivos del
dispositivo, la única manera de eliminarlo fue a través de la misma
vulnerabilidad. Evidentemente, esto no es una tarea trivial incluso para un
técnico especialista, y mucho menos para el propietario promedio de los
equipos de entretenimiento doméstico.
Ataque vía intermediario mediante el
Smart TV: Mientras investigaba el nivel de
seguridad de su propio Smart TV, el investigador de Kaspersky Lab descubrió que
no se utiliza ningún tipo de cifrado en la comunicación entre el televisor y
los servidores del proveedor del televisor. Eso abre potencialmente el camino
para ataques vía intermediario (man-in-the-middle) que podrían acabar en la
transferencia de dinero del usuario a los estafadores en el momento de intentar
comprar contenido a través de la televisión. Como prueba del concepto, el
investigador fue capaz de sustituir un icono de la interfaz gráfica del Smart
TV con una fotografía. Normalmente los elementos de control gráfico (widgets) y
las miniaturas (thumbnails) se descargan de los servidores del proveedor de TV
y debido a la falta de una conexión cifrada, la información podría ser
modificada por un tercero. El investigador también descubrió que el Smart TV es
capaz de ejecutar código Java que, en combinación con la capacidad para
interceptar el intercambio de tráfico entre la televisión e Internet, podría
resultar en ataques maliciosos mediante exploits.
Funciones ocultas de espionaje de un
router: El router DSL que se utiliza para
proporcionar acceso inalámbrico a Internet para todos los demás dispositivos
domésticos contenía varias características peligrosas ocultas para su
propietario. Según el investigador, algunas de estas funciones ocultas podrían
potencialmente proporcionar el acceso remoto ISP (Proveedor de Servicios de
Internet) a cualquier dispositivo en una red privada. Lo más importante es que,
según los resultados de la investigación, las secciones de la interfaz con la
web del router llamadas "Web Cameras", "Telephony Expert
Configure", "Access Control", "WAN-sensing" y
"Update" son "invisibles" y el propietario del dispositivo
no las puede ajustar. Sólo se puede acceder a ellas a través de la explotación
de una vulnerabilidad bastante genérica la cual hace posible viajar entre las
secciones de la interfaz (que son básicamente páginas web, cada una con su
propia dirección alfanumérica) forzando los números al final de la dirección.
Originalmente, estas funciones se
implementaron para la comodidad del propietario del dispositivo: la función de
acceso remoto permite que el ISP pueda resolver problemas técnicos en el
dispositivo de manera rápida y fácil, pero la comodidad podría convertirse en
un riesgo si los controles caen en las manos equivocadas.
"Las personas, así como las
empresas deben entender los riesgos de seguridad relacionados con los
dispositivos conectados a la red. También tenemos que estar conscientes que
nuestra información no está segura solo porque tenemos una contraseña fuerte, y
que hay muchas cosas que no podemos controlar. Me tomó menos de 20 minutos
encontrar y verificar vulnerabilidades extremadamente graves en un dispositivo
que luce seguro y que incluso alude a la seguridad como parte de su nombre.
¿Qué es lo que encontraríamos si se llevara a cabo una investigación a mucho
mayor escala más allá de mi propia sala? Esta es sólo una de las muchas
preguntas que deben ser abordadas de manera colaborativa por los proveedores de
dispositivos, la comunidad de seguridad y los usuarios de estos dispositivos en
el futuro cercano. La otra cuestión importante es el ciclo de vida de los
dispositivos. Conforme me he enterado a través de conversaciones con los
proveedores, algunos de ellos no desarrollarán revisiones de seguridad para un
dispositivo vulnerable cuando termine su vida útil. Por lo general, este ciclo
de vida útil dura uno o dos años, pero la vida real de los dispositivos - NASs
por ejemplo - es mucho más larga. De cualquier modo que se le vea, no es una
política muy justa", dijo David Jacoby, el autor de la investigación.
Cómo mantenerse a salvo en el
mundo de dispositivos conectados a la red
- Hágale la vida más difícil a los hackers: todos
sus dispositivos deben actualizarse con todas las actualizaciones de
firmware y seguridad más recientes. Esto reducirá el riesgo de aprovechar
las vulnerabilidades conocidas.
- Asegúrese de cambiar el nombre de usuario y
contraseña por defecto - esto es lo primero que un atacante intentará para
comprometer su dispositivo.
- La mayoría de los routers y switches domésticos
tienen la opción para configurar su propia red para cada dispositivo, y
también restringen el acceso al dispositivo - con la ayuda de diferentes
zonas desmilitarizadas (DMZs) (un segmento de red independiente para
sistemas con un mayor riesgo de compromiso) / redes de área local virtual
(VLANs) (un mecanismo para lograr una separación lógica entre diferentes
redes lógicas en la misma red física). Por ejemplo, si usted tiene una
televisión, es posible que desee restringir el acceso a la televisión y
sólo permitir que ésta tenga acceso a un recurso concreto dentro de la
red. No tiene mucho sentido que su impresora esté conectada a la
televisión.
El texto completo de la investigación,
"El Internet de las cosas: el día que ataqué mi propia casa" está
disponible enSecurelist.com.
No hay comentarios:
Publicar un comentario