10 febrero 2014

ThingBot: un refrigerador para controlarlos a todos

Se denomina “Internet de las cosas” (IoT por sus siglas en inglés Internet of Things) [1] a la posibilidad de conectar cualquier tipo de aparato electrónico a una red y por lo tanto también a Internet.

Aunque en principio parece ficción, el concepto es del siglo pasado (1999), y nació con diferentes experimentos desarrollados por un grupo de investigación del MIT [2] (cuando no) que buscaban interconectar dispositivos a través de RFID. Pasados 15 años, recién hoy la madurez del mercado y de la tecnología han permitido la maximización y aprovechamiento de sus posibilidades.

Conocida como la Cuarta Revolución (agricultura, industrial, información) IDC predice que para 2020, habrá más de 200 mil millones de “cosas autónomas” conectadas a Internet [3]. En la misma línea, un reporte de Carbon War Room señala que en 2022 habrá 12,5 mil millones de conexiones “Machine to Machine” M2M a una tasa de crecimiento del 23% anual.

Las comunicaciones (M2M) avanzan a buen paso aunque el destino quizás parezca poco claro y una turbulenta “SkyNet” se perfile en él.

Sin llegar a exagerar y caer en un FUD, como es natural, la adopción de cualquier tecnología trae consigo nuevos riesgos; sucedió con las computadoras, el Wi-Fi, los móviles, BYOD y ahora está pasado con tarjetas de crédito, ascensores, televisores, consolas de juego, anteojos, automóviles, refrigeradores, cámaras de CCTV… El próximo paso natural serán las casas, edificios y ciudades inteligentes.

Así como las computadoras personales puede ser comprometidas para construir una botnet enorme, de manera similar, los electrodomésticos inteligentes y otros componentes pueden ser transformados en “esclavos” por los mismos delincuentes y ser utilizados contra el resto de Internet.

A mediados de enero, la empresa de seguridad Proofpoint detectó [4] el envío de más de 750.000 correos electrónicos masivos (spam) a través del uso (infección) de 100.000 electrodomésticos “inteligentes” conectados a routers hogareños vulnerables o sin una configuración apropiada. Además de laptops, entre los “gadgets” controlados de forma remota había principalmente teléfonos, tabletas, televisores y al menos un refrigerador.

El principio de una “botnet de cosas infectadas” también se viene barajando en laboratorios desde el nacimiento mismo del concepto de botnet allá por 2003, pero ahora se confirma la primera “Thingbots” In-the-Wild y ha sido utilizada para enviar spam desde diciembre de 2013 a enero de 2014.

Los aparatos inteligentes son vulnerables ya que se puede acceder a ellos fácilmente debido a su disponibilidad las 24 horas conectados a Internet. Además, suelen encontrarse en entornos hogareños mal protegidos, con configuraciones pobres y con contraseñas por defecto o sin ellas. Todo esto es potenciad por la inconsciencia del público en general sobre la importancia de proteger cualquier tipo de dispositivo; en última instancia todo es una computadora que puede almacenar información personal y sensible.

Un caso corporativo ocurrió en 2013 cuando dos expertos en seguridad de la empresa Cylance lograron acceder al sistema de gestión del edificio inteligente de Google en Australia. El experimento les permitió acceder a planos, diseños de tuberías, sistemas de alarma y horarios del personal. Los investigadores luego usaron el hack para señalar las graves vulnerabilidades del software empleado por la empresa desarrolladora del producto que, paradójicamente en este caso ya había solucionado el bug pero Google aún no había actualizado la aplicación.

Para confirmar la importancia de Internet de la Cosas, Google acaba de adquirir Nest [5], una joven empresa especializada en crear aparatos de diseño, impulsados por la inteligencia artificial y la robótica.

A medida que la Internet de las cosas se convierta en más “inteligente” y popular, en realidad se estará convirtiendo en un arma fácil de utilizar por los delincuentes y les permitirá lanzar ataques a gran escala contra ciudadanos, empresas y gobiernos.

Para comprender el problema es necesario saber que típicamente estos sistemas funcionan con chips especializados, muy baratos, y con bajos márgenes de beneficio. Sobre ellos se instalan drivers y software open source, gratuito y/o propietario, ensamblado con ingeniería barata que intenta asegurar el mayor rédito económico posible. Bajo estos términos es imposible pensar en un diseño ni en un desarrollo seguro de hardware y software y, mucho menos, en un procedimiento de patching adecuado que asegure la solución de posibles vulnerabilidades halladas en el futuro.

Este problema ya se vive en la actualidad con los teléfonos inteligentes y lamentablemente se está siguiendo el mismo camino con el resto de los electrodomésticos. Bruce Schneier se ha referido recientemente al tema diciendo “The Internet of Things is wildly insecure, and often unpatchable” (“La Internet de las Cosas es muy insegura, y a menudo no tiene parche”).

Esta vez ha sido sólo un ataque de spam, pero ¿cuánto daño podría generar un grupo de hackers (en la forma real del término y concepto) bien entrenados, motivados económica o políticamente?

[1] Internet de las cosas
http://es.wikipedia.org/wiki/Internet_de_las_Cosas
http://en.wikipedia.org/wiki/Internet_of_Things

[2] AutoID Labs
http://en.wikipedia.org/wiki/Auto-ID_Labs
http://en.wikipedia.org/wiki/Kevin_Ashton

[3] Internet of things: $8.9 trillion market in 2020, 212 billion connected things
http://www.zdnet.com/internet-of-things-8-9-trillion-market-in-2020-212-billion-connected-things-7000021516/
http://www.zdnet.com/m2m-and-the-internet-of-things-7000008219/

[4] Proofpoint Uncovers Internet of Things (IoT) Cyberattack
http://www.proofpoint.com/threatinsight/posts/your-fridge-is-full-of-spam-proof-of-a-Iot-driven-attack.php
http://investors.proofpoint.com/releasedetail.cfm?ReleaseID=819799

[5] Google Buys Nest Just As Internet Of Things Suffers First Global Cyber Attack
http://www.forbes.com/sites/anthonykosner/2014/01/18/google-buys-nest-just-as-internet-of-things-suffers-first-global-cyber-attack/
http://cnnespanol.cnn.com/2014/01/13/google-compra-nest-labs-por-3-200-millones-de-dolares/

Lic. Cristian Borghello
Dir. de Comunicaciones

Tomado impunemente de: http://issaarba.org/node/68

No hay comentarios: