Tabla de contenido:
- Internet de la inseguridad
- Una falta de estándares
- No todo es mierda
- El irresistible Internet de las cosas
Video: MI TV no me GUARDA el WIFI solucionado! (Noviembre 2024)
Si la industria de Internet de las cosas (IoT) es el orden Jedi, con sables de luz Philips Hue y poderes de la Fuerza "inteligentes" basados en la nube, la popular cuenta de Twitter Internet de Shit es un Lord Sith. En un momento en que la industria de la tecnología parece ansiosa por poner un chip en todo, las consecuencias son malditas, Internet of Shit le da un nombre al problema de la electrónica nueva e inútil y destaca que algunos de estos productos pueden no ser tan benignos como pensamos.
La cuenta de Twitter de Internet of Shit se centra en el nicho y lo popular. En el caso de, digamos, pagar una comida usando una botella de agua inteligente, con razón cuestiona la utilidad. Destaca lo absurdo de tener que esperar las necesidades fundamentales, como la luz y el calor, que no están disponibles después de que los productos "inteligentes" reciben actualizaciones de firmware.
cada vez que sale un nuevo gadget pic.twitter.com/khHKAOcLbv
- Internet of Shit (@internetofshit) 23 de enero de 2017
Como se puede imaginar, Internet of Shit es capaz de destripar a la industria de la que se burla tan efectivamente porque esa industria está cerca de su corazón. "Sucedió tan naturalmente", dijo IOS. "Solía pasar mucho tiempo en Kickstarter y vi el surgimiento de Internet de las cosas allí. Parecía que cada dos días algún objeto mundano tenía un chip metido en él, pero nadie, ni siquiera en los medios, estaba crítico al respecto. Simplemente diría cosas como, 'Guau, finalmente podemos poner Internet en un paraguas' ".
IOS se ve a sí mismo como un defensor del diablo o una conciencia colectiva para la cultura del consumidor. A sus ojos, la cuenta de Twitter es una comprobación de cordura muy necesaria en el falso optimismo de Silicon Valley. "Cuando vamos demasiado lejos, la pregunta importante que la gente de tecnología tiende a olvidar es: ¿quién realmente necesita esto? ¿Un horno que no puede cocinar adecuadamente sin Internet? ¿Por qué las personas no están diseñando estas cosas mejor?"
Pero más que un diseño pobre y afirmaciones engañosas de utilidad, la principal preocupación de IOS es la privacidad y, en última instancia, la seguridad personal: "Sin embargo, sí veo IoT como inherentemente riesgoso. No confío en que estas compañías no filtren mis datos o no ser severamente hackeado en el futuro ".
En una publicación de Medium escrita al principio de la vida de la cuenta de Twitter, IOS dijo que le preocupaba que las compañías comenzaran a buscar formas de monetizar los datos recopilados de los hogares de las personas. De esa historia: "Si Nest quisiera aumentar las ganancias, podría vender los datos ambientales de su hogar a los anunciantes. ¿Demasiado frío? Anuncios de Amazon para cobijas. ¿Demasiado caliente? Un anuncio publicitario para un aire acondicionado. ¿Demasiado húmedo? Deshumidificadores en su Facebook".
IOS sigue defendiendo estas preocupaciones. "La razón por la que IoT es tan convincente para los fabricantes no es porque están agregando funciones inteligentes a su vida, eso es solo un subproducto", me escribió. "Es más que al hacerlo, obtienen una visión sin precedentes de cómo se usan esos dispositivos, como con qué frecuencia, qué funciones usa más y todos los datos que vienen con eso".
IOS dice que las empresas de IoT deben ser mucho más directas sobre sus políticas de recopilación de datos y quién puede acceder a la información que estos dispositivos pueden recopilar. "La pregunta que todos debemos decidir es qué nivel de acceso estamos dispuestos a dar a estas compañías a cambio de los datos que obtienen, y en quién confiamos con eso es clave".
El día de Navidad de 2016, IOS permitió que sus luces parpadearan cada vez que se mencionaba su nombre en Twitter. Los resultados fueron intensos, anticlimáticos y breves, ilustrando quizás todo lo que IOS detesta sobre el Internet de las cosas.
Internet de la inseguridad
Sin embargo, mucho peor que el efecto que tienen los dispositivos IoT inútiles en las billeteras de los consumidores, es el efecto que tienen en la seguridad personal. Los temores de IOS de un mercado para los datos de usuarios recopilados por los dispositivos IoT no son descabellados (¿cómo cree que las aplicaciones gratuitas y las compañías de noticias gratuitas de Internet hacen dinero?), Y ya existen otras amenazas muy reales.
Los asistentes a la conferencia Black Hat 2016 recibieron imágenes del investigador de seguridad Eyal Ronen. Utilizando su investigación, pudo tomar el control de las luces Philips Hue de un avión no tripulado que flotaba fuera de un edificio de oficinas. El ataque fue notable no solo por sus dramáticos resultados y por usar un dron, sino también porque el edificio albergaba a varias compañías de seguridad conocidas.
Ronen me explicó que estaba intentando demostrar que era posible un ataque contra una línea de dispositivos IoT de primer nivel. "Hay muchos hacks de IoT destinados a dispositivos de gama baja que no tienen seguridad real. Queríamos probar la seguridad de un producto que se supone que es seguro", dijo. También estaba interesado en atacar a una empresa conocida y se decidió por Philips. Ronen dijo que fue más difícil de descifrar de lo que inicialmente pensó, pero él y su equipo encontraron y explotaron un error en el software ZigBee Light Link, un protocolo de comunicación de terceros utilizado por varias compañías de IoT y considerado como un sistema maduro y seguro.
"Utiliza primitivas criptográficas avanzadas y tiene fuertes reclamos de seguridad", dijo Ronen. "Pero al final, en un tiempo relativamente corto con hardware de muy bajo costo por valor de alrededor de $ 1, 000, pudimos romperlo", dijo Ronen.
El video del ataque de Ronen (arriba) muestra las luces del edificio parpadeando en secuencia, siguiendo sus comandos enviados de forma remota a través de un avión no tripulado. Si esto le sucediera a usted, sería molesto, quizás no más molesto que cualquiera de los escenarios destacados por IOS en su cuenta de Twitter. Pero los profesionales de seguridad sostienen que hay consecuencias mucho mayores para la seguridad de IoT.
"En un trabajo anterior, mostramos cómo usar luces para extraer datos de la red con espacios de aire y causar ataques epilépticos, y en este trabajo mostramos cómo podemos usar luces para atacar la red eléctrica y bloquear el Wi-Fi", dijo Ronen yo. "IoT se está metiendo en cada parte de nuestras vidas, y su seguridad puede afectar todo, desde dispositivos médicos hasta automóviles y hogares".
Una falta de estándares
El ataque de Ronen se aprovechó de la proximidad, pero el investigador jefe de seguridad Alexandru Balan en Bitdefender describió muchas otras fallas de seguridad que vienen en algunos dispositivos IoT. Las contraseñas codificadas, dijo, son particularmente problemáticas, al igual que los dispositivos que están configurados para ser accesibles desde Internet abierto.
Fue esta combinación de accesibilidad a Internet y contraseñas simples y predeterminadas lo que causó estragos en octubre de 2016 cuando la botnet Mirai retiró servicios importantes como Netflix y Hulu, ya fuera de línea o los hizo tan lentos que no se pudieron usar. Unas semanas después, una variante de Mirai estranguló el acceso a internet en toda la nación de Liberia.
No mucho después de que se conoció la noticia de Mirai, miré este escenario y culpé a la industria de IoT por ignorar las advertencias sobre autenticación deficiente y accesibilidad en línea innecesaria. Pero Balan no iría tan lejos como para llamar obvia a estas fallas. "necesitan hacer ingeniería inversa en el firmware para extraer esas credenciales, pero a menudo es el caso que encuentran credenciales codificadas en los dispositivos. La razón de esto es que en muchos casos, no hay estándares cuando se trata de Seguridad de IoT ".
Surgen vulnerabilidades como estas, hipotetizó Balan, porque las compañías de IoT operan por su cuenta, sin estándares universalmente aceptados o experiencia en seguridad. "Es más fácil construirlo de esta manera. Y se puede decir que están cortando esquinas, pero el problema principal es que no están buscando cómo construirlo adecuadamente de una manera segura. Solo están tratando de hacerlo funcionar correctamente."
Incluso cuando las empresas desarrollan soluciones para ataques como el que Ronen descubrió, algunos dispositivos IoT no pueden aplicar actualizaciones automáticas. Esto incumbe a los consumidores a encontrar y aplicar parches ellos mismos, lo que puede ser particularmente desalentador en dispositivos que no están destinados a ser reparados.
Pero incluso con dispositivos que se pueden actualizar fácilmente, todavía existen vulnerabilidades. Varios investigadores han demostrado que no todos los desarrolladores de IoT firman sus actualizaciones con una firma criptográfica. El software firmado está encriptado con la mitad privada de una clave criptográfica asimétrica propiedad del desarrollador. Los dispositivos que reciben la actualización tienen la mitad pública de la clave, que se utiliza para descifrar la actualización. Esto garantiza que la actualización sea oficial y no haya sido manipulada, ya que firmar una actualización maliciosa o modificar la actualización de software requeriría la clave secreta del desarrollador. "Si no firman digitalmente sus actualizaciones, pueden ser secuestrados, pueden ser manipulados; el código puede inyectarse en esas actualizaciones", dijo Balan.
Más allá de simplemente encender y apagar las luces, Balan dijo que los dispositivos IoT infectados se pueden usar como parte de la botnet, como se ve con Mirai, o para fines mucho más insidiosos. "Puedo extraer sus credenciales de Wi-Fi, porque obviamente lo ha conectado a su red de Wi-Fi y, como es una caja de Linux, puedo usarlo para pivotar y comenzar a lanzar ataques dentro de su red inalámbrica.
"Dentro de la privacidad de su propia red LAN, los mecanismos de autenticación son laxos", continuó Balan. "El problema con LAN es que una vez que estoy en su red privada, puedo tener acceso a casi todo lo que sucede allí". En efecto, IoT corrupto se convierte en una cabeza de playa para los ataques a dispositivos más valiosos en la misma red, como el almacenamiento conectado a la red o las computadoras personales.
Tal vez sea revelador que la industria de la seguridad ha comenzado a mirar de cerca el IoT. En los últimos años, varios productos han ingresado al mercado alegando proteger los dispositivos IoT de los ataques. He visto o leído sobre varios de estos productos y revisado la oferta de Bitdefender. Llamado Bitdefender Box, el dispositivo se conecta a su red existente y proporciona protección antivirus para cada dispositivo en su red. Incluso investiga sus dispositivos en busca de posibles debilidades. Bitdefender lanzará la segunda versión de su dispositivo Box este año. Norton presentará su propia oferta (a continuación), con una inspección profunda de paquetes, mientras que F-Secure también ha anunciado un dispositivo de hardware.
Como uno de los primeros en el mercado, Bitdefender está en la posición única de tener experiencia en seguridad de software y luego diseñar hardware de consumo que, presumiblemente, sería impecablemente seguro. ¿Cómo fue esa experiencia? "Fue muy difícil", respondió Balan.
Bitdefender tiene un programa de recompensa por errores (una recompensa monetaria ofrecida a los programadores que descubren y brindan una solución a un error en un sitio web o en una aplicación), que Balan confirmó que ha ayudado al desarrollo de Box. "Ninguna empresa debería ser lo suficientemente arrogante como para creer que puede encontrar todos los errores por sí mismos. Es por eso que existen programas de recompensas de errores, pero el desafío con el hardware es que puede haber puertas traseras dentro de los chips reales".
"Sabemos qué buscar y qué mirar, y en realidad tenemos un equipo de hardware que puede desarmar y analizar cada uno de los componentes de esa placa. Afortunadamente, esa placa no es tan grande".
No todo es mierda
Es fácil descontar toda una industria basada en sus peores actores, y lo mismo es cierto para Internet de las cosas. Pero George Yianni, Jefe de Tecnología, Sistemas Domésticos, Philips Lighting, encuentra esta visión particularmente frustrante.
"Nos tomamos muy en serio desde el principio. Esta es una categoría nueva. Tenemos que generar confianza, y en realidad esto daña la confianza. Y también es por eso que creo que la mayor vergüenza de los productos que no han hecho un trabajo tan bueno es que erosiona la confianza en la categoría general. Cualquier producto puede hacerse mal. No es una crítica de la industria en general ".
Como suele ser el caso de la seguridad, la forma en que una empresa responde a un ataque suele ser más importante que los efectos del ataque en sí. En el caso del ataque con drones contra dispositivos Philips, Yianni explicó que Ronen presentó sus hallazgos a través del programa de divulgación responsable existente de la compañía. Estos son procedimientos que se implementan para que las empresas tengan tiempo de responder al descubrimiento de un investigador de seguridad antes de que se haga público. De esa manera, los consumidores pueden estar seguros de que están a salvo y los investigadores obtienen la gloria.
Ronen había encontrado un error en una pila de software de terceros, dijo Yianni. Específicamente, fue la parte del estándar ZigBee que limita la comunicación a dispositivos dentro de dos metros. Como recordarán, el trabajo de Ronen fue capaz de tomar el control desde una distancia: 40 metros de distancia con una antena estándar y 100 metros con una antena aumentada. Gracias al programa de divulgación responsable, Yianni dijo que Philips pudo extender un parche a las luces en el campo antes de que Ronen le contara al mundo sobre el ataque.
Después de haber visto a muchas empresas lidiar con una violación de la seguridad pública o el resultado del trabajo de un investigador de seguridad, la respuesta de Yianni y Philips puede sonar como una palmadita posterior, pero realmente fue un éxito. "Todos nuestros productos son actualizables por software, por lo que las cosas se pueden arreglar", me dijo Yianni. "La otra cosa que hacemos es la evaluación de riesgos de seguridad, auditorías de seguridad, pruebas de penetración en todos nuestros productos. Pero luego también ejecutamos estos procesos de divulgación responsables, de modo que si algo sucede, podemos averiguarlo de antemano y solucionarlo. Es muy rápido.
"Tenemos un proceso completo en el que podemos llevar las actualizaciones de software de toda nuestra nube hacia abajo y distribuirlas a todas las luces. Eso es muy importante, porque el espacio se mueve muy rápido y estos son productos que durarán 15 años. Y si vamos a asegurarnos de que sigan siendo relevantes en términos de funcionalidad y sean lo suficientemente seguros para los últimos ataques, necesitamos tener eso ".
En su correspondencia conmigo, Ronen confirmó que Philips había hecho un trabajo admirable al asegurar el sistema de iluminación Hue. "Philips puso un sorprendente esfuerzo en asegurar las luces", me dijo Ronen. "Pero desafortunadamente, algunos de los supuestos básicos de seguridad que se basaban en la implementación de seguridad de chip subyacente de Atmel estaban equivocados". Como Balan señaló con el trabajo de Bitdefender en la Caja, cada aspecto del dispositivo IoT está sujeto a ataques.
Philips también diseñó el Hub central, el dispositivo requerido para coordinar redes de productos IoT de Philips, para que sea inaccesible desde Internet abierto. "Todas las conexiones a Internet se inician desde el dispositivo. Nunca abrimos puertos en los enrutadores ni lo hacemos para que un dispositivo en Internet pueda comunicarse directamente con el", explicó Yianni. En cambio, el Hub envía solicitudes a la infraestructura de la nube de Philips, que responde a la solicitud en lugar de al revés. Esto también le permite a Philips agregar capas adicionales para proteger los dispositivos de los consumidores sin tener que acceder a su hogar y realizar cambios. "No es posible comunicarse desde fuera del Hub a menos que se lo enrute a través de esta nube donde podemos construir capas adicionales de seguridad y monitoreo".
Yianni explicó que todo esto era parte de un enfoque de varias capas que Philips adoptó para asegurar el sistema de iluminación Hue. Dado que el sistema se compone de varias piezas diferentes, desde el hardware dentro de las bombillas hasta el software y el hardware en el Hub Hue hasta la aplicación dentro de los teléfonos de los usuarios, se tuvieron que tomar diferentes medidas en todos los niveles. "Todos ellos necesitan diferentes medidas de seguridad para mantenerlos a salvo. Todos tienen diferentes niveles de riesgo y vulnerabilidad. Por lo tanto, tomamos diferentes medidas para todas estas partes", dijo Yianni.
Esto incluyó pruebas de penetración, pero también un diseño ascendente destinado a frustrar a los atacantes. "No hay contraseñas globales como las que se usaron en esta botnet Mirai", dijo Yianni. El malware Mirai tenía docenas de códigos de acceso predeterminados que usaría en un intento de hacerse cargo de los dispositivos IoT. "Todos tienen claves únicas, firmadas asimétricamente para verificar el firmware, todo esto. Un dispositivo que tenga su hardware modificado, no hay riesgo global de eso", explicó.
Esto también se aplica al valor de los dispositivos IoT. "Muchos de estos productos tienden a ser conectividad en aras de la conectividad", dijo. "La necesidad de automatizar todo dentro de su hogar no es un problema que tienen muchos consumidores, y eso es muy difícil de entender. Creemos que los productos que funcionan bien son los que ofrecen un valor más fácil de entender para los consumidores".
El irresistible Internet de las cosas
Conocer los riesgos sobre IoT, e incluso reconocer su frivolidad, ciertamente no ha impedido que las personas compren iluminación inteligente como Philips Hue, asistentes domésticos que siempre escuchan como Google Home o Amazon Echo, y sí, botellas de agua inteligentes. Incluso el operador de Internet de mierda es un gran fanático de IoT.
"La verdadera ironía detrás de Internet de Shit es que soy un imbécil para estos dispositivos", dijo IOS. "Soy uno de los primeros en adoptar y trabajo en tecnología, así que muchas veces no puedo resistirme a estas cosas". IOS enumera las luces conectadas de Philips, el termostato Tado, el rastreador de sueño Sense, los altavoces inteligentes, la cámara Canary y los enchufes conectados a Wi-Fi entre sus comodidades futuristas para el hogar.
"Soy consciente de que la cuenta se hizo accidentalmente mucho más grande de lo que alguna vez imaginé, y no quiero desanimar a las personas a que se dediquen a la tecnología. Creo que experimentar con ideas tontas es la forma en que pueden nacer ideas geniales, que es algo que Simone Giertz me enseñó un poco ", dijo IOS.
Giertz, un robotista absurdo y YouTuber, es la mente detrás de Shitty Robots. Sus creaciones incluyen un dron que le da cortes de pelo (o, más bien, no lo hace) y un enorme sombrero que coloca gafas de sol dramáticamente en su rostro. Piense en ello como Rube Goldberg con una dosis saludable de cinismo de Silicon Valley.
La persona detrás de IOS informa que está tratando de controlar sus instintos de adopción temprana en estos días. "Creo que el momento en que tuve que actualizar el firmware de mis bombillas para encenderlas fue un poco de realización para mí…"
Balan de Bitdefender dijo que usa bombillas que funcionan como repetidores de Wi-Fi. Estos dispositivos extienden la luz y el wifi a todos los rincones de su hogar. Pero también están cargados con muchas de las vulnerabilidades que se burló, incluidas las contraseñas predeterminadas débiles. Sin embargo, cuando se trata de IoT, él no se desanima.
"Es como el sexo", me dijo. "No lo harías sin un condón. Nos gusta el sexo, el sexo es increíble, no vamos a renunciar al sexo solo porque es peligroso. Pero usaremos protección cuando lo hagamos". En lugar de caer en la paranoia, cree que los consumidores deberían confiar en las compañías de seguridad y amigos educados que puedan identificar las compañías que toman en serio la seguridad con recompensas de errores y herramientas seguras y de actualización frecuente.
¿Y el pirata informático piloto de drones Ronen usa IoT? "Actualmente, no", dijo. "Me temo que el efecto tiene en mi privacidad y seguridad. Y los beneficios no son lo suficientemente altos para mis necesidades".
Incluso su humilde autor, que se ha resistido a la canción de sirena de hablar de detectores de humo y luces que cambian de color durante años, ha comenzado a desmoronarse. Recientemente, en un esfuerzo por arreglar la oficina para las vacaciones, me encontré configurando tres luces inteligentes separadas. El resultado, fue horriblemente, irresistiblemente hermoso.
Mientras tanto, una nueva luz Philips Hue está en mi canasta de compras de Amazon. Algún día pronto, presionaré el botón.
