La industria de internet de las cosas nos falló | max eddy

El pasado fin de semana, Internet en EE. UU. Se ralentizó gracias a un ataque distribuido de denegación de servicio, o DDOS. Fue un ataque interesante por dos razones. Primero, los atacantes, sean quienes sean, no inundaron un solo sitio web con solicitudes basura, como es el MO habitual para los ataques DDOS. En cambio, fueron tras el proveedor de DNS Dyn, lo que provocó que numerosos sitios web se ralentizaran o dejaran de funcionar por completo. Las advertencias sobre la sobrecentralización de la infraestructura DNS repentinamente se volvieron muy interesantes.

El segundo punto, y más importante, es que una parte considerable de los dispositivos involucrados en el ataque DDoS fueron llamados dispositivos inteligentes de Internet de las cosas. Por lo general, los atacantes propagan malware a través de computadoras que luego siguen el comando del atacante y simultáneamente solicitan información de los sitios web hasta que el sitio se dobla bajo la carga. Pero esta vez, el descomunal tesoro de zombis digitales incluía cámaras de seguridad y enrutadores inalámbricos.

La tetera lo hizo

En el centro del ataque se encontraba Mirai, que no es una pieza de malware particularmente exótica. Analiza los dispositivos conectados a la Web en busca de lo que parecen ser dispositivos IoT con Linux, aparentemente favoreciendo las cámaras de seguridad y los enrutadores domésticos de Hangzhou Xiongmai Technology. Luego busca el código de acceso predeterminado en una tabla e inicia sesión. Una vez dentro, transfiere el control del dispositivo a un servidor central de comando y control.

Si bien este ataque fue impactante en lo que logró, desafortunadamente no es nada que no veamos venir. En la conferencia Black Hat en 2013, Craig Heffner demostró la capacidad de hacerse cargo fácilmente de las cámaras de seguridad conectadas a la red. Su demostración incluyó compañías de renombre que reconocerías, incluidas D-Link, Linksys, Cisco, IQInvision y 3SVision. Cuando se le preguntó qué dispositivos eran vulnerables a los ataques, dijo que no había encontrado una marca que no pudiera controlarse.

Para su demostración, Heffner engañó a la cámara para que mostrara un video en bucle, como en una película de atraco. Pero la sustancia real de su charla era mucho más grave. Los dispositivos IoT como cámaras de seguridad, teteras, refrigeradores, y sí, incluso los enrutadores inalámbricos son solo pequeñas computadoras conectadas a Internet. Dijo que si los atacantes quieren atacar específicamente a una persona o empresa, pueden atacar estos dispositivos mal defendidos y usarlos como cabeza de playa para explorar el resto de la red de la víctima. Y debido a que son pequeñas computadoras, posiblemente puedan ser inducidas a ejecutar cualquier código que el atacante desee.

Piénselo de esta manera: puede comprar las puertas más fuertes con las mejores cerraduras que no se pueden cortar para proteger su casa, pero un ladrón aún puede entrar por las ventanas.

IoT es diferente

En la industria de la seguridad, nos gusta culpar a las personas, no a las computadoras. Si las personas hubieran estado más alertas, podrían haber atrapado el error Heartbleed antes de que fuera introducido. Un dicho popular es que el mayor punto de falla en cualquier sistema de seguridad es entre la computadora y la silla. Caso en cuestión: el hackeo de la cuenta de Gmail del presidente de campaña de Hillary Clinton, John Podesta, que nos presentó su receta de risotto, entre otras cosas, aparentemente comenzó con una estafa de phishing.

Pero en el caso de la seguridad de IoT, los consumidores no pueden ser considerados responsables de la misma manera. Como propietario de un automóvil, por ejemplo, debe tener precaución al conducir y proporcionar un mantenimiento razonable. La compañía de automóviles, a su vez, debe proporcionarle un producto que realmente no lo matará.

A medida que nuestra sociedad cambió, también lo hicieron las expectativas de los consumidores. Los defensores de los consumidores señalan que algunos automóviles eran "inseguros a cualquier velocidad". Y como una criatura en evolución, los automóviles brotaron nuevos apéndices: cinturones de seguridad, bolsas de aire y características menos obvias como zonas de deformación y materiales diseñados especialmente para mantener a los consumidores razonablemente seguros en un mundo cambiante.

Lo mismo es cierto para la tecnología de consumo. La proliferación de software malicioso y los peligros que se presentan a cualquier dispositivo que simplemente se conecta a Internet, han empujado a los fabricantes a tomar un papel más activo en la protección de los consumidores. Windows, por ejemplo, ahora viene con antivirus instalado y mantenido por Microsoft. La compañía también emite parches regularmente, porque los desafíos que enfrentan los consumidores son demasiado complejos para que puedan enfrentarlos por su cuenta.

Cuando los teléfonos inteligentes comenzaron a despegar, los fabricantes y desarrolladores aprendieron de las pruebas de los años de la PC. Si bien la seguridad móvil ha tenido algunos baches en el camino, ha sido un juego de niños en comparación con la historia de la PC. No hemos tenido ese tipo de infección generalizada en los teléfonos inteligentes que vimos con Conficker, y esperamos que nunca lo tengamos.

La historia de IoT trazó un curso diferente, tal vez uno que usaba un pez dorado como navegador. En lugar de controlar el acceso al dispositivo y emplear las mejores prácticas aprendidas al conectar miles de millones de computadoras y teléfonos a lo largo de décadas, los fabricantes lanzaron al mercado productos baratos. Los que fueron diseñados, en algunos casos, para nunca ser reparados, actualizados o parcheados. E incluso si se pudieran abordar los problemas, posiblemente no sea razonable esperar que las personas traten los dispositivos que ahorran trabajo de la misma manera que lo hacen con las computadoras. La gran mayoría de los consumidores asume, y con razón, que si un dispositivo no tiene una pantalla o algún tipo de método de entrada, no está destinado a ser reparado por ellos.

Esto no tuvo que suceder

La parte más frustrante del reciente ataque DDoS es que los fabricantes de IoT solo necesitaban mirar 30 años de tecnología de consumo para ver la proverbial escritura en la pared. Y si no pudieran hacer eso, podrían haber escuchado las advertencias emitidas por los investigadores de seguridad (hackers corporativos y aficionados). Estas personas le han dicho a cualquiera que escuche cómo poner miles de millones de dispositivos más en Internet sin una cuidadosa consideración de cómo se usarán es una mala idea. En 2014, Dan Geer abrió la conferencia Black Hat diciendo que el IoT ya está sobre nosotros y podría generar problemas.

A pesar de mis mejores esfuerzos para seguir siendo cínico, IoT se siente inevitable y convincente. La ciencia ficción nos ha prometido computadoras parlantes y electrodomésticos futuristas durante décadas, y tal vez es por eso que la predicción de Gartner de que habrá 6.400 millones de dispositivos conectados a Internet para 2020 parece factible. Estos dispositivos ya están en nuestros hogares: cajas de transmisión, consolas de juegos, enrutadores inalámbricos. A los ojos de los atacantes y los ataques automáticos, estas son solo más direcciones IP para explotar.

A medida que avanzamos hacia las vacaciones y avanzamos hacia una nueva generación de dispositivos de IoT, pongamos a la vanguardia la seguridad diseñada para que la entiendan los usuarios. Si para 2020 el mejor consejo que todavía tengo para ofrecer a las personas es desconectar sus dispositivos inteligentes, entonces esta industria no merece su reputación de innovación o incluso inteligencia.