Saltar al contenido

Cómo trabaja un investigador de seguridad para proteger los dispositivos de IoT vulnerables

Como trabaja un investigador de seguridad para proteger los dispositivos
TOP. 1
Suave como el visón
Suave como el visón
Amazon Prime Video (Video on Demand); Cary Grant, Doris Day, Gig Young (Actors); Delbert Mann (Director) - Stanley Shapiro (Writer) - Robert Arthur (Producer)

Los fabricantes de dispositivos se apresuraron a capitalizar el auge del Internet de las cosas (IoT) y las posibilidades de lo que se podría lograr si los llamados dispositivos inteligentes pudieran comunicarse entre sí. Sin embargo, a medida que se esforzaban por llevar estos dispositivos al mercado rápidamente, muchos fabricantes de hardware no pudieron asegurarlos correctamente al hacer cosas como no alentar activamente a los usuarios a cambiar la información de identificación predeterminada de sus dispositivos. Según Security Today, los expertos estiman que para 2020 se instalarán 31 mil millones de dispositivos IoT, lo que podría poner a las empresas y los consumidores en riesgo de sufrir ataques.

Investigador de seguridad senior en Tripwire, Craig Young ha dedicado su tiempo y esfuerzo a proteger estos dispositivos y es probable que, si tiene un dispositivo IoT, Craig lo haya estudiado. LaComparacion Pro habló con Craig sobre lo que lo llevó a convertirse en investigador de seguridad y también proporcionó más detalles sobre sus recientes descubrimientos de un candado inteligente vulnerable, así como una vulnerabilidad de privacidad de ubicación en dos. de los productos de consumo más populares de Google.

¿Puede contarnos un poco más sobre su trabajo con el equipo de Investigación de vulnerabilidad y exposición de Tripwire (GREEN)?

Mi trabajo como Investigador Senior de Seguridad VERDE es increíblemente versátil y suelo usar varios sombreros durante la semana o incluso el día. Mi trabajo es estar al tanto de las tendencias de seguridad de bajo nivel y poder cambiar de una tecnología o función a otra en cualquier momento.

Además de escribir numerosas pruebas de vulnerabilidad remota para IP360, participo regularmente en la orientación de políticas de seguridad interna, así como en ciertos aspectos relacionados con el diseño seguro de los productos Tripwire. También dedico mucho tiempo a leer y experimentar. Esto me llevó a mis propios proyectos de investigación, algunos de los cuales terminaron siendo objeto de presentaciones o incluso cursos como reconocidas conferencias de seguridad como Black Hat, DEF CON y SECtor.

¿Qué le llevó a pasar de ingeniero a investigador de seguridad?

Ya sea explorando los COCOT (teléfonos públicos) del centro comercial como preadolescente o mostrándole al administrador de la escuela secundaria con qué facilidad podía acceder al sistema de calificaciones, siempre me ha atraído el aspectos de seguridad de la tecnología y tuve la suerte de serlo. capaz de hacer una carrera con ello.

¿Cuáles son las mayores amenazas para la seguridad de los dispositivos de IoT en la actualidad y cómo pueden los fabricantes de dispositivos hacer que sus productos conectados sean más seguros?

Existen muchos riesgos asociados con IoT dependiendo de la aplicación, pero a nivel general, el mayor riesgo desde mi perspectiva es la posible desestabilización de Internet como resultado del compromiso de un gran proveedor de IoT. Un atacante que obtenga acceso a la infraestructura en la nube de un dispositivo de IoT popular podría potencialmente enviar malware a hogares y oficinas de todo el mundo. El daño de un ataque tan sofisticado podría eclipsar el de Mirai o incluso el de WannaCry o NotPetya.

Cerradura inteligente

(Crédito de la imagen: Wikimedia)

Recientemente descubrió una vulnerabilidad en una marca popular de cerraduras inteligentes. ¿Puede contarnos más sobre lo que descubrió y lo que lo impulsó a investigar la seguridad de las cerraduras inteligentes en primer lugar?

En esta cerradura inteligente en particular, descubrí que el vendedor había dejado la puerta abierta para los atacantes. Específicamente, el agente de cola de mensajes utilizado no requería nombre de usuario ni contraseña y permitía que cualquier persona en el mundo intercambiara mensajes con cualquier candado conectado a la nube. del proveedor.

Al iniciar sesión en la nube del proveedor de forma anónima y luego desbloquear mi cerradura de prueba, pude observar un token criptográfico para desbloquear la puerta. Luego podría reproducir este mensaje para abrir la puerta. También podría enviar otros mensajes que impidan que alguien abra la puerta con el teclado o el lector de huellas dactilares o mantenga su aplicación cerrada indefinidamente.

Sin embargo, la forma en que encontré esta vulnerabilidad fue un poco inusual. En lugar de comenzar con un producto específico y buscar vulnerabilidades, comencé observando el protocolo MQTT comúnmente utilizado en IoT y buscando exposiciones de datos. Encontré este proveedor de bloqueo buscando datos indexados por el motor de búsqueda de Internet Shodan para direcciones de correo electrónico y términos relevantes para IoT. El servidor me llamó la atención porque Shodan había bloqueado varios cientos de direcciones de correo electrónico que se enviaron a Shodan como nombres de temas MQTT.

¿Cómo puede un hacker explotar un altavoz inteligente para obtener información sobre su propietario? ¿Crees que estos dispositivos representan una seria amenaza para la privacidad del usuario?

Se presenta un ejemplo en mi investigación anterior. En este escenario, el atacante podría obtener una ubicación geográfica precisa del altavoz inteligente después de que cualquier persona conectada a esa red cargue contenido malicioso en un navegador web a través de un enlace directo o un anuncio integrado. Google abordó este problema agregando protecciones para evitar ataques de enlace de DNS.

Los otros ataques que conozco tienden a clasificarse en dos categorías principales: aplicaciones maliciosas y envío de comandos de voz no autorizados. En la primera categoría, varios grupos de investigación han analizado varias formas en las que un desarrollador malintencionado puede escuchar a escondidas las conversaciones que tienen lugar alrededor del altavoz inteligente. La segunda categoría con frecuencia involucra técnicas físicas aplicadas que le permiten a uno interactuar con el hablante desde fuera del hogar. La técnica más eficaz a este respecto parece ser el uso de láseres para inducir el sonido directamente en el micrófono del dispositivo.

Personalmente, no me preocupa demasiado que los piratas informáticos exploten los altavoces inteligentes. Es importante saber qué contenido de terceros habilita y qué acceso le da al altavoz inteligente, pero en última instancia, con la generación actual de dispositivos, no me preocupa demasiado la piratería. malintencionado individualizado. Me preocupa mucho más la probabilidad de que los propios vendedores exploten su acceso a nuestras casas vendiendo la información obtenida sobre nosotros a los anunciantes o incluso a las fuerzas del orden.

Gafas frente a la pantalla de la computadora

(Crédito de la imagen: Kevin Ku / Pexels)

De todas las vulnerabilidades que descubrió, ¿cuál fue la más interesante y por qué?

Desde un punto de vista técnico, mi investigación sobre vulnerabilidades criptográficas ha sido muy interesante. En 2018, tuve la oportunidad de coescribir The Return of Bleichenbacher’s Oracle Threat (ROBOT) con Hanno Böck y el Dr. Juraj Somorovsky. Además de las fallas técnicas profundamente interesantes que descubrimos, esta investigación requirió que identificáramos y coordináramos entre una larga lista de proveedores afectados para su divulgación en una escala en la que no había participado anteriormente. También me llevó a un premio Pwnie en Black Hat ese año y me dio la chispa para explorar otros problemas criptográficos como GOLDENDOODLE y Zombie POODLE que revelé en 2019.

IoT

(Crédito de la imagen: Shutterstock)

¿Qué consejo le daría a una empresa que esté considerando adoptar IoT u otros dispositivos conectados?

Al igual que con cualquier adopción de tecnología, las empresas deben sopesar los beneficios potenciales frente a los riesgos potenciales. Las organizaciones también deben ver estas inversiones en el contexto más amplio de sus capacidades comerciales y operativas. Los tomadores de decisiones deben tener en cuenta los diferentes escenarios hipotéticos para comprender completamente en qué se están metiendo con IoT. Aquí hay algunas preguntas para hacer:

  • ¿Qué sucede si X deja de estar disponible?

-¿Qué pasa si los datos de X caen en malas manos?

-¿Puede un atacante en este sistema acceder o interrumpir los recursos de la empresa?

Más allá de eso, hay otras cosas a considerar con respecto al proveedor y las precauciones de seguridad específicas que toma. Idealmente, los proveedores deberían contar con procesos de diseño seguros, incluido el modelado formal de amenazas, la revisión de seguridad externa y la entrega de actualizaciones autenticadas. Desafortunadamente, este tipo de información no suele estar disponible para la mayoría de los consumidores, pero espero que en el futuro haya organizaciones independientes que evalúen a los proveedores sobre la base de estos y otros indicadores. revisiones.

Share This