IMWU-nlCómo los piratas informáticos están haciendo su hogar inteligente más seguro
NoticiasDesde computadoras personales, teléfonos y autos conectados, hemos aprendido un hecho inmutable: si puedes acceder a algo de forma remota, tarde o temprano alguien intentará piratearlo. Uno de nuestros ejemplos favoritos es el de los inodoros inteligentes Satis en Japón, cuyas conexiones Bluetooth pueden ser secuestradas para hostigar y empapar a sus ocupantes..
Nos reímos, pero luego pensamos: ¿qué pasaría si ese fuera nuestro inodoro y nosotros éramos los que estábamos empapados??
Saluda a la desventaja de la tecnología de casa inteligente.
Pero resulta que algunas de las personas con el poder de atacar tu morada inteligente y conectada son las mismas personas que están en la puerta de entrada, encontrando las hazañas antes de que aquellos con malas intenciones alguna vez crucen las paredes de la fortaleza, son los hackers que protegen a tus inteligentes casa.
Hacks ya están aquí
Podría pensar que este problema no es algo de qué preocuparse ahora, pero la piratería inteligente en el hogar no es una amenaza futura.
En 2013, Trustwave descubrió que dos de los principales sistemas de automatización del hogar de EE. UU., MIOS y Insteon Hub, tenían vulnerabilidades que podían habilitar la vigilancia encubierta, desbloquear puertas y potencialmente causar daños graves a los ocupantes de la vivienda..
Más tarde, el mismo año, los piratas informáticos de Black Hat demostraron piruetas exitosas en cerraduras de casas inteligentes, tomas de corriente de casas inteligentes, centros de casas inteligentes e incluso juguetes caseros inteligentes..
La piratería de Internet de las cosas se ha convertido en una característica habitual de los eventos de piratería: en DEF CON 2015, los piratas informáticos descubrieron 25 vulnerabilidades desconocidas en dispositivos de Internet de las cosas, lo que les permite jugar con básculas inteligentes, comprometer un refrigerador de internet y controlar cámaras, termostatos y monitores para bebés.
Al año siguiente fue el turno de Nest, con un hackeo de 15 segundos que convirtió el termostato en un espía secreto y proporcionó una puerta trasera a la red doméstica..
Esa vulnerabilidad requería acceso físico al dispositivo, pero ¿sabría qué buscar si estuviera comprando un Nest de eBay o un vendedor de Amazon de terceros??
"La seguridad para el hogar inteligente es mucho más de lo que un dispositivo podría revelar sobre sí mismo y, por lo tanto, sobre usted", dice Paul Ducklin, tecnólogo senior de la compañía de seguridad de TI Sophos. "Ese problema es suficientemente grave si el dispositivo es una cámara web, un monitor para bebés o un rastreador de vehículos, por supuesto, pero está lejos de la suma de todos los riesgos..
"También hay lo que el dispositivo podría revelar acerca de su red, como el iKettle que fue hackeable no para hervir el agua cuando no lo esperaba, sino para renunciar a su contraseña de Wi-Fi y así permitir que un ciberdelincuente en ciernes dentro de toda su red. "
Luego está la seguridad de la aplicación obligatoria para teléfonos inteligentes y de los datos que recopilan sus dispositivos. ¿Alguien podría acceder a su sistema de casa inteligente o sus datos personales al piratear el sitio web del proveedor??
Cómo hackear una casa inteligente
Ollie Whitehouse es director técnico de expertos en ciberseguridad del Grupo NCC. "A medida que nuestros hogares están altamente conectados, existen varios riesgos introducidos por productos 'inteligentes' inseguros", dijo a techradar..
"Los atacantes pueden desactivar las alarmas de intrusión, convertir los televisores inteligentes en dispositivos de indagación o simplemente usar los dispositivos inteligentes para acceder a otros sistemas en su red doméstica. Desafortunadamente, lo que comienza como un poco de diversión o travesura puede convertirse en algo más serio".
Como señala Whitehouse, la mayoría de los sistemas domésticos inteligentes se conectan a un portal basado en la nube que es bastante difícil de comprometer, pero la red local es un objetivo mucho más suave.
"Sería relativamente fácil imaginar el malware distribuido por medios tradicionales, por ejemplo, correo electrónico, phishing y sitios web comprometidos, que luego explotan la tecnología inteligente local vulnerable..
"Ya hemos visto la aparición de exploits para dispositivos 'inteligentes' destinados al hogar que pueden ser utilizados por personas con conocimientos técnicos", agrega..
Whoa-Fi
El equivalente electrónico de un ladrón que comprueba si las puertas y ventanas están cerradas con llave es un posible pirata informático que prueba su casa con Wi-Fi.
"Wi-Fi es el primer puerto de escala para un ataque local", explica Whitehouse. "Si los atacantes pueden obtener acceso a eso, esencialmente pueden atacar a todos los dispositivos, o al menos a todos los dispositivos conectados a ese concentrador".
Y no solo tiene que preocuparse por que alguien acceda a su Wi-Fi. Los bloqueadores de señales pueden bloquear las transmisiones de los controles remotos, las llaves o las aplicaciones, inutilizándolas, o las señales pueden clonarse, algo que los ladrones de automóviles han estado haciendo a los remotos de los caros desde hace algunos años..
El Grupo NCC ha pirateado todo tipo de cosas, incluidos enrutadores, concentradores, televisores inteligentes y reproductores de Blu-Ray conectados, y a menudo es muy fácil hacerlo.
"La metodología empleada es similar a la utilizada contra las empresas", dice Whitehouse. Los piratas informáticos pueden escanear señales inalámbricas en busca de seguridad débil, o pueden intentar estafar a los usuarios para que entreguen los detalles de inicio de sesión.
Una vez que están dentro, tienen las llaves de toda la casa inteligente. "A menudo es trivial negar el servicio o comprometer otros dispositivos", agrega Whitehouse.
Ni siquiera necesitas ser un hacker experto para hacerlo. Ya existe un equivalente en el hogar inteligente del script kiddie, alguien que usa herramientas disponibles para llevar a cabo hacks. Paul Ducklin dice que una de esas herramientas, llamada Shodan, "ha sido todo lo que algunos investigadores han necesitado hasta ahora".
OMG, OEMs
Una crítica común a la tecnología de hogares inteligentes es que la seguridad no siempre es tomada en serio por los fabricantes, quienes usan plataformas inseguras o no implementan la seguridad adecuadamente.
Eso abre la puerta a herramientas como EZ-Wave, que puede penetrar en las redes domésticas de Z-Wave. Z-Wave es una conexión inalámbrica de bajo consumo para dispositivos domésticos inteligentes, como bombillas inteligentes, y EZ-Wave puede destruir esas bombillas al encenderlas y apagarlas a alta velocidad hasta que fallen..
Los creadores de la herramienta, Joseph Hall y Ben Ramsey, notan que también es posible desactivar las alarmas de puertas y ventanas, y apagar los termostatos en climas helados para provocar la rotura de tuberías..
Su herramienta no está diseñada para tales actos, señalan que EZ-Wave en sí es solo una herramienta de escaneo, pero la herramienta incluye todo lo que puede necesitar para explotar dispositivos Z-Wave que no usan cifrado.
Z-Wave incluye cifrado que hace que herramientas como EZ-Wave sean ineficaces; desafortunadamente, algunos fabricantes no se molestaron en usarlo.
Como Ramsey y Hall le dijeron a la conferencia de seguridad SchmooCon en enero de 2016: "Ya es compatible con el cifrado. Conviértalo en el predeterminado; déjeme decidir si no quiero que mis cosas estén seguras".
El director ejecutivo de Z-Wave Alliance, Mitchell Klein, dijo en un comunicado que, si bien la compañía ofreció el cifrado AES en todos los productos, "muchos proveedores han optado por implementar la seguridad solo en los dispositivos de acceso, las puertas de enlace y los concentradores, y no en los otros dispositivos para el hogar"..
En el futuro, Z-Wave dijo que las medidas de seguridad serán obligatorias en todo..
"El desarrollo de productos seguros cuesta más, y los proveedores en el espacio del consumidor están trabajando en márgenes muy delgados", dice Whitehouse. Da el ejemplo de una cerradura de puerta digital: debido a que el fabricante recortó la seguridad, NCC pudo hackearlo y desbloquearlo con facilidad. "Los consumidores de estos productos no están en posición de evaluar sus credenciales de seguridad", agrega..
Los hackers son, sin embargo. Z-Wave quiere crear una plataforma realmente a prueba de piratería, y para hacerlo, se contrata a piratas informáticos para probar las medidas de seguridad en su marco de seguridad S2, que se lanzará en el verano de 2016 y que estará disponible para los dispositivos Z-Wave existentes..
Raoul Wijgergangs es vicepresidente de Z-Wave en su matriz, Sigma Designs. "Involucramos a hackers y expertos externos en seguridad en la creación y revisión de la especificación de seguridad", dijo a techradar..
"El equipo quería que muchas fuentes externas miraran por encima de nuestros hombros, de modo que tengamos nuevos ojos en busca de posibles brechas y lagunas para que podamos abordar cualquier cosa posible".
Z-Wave también está "planeando activamente" hackathons, donde los hackers reciben carta blanca para intentar romper la seguridad, más adelante este año.
Pero no todos creen que contratar hackers sea el enfoque correcto. "Es como insistir en que los mejores bomberos deben haber sido pirómanos o incendiarios en su juventud", dice Paul Ducklin de Sophos..
"Ser un ciberdelincuente simplemente no le brinda la habilidad y la disciplina necesarias para realizar investigaciones científicas de alta calidad, legales, científicas, repetibles y debidamente autorizadas".
Eso es cierto, pero como lo demuestran eventos como DEF CON cada año, los hackers son muy buenos para encontrar vulnerabilidades que otros no han podido ver..
Cierra tus enrutadores
El inteligente entre nosotros no soñaría con dejar que una PC con Windows se conecte a Internet sin algún tipo de software de seguridad, pero muchos podrían no pensar lo mismo en asegurar un interruptor de luz porque, bueno, es un interruptor de luz.
Como dice Ollie Whitehouse, "los consumidores adoptarán la tecnología debido a las características y los beneficios que brindan, a menudo sin pensar en las implicaciones de seguridad, y algunos OEM toman la seguridad más en serio que otros".
Paul Ducklin está de acuerdo. "Parece ser más sobre el proveedor que sobre la plataforma", explica, señalando que aunque es un gran fanático de la casa inteligente, "es realmente genial", dice, "la seguridad a menudo ocupa el segundo o tercer lugar en los dispositivos domésticos construidos. a un precio, así que ¿por qué arriesgarse? "
Para Ducklin, se trata de encontrar el equilibrio adecuado entre riesgo y recompensa; La utilidad del dispositivo frente a sus posibles desventajas..
Y puede tomar algunos trucos de alto perfil para que los OEM, y nosotros, sus clientes, prestemos atención.
Como señala Raoul Wijgergangs, "Los medios y los esfuerzos de alto perfil para hackear dispositivos aumentarán el perfil y obligarán a los fabricantes y organismos de estándares a prestar atención". En este momento, "no todo el mundo está listo para comprometerse en un esfuerzo por revisar sus plataformas".
Ollie Whitehouse está de acuerdo. "Podemos y debemos esperar explotaciones en masa como las que tenemos con los sistemas de control de la industria, móviles, de la industria y con los automóviles conectados tradicionales", afirma..
"Se debe incentivar económicamente a los proveedores para que inviertan en seguridad, pero en la mayoría de los casos hoy en día hay poca o ninguna sanción en términos de ventas o regulación".
Eso cambiará, porque tiene que hacerlo, no solo para las personas que invierten en tecnología para el hogar inteligente en este momento, sino para los millones de personas que los fabricantes esperan alcanzar en el futuro. La tecnología de hogares inteligentes debe ser útil, confiable, segura y segura. Si no lo es, entonces no es muy inteligente en absoluto.