Principales amenazas en dispositivos IoT, búsqueda de dispositivos en la red, metodologías, certificaciones normativas y estándares de prevención, detección de eventos y amenazas en los dispositivos con la herramienta Logtrust
Detección en tiempo real de amenazas en dispositivos IoT
1. Detección en tiempo real de
amenazas en dispositivos IoT
Diego Ramírez Jiménez
@diegorot10
2. IoT
“Things have identities and virtual
personalities operating in smart
spaces using intelligent interfaces to
connect and communicate within
social, environment, and user
contexts”[1]
T. Lu and W. Neng
“Internet of Things means a world-
wide network of interconnected objects
uniquely addressable, based on
standard communication protocols”[2]
European Commission, “Internet of
things in 2020 road map for the
future”
“The Internet of Things allows people and
things to be connected Anytime, Anyplace,
with Anything and Anyone, ideally using any
path/network and any service”[3]
P. Guillemin and P. Friess
Aunque el término está de moda, no viene de más hablar sobre qué significan estas tres letras. The term ‘Internet of Things’ was firstly coined by Kevin Ashton in a presentation in 1998. He has mentioned “The Internet of Things has the potential to change the world, just as the Internet did. Maybe even more so”
Pero qué es el Internet de las cosas. Carecemos de una definición estandarizada para este término.
A continuación muestro tres definiciones de diferentes investigadores:
[1] T. Lu and W. Neng, “Future internet: The internet of things,” in 3rd International Conference on Advanced Computer Theory and Engineering(ICACTE), vol. 5, August 2010, pp. V5–376–V5–380.
[2] European Commission, “Internet of things in 2020 road map for the future”, Working Group RFID of the ETP EPOSS, Tech. Rep., May 2008.
[3] P. Guillemin and P. Friess, “Internet of things strategic research roadmap,” The Cluster of European Research Projects, Tech. Rep., September 2009.
¿Qué son esas “cosas” del internet de las cosas?. Son objetos cada vez más cotidianos en nuestra vida como Smart TV, Smart Watch, Neveras inteligentes.
Muchos de ellos llevan el término “inteligente” pero en aspectos de seguridad veremos que no son para nada inteligentes.
Elementos que nos facilitan la vida pero que desde el momento en el que le damos acceso a internet, los hacemos vulnerables.
Podéis pensar qué interés tiene para los malos “hackear” una Smart tv un Smart watch, etc. Desde el momento en el que estos dispositivos registran nuestros hábitos deportivos (pulsera ), contenido multimedia favorito (tv), nuestros hábitos alimenticios (neveras) estos dispositivos al fin y al cabo tienen nuestro perfil para venderlo o crear patrones de hábitos y consumo.
Bueno estos dispositivos tan modernos tendrán en cuenta estos aspectos y guardarán nuestros datos de forma segura. Todo lo contrario, se prioriza en funcionalidad, usabilidad y en último aspecto…la seguridad
La empresa Hewlett Packard realizó un estudio en 2015, reportando entre otros hallazgos respecto a los dispositivos IoT, 70% de ellos tiene vulnerabilidades de seguridad en sus contraseñas, hay problema con el cifrado de los datos o los permisos de acceso, y el 50% de las aplicaciones de dispositivos móviles no cifran las comunicaciones.
Vamos a poner algunos ejemplos de amenazas que se han producido debido a esto.
Internet of things o botnet of things.
Ha sido muy conocida en el mundo de la ciberseguridad la botnet Mirai. Mirai es un malware de la familia de las botnet destinada a infectar los dispositivos iot infectando entre otros, routers que manejan el tráfico de estos dispositivos y cámaras ip para controlarlos y realizar ataques de denegación de servicio. Este ataque se fundamenta en controlar un número enorme de dispositivos para ordenarles realizar una tarea. En este caso, millones de dispositivos iot fueron controlados por este malware.
el mayor ataque de DDoS producido hasta la fecha con dispositivos de Internet de las cosas (IoT). Esta botnet ha denegado el servicio a redes enteras como Dyn dejando inoperativos servicios como netflix paypal, twitter, etc. También ha infectado la red Deutsche Telekom el proveedor de internet de Alemania.
¿Cuál es el truco para infectar tantos dispositivos?¿Complejas técnicas de hacking?, nada más lejos de la realidad, credenciales por defecto del tipo admin admin
Para cumplir con su función de reclutamiento, Mirai realiza un amplio escaneo de direcciones IP. El propósito de estas exploraciones es localizar dispositivos IoT vulnerables que se pueden acceder de forma remota a través de credenciales de inicio de sesión fáciles de adivinar (usuarios y contraseñas predeterminados) del tipo admin admin.
La botnet utilizaba la fuerza bruta para adivinar contraseñas utilizando diccionarios de usuarios y contraseñas comunes por defecto (admin-admin, admin-123456, admin-password, etc)
Los usuarios por defecto se pueden conseguir fácilmente en las fichas técnicas de los productos o mediante una sencilla búsqueda en google tipo “contraseña por defecto de tal producto tal modelo”
Ransomware of things.
El malware conocido como ransomware también está muy de moda en los últimos tiempos. Para el que no lo conozca es un malware se encarga de cifrar los archivos de tu sistema secuestrándolos y pidiéndote un rescate monetario para poder recuperarlos. En el internet de las cosas no iba a ser menos y ya existen variantes de ransomware que afectan a los dispositivos iot como por ejemplo:
los chicos de pen test partnets que demostraron en la Def Con (conferencia de ciberseguridad de impacto mundial) como instalar un ransomware en termostatos inteligentes.
Otros incidentes más graves han afectado a hospitales de estados unidos donde el ransomware ha “secuestrado” dispositivos médicos (internet de las cosas)” estamos hablando de dispositivos del internet de las cosas ligados a la salud de pacientes que han quedado inoperativos y secuestrado por ciberdelincuentes.
También tenemos ejemplos de marcapasos que pueden ser hackeados.
El informe de tendencias en ciberseguridad del 2017 publicado por eset cuenta con un capítulo dedicado al “ransomware de las cosas”
No se si también habéis escuchado la última filtración de wikileaks, que ha revelado información sobre el espionaje estadounidense
en el que estados unidos ha desarrollado un ambicioso programa con iPhone, Android, Linux, Windows y Smart TV como objetivos para espiar
De nuevo hablamos de dispositivos IoT, esta vez utilizados por un gobierno para espionaje
Ver más en: http://www.20minutos.es/noticia/2982200/0/ultima-filtracion-wikileaks-descubierto-armas-ciberneticas-cia/#xtor=AD-15&xts=467263
No hace falta que venga la CIA a hackearnos… hay herramientas al alcance de cualquiera y muy sencillas de utilizar.
Shodan es un buscador como google pero de dispositivos. Analiza todos los dispositivos funcionando en internet de forma pública.
Busqueda Shodan: HP LaserJet 400 port:80
(Universidad de Pensilvania) http://165.123.67.203/
country:ES city:"Sevilla" port:"80“
http://90.74.39.184/index1.htm (cámara web)
Con una simple búsqueda podemos encontrar impresoras, cámaras web, etc con credenciales por defecto
Busqueda Shodan: HP LaserJet 400 port:80
(Universidad de Pensilvania) http://165.123.67.203/
country:ES city:"Sevilla" port:"80“
http://90.74.39.184/index1.htm (cámara web)
Ejemplos:
Router: intitle:"D-Link VoIP Router“
Google permite realizar búsquedas más específicas que una simple frase o palabra. Este tipo de búsqueda es lo que se conoce como Google Hacking o también llamado Google dorks. Por ejemplo con la palabra reservada intitle podemos buscar en google todas las páginas que en su título contengan “D-Link VoIP Router” Marca de un router de voip, en la lista de resultados, se mostraran todas las coincidencias y accediendo a cualquiera de ellos vemos que entramos en el panel de administración web del router.
Más ejemplos: https://www.exploit-db.com/google-hacking-database/?action=search&ghdb_search_cat_id=0&ghdb_search_text=router
Ejemplos:
Cam: inurl:/view/viewer_index.shtml
Otro ejemplo, si queremos buscar web cams, mediante esta búsqueda podemos encontrar las direcciones que contienen la expresión view/view_index.shtml en su dirección encontrándonos con unos cuantos resultados de cámaras web abiertas sin contraseña
Más ejemplos: https://www.exploit-db.com/google-hacking-database/?action=search&ghdb_search_cat_id=0&ghdb_search_text=router
Ejemplos:
iCloud: intitle:"Index Of" intext:"iCloud Photos" OR intext:"My Photo Stream" OR intext:"Camera Roll"
Por último, buscando direcciones que contengan las frases como iCloud Photos o My photo stream o camera roll, encontraremos distintos repositorios de fotos en abierto debido a servidores multimedia abiertos a internet
Hemos podido observar lo fácil que estos dispositivos son de vulnerar. Mediante pequeñas búsquedas podemos encontrar dispositivos iot que no están bien asegurados, no estamos hablando de complicadas medidas de protección, estamos hablando de medidas tan sencillas como cambiar las credenciales de acceso por defecto o limitar el acceso al dispositivo por internet.
Más ejemplos: https://www.exploit-db.com/google-hacking-database/?action=search&ghdb_search_cat_id=0&ghdb_search_text=router
Prevención: no existe el 100% de ciberseguridad. Modificando simplemente los credenciales por defecto ya hemos visto que damos un paso importante para que nuestros dispositios iot no se encuentren en ese 70% de dispositivos vulnerables por contraseñas por defecto pero no podemos asegurar 100% que las medidas de prevención que implementemos nos salvaguarden de recibir ataques.
Recuperación: En cuanto a recuperación, es primordial documentarnos para saber como actuar frente a un incidente e implementar políticas de gestión de incidentes que empiecen a tener en cuenta estos nuevos dispositivos.
Detección: La charla trata de la clave para evitar que los ataques se conviertan en amenazas que es la detección en tiempo real.
Prevención:
Por suerte el tema de la seguridad en dispositivos IoT no está tan abandonado. La comunidad OWASP, una de las principales comunidades de seguridad mundial dedicada a combatir el código inseguro, ya cuenta con un apartado dedicado al IoT donde recoge guías de testeo de la seguridad de dispositivos iot, el top 10 de amenazas de estos dispositivos y una guía de buenas prácticas en seguridad enfocada para cada una de las partes (los fabricantes, los desarrolladores de aplicaciones y el software de estos dispositivos y los usuarios finales.
Owasp tiene “sedes” o capítulos como ellos los llaman por todas partes del mundo, en España tienen sedes en Barcelona, Madrid y la más cercana en Sevilla donde se pueden asistir de forma gratuita a charlas organizadas por estas sedes donde se comparte conocimiento y concienciación sobre seguridad.
Prevención:
La IoT security foundation también se encarga de promover el conocimiento y las mejores prácticas en seguridad para los que fabrican y utilizan dispositivo IoT.
Su publicación el IoT Security Compliance Framework es una guía de principios de seguridad en IoT que proporciona las directrices de las mejores prácticas en seguridad orientada a empresas de mercados de consumo y proporciona un checklist para que el usuario pueda ir evaluando cada control de esta guía.
Prevención:
Cisco también está muy metido en el mundo IoT y también propone su guía de especificaciones de seguridad en IoT estableciendo cuatro componentes o capas: autenticación, autorización, política de red y análisis seguro de visibilidad y control
Prevención:
Por su puesto a los dispositivos IoT le afectan las certificaciones normativas y estándares típicos como la ISO 27001 de seguridad de la información,
Prevención:
, el NIST Instituto nacional de estándares y tecnología que publicó en noviembre de 2016 el systems security engineering que engloba a los dispositivos iot dentro de los fundamentos y procesos de securización de sistemas.- Ejemplo NIST: http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-160.pdf
O el reglamanto europeo sobre la protección de datos (RGPD) que aplicará a la privacidad de los datos que manejen estos dispositivos
Prevención: no existe el 100% de ciberseguridad. Modificando simplemente los credenciales por defecto ya hemos visto que damos un paso importante para que nuestros dispositios iot no se encuentren en ese 70% de dispositivos vulnerables por contraseñas por defecto pero no podemos asegurar 100% que las medidas de prevención que implementemos nos salvaguarden de recibir ataques.
Recuperación: En cuanto a recuperación, es primordial documentarnos para saber como actuar frente a un incidente e implementar políticas de gestión de incidentes que empiecen a tener en cuenta estos nuevos dispositivos.
Detección: La charla trata de la clave para evitar que los ataques se conviertan en amenazas que es la detección en tiempo real.
Para ello vengo a hablar de la herramienta logtrust.
Logtrust es una plataforma en tiempo real de análisis en tiempo real de datos. Esta plataforma es intuitiva, interactiva y colaborativa. Ofrece un experiencia en tiempo real de eventos de dispositivos disponibles para su consulta y su visualización. Podríamos configurarla para que registrara y detectara cualquier ataque que se produzca en nuestra red, identificando el origen de dicha amenaza y pudiendo actuar de forma rápida.