Estamos en tiempos en los que vivimos rodeados de dispositivos conectados, desde la urbótica, hasta la domótica, pasando por la inmótica. Redes de dispositivos de todas las tipologías, usando variedad de protocolos, controlando todo tipo de sistemas; desde simples redes de sensores, a infraestructuras críticas.
Hoy, es común disponer de un asistente de hogar digital en casa y/o de un controlador domótico, para gobernar y comunicar remotamente con nuestros sistemas de videovigilancia y/o alarma, iluminación, calefacción, control de accesos… ocio multimedia, sensores, etc. Cada vez más dispositivos, cada vez más interconectados.
Queda elegante decir «Alexa, enciende la luz del salón», «Ok google, baja la persiana», «Alexa muéstrame la cámara del garaje», … y ciertamente, resulta práctico.
De forma similar el avance tecnológico se puede ver en ámbitos más amplios; las empresas 4.0, las smart cities, etc… e incluso, en algunos casos hablamos de infraestructuras críticas conectadas. Cabe mencionar que las infraestructuras críticas son supervisadas por el Centro Nacional de Protección de las Infraestructuras Críticas. Las infraestructuras críticas, son infraestructuras estratégicas, que proporcionan servicios esenciales y cuyo funcionamiento es indispensable y no permite soluciones alternativas.
Su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales. Tales como el suministro de agua, transporte, telecomunicaciones, agricultura, salud pública, electricidad y energías renovables…
Por ello, en este contexto de hiperconexión, es de trivial importancia poner atención a la seguridad con la que se implanta, desde el dispositivo más banal, al más complejo.
Puede que al lector de a pie, terminologías como «escalada de privilegios», «pivoting» le digan poco (sin tratarse de grandes tecnicismos en el mundo de la seguridad informática), en cambio, todo el mundo ha de saber, que el riesgo, no se queda en la mera intrusión a un dispositivo, si no que va más allá.
En hacking ético (emulando a alguien malintencionado, para después realizar las correcciones y tomar las precauciones necesarias), es habitual intentar escaladas de privilegios a usuario administrador, para obtener control total del sistema que testea. A veces se consigue realizar pivoting, a otro equipo, incluso de un segmento de red diferente.
Todo proceso de test de penetración o pentesting, comienza con un proceso de recolección de información previo, en busca de esa vulnerabilidad, y su consiguiente explotación para conseguir el primer acceso, detrás del cual se volverá a recolectar y documentar toda la posible información obtenida, y volverla a analizar para realizar la escalada de privilegios, o el acceso a otros sistemas de los que se haya podido obtener información sensible o credenciales. En los peores casos, en la primera explotación de vulnerabilidades, se obtiene directamente acceso administrador. Hay casos en los que incluso no se han modificado las credenciales por defecto.
¿Porqué contamos todo esto?
Queremos concienciar con un lenguaje comprensible, sobre las consecuencias que tiene conectar cada dispositivo tecnológico a la red. Existen muchas ventajas, pero también hemos de tener en cuenta los riesgos existentes al respecto.
Mencionaremos un caso real (ni mucho menos el único), pues esto, es más frecuente de lo que pueda parecer.
En ocasiones, nos topamos con dispositivos de baja calidad, carentes de sistema de actualizaciones para subsanar las vulnerabilidades que van apareciendo con el tiempo, y que los convierten fácilmente explotables.
Tuvimos un caso en el que un cliente mencionaba la imposibilidad de acceder a un videograbador de su sistema de videovigilancia, y nos solicitaba comprobar el sistema. A primera vista, era más que evidente que había sido hackeado, el nombre de cada canal había sido editado a «Hacked» y los parámetros de red alterados. Después de «rehabilitar» el videograbador, propusimos al cliente que incluyera la misma información pre-hackeo, y realizar un pentesting para vislumbrar las posibles consecuencias y el alcance de lo ocurrido, con el fin de que pudiera tomar todas las medidas que fueran necesarias, más haya de actuar únicamente sobre el videograbador. Nos autorizó (mediante documento legal) a realizar el test de penetración en el dispositivo afectado y procedimos a ello consiguiendo los siguientes resultados:
– Obtención de las credenciales de todos los usuarios (administradores incluídos).
– Obtención de dirección email personal, con sus credenciales del servidor de envío smtp (que eran las mismas que para pop3). La contraseña, resultó ser la misma para otras cuentas bajo el mismo dominio.
– Obtención de las credenciales de la cuenta de servicio de DNSs dinámicas, donde había hosts de otras redes, susceptibles de analizar.
Podríamos haber seguido intentando indagar, quién sabe hasta dónde, usando la información obtenida, y escaneando los demás hosts con dns dinámica. También podríamos haber intentado ataques de ingeniería social, para enviar un ataque desde la cuenta de email obtenida, a un contacto de confianza o a un empleado de la empresa, por ejemplo, solicitando instalar software malicioso…
Conclusiones:
Una vulnerabilidad en un dispositivo, junto a una serie de malas prácticas, nos ha permitido obtener 3 tipos de credenciales, las propias del dispositivo, la de email (presentes en otras cuentas bajo el mismo dominio), la del servicio ddns.
Un videograbador hackeado, cumple la función contraria a la que está destinado, pasamos de vigilar nuestros intereses, a ser los vigilados.
Tips:
– Muchas veces lo barato sale caro. Recomendamos usar dispositivos de fabricantes asentados en el mercado, que ofrezcan soporte (actualizaciones, garantías, etc).
– Consecuentemente, recomendamos actualizar siempre que sea posible.
– Conocer el sistema del que se dispone, como por ejemplo saber si hay otra persona conectada al mismo tiempo, o revisar el log.
– Crear una cuenta de email para ese fin, no comprometiendo datos personales o empresariales.
– Usar contraseñas seguras. Hay muchos métodos para crear contraseñas e incluso de forma mnemotécnica, aunque usar un gestor de contraseñas que incluye generador de las mismas, como Keepass, es una de las mejores opciones.
– Contraseñas diferentes para cada servicio.
– Usar doble factor al autenticarnos siempre que sea posible.
– Cambiar las contraseñas con cierta frecuencia, es una práctica muy recomendable.
– Usar el firewall y el filtrado mac, para permitir el acceso de dispositivos autorizados.
– No usar los puertos por defecto. Tampoco abrir el DMZ.
Podríamos añadir más puntos, como usar servicios VPN, crear una cuenta de Shodan (donde posiblemente hayan localizado el dispositivo vulnerado), y configurar una alerta. Sistemas IDS e IPS (Sistema de detección de intrusiones y Sistema de Prevención de intrusiones), etc, aunque cumpliendo los primeros, ya se habrá mejorado sustancialmente… sobre todo en los casos en los que nos encontramos contraseñas por defecto!
Hay que cuidarse también en el ciberespacio, porque lo que ocurre en ese lugar que parece tan abstracto, trasciende al mundo real, a veces, con consecuencias impredecibles.
Estamos en un mundo donde ya se ha alterado el funcionamiento de los semáforos, donde se han causado incidencias en los hospitales, con fatal desenlace, y donde prácticamente empresas de cualquier tamaño, naturaleza y actividad, han sido afectadas por ataques de ramsonware… desde entidades financieras, tecnológicas, telecomunicaciones, redes sociales, portales de entretenimiento, periódicos, farmaceúticas, aseguradoras, hospitales, universidades, equipo de fútbol… en muchos casos con profesionales punteros en materia de seguridad informática, detrás de ellas. Todos somos susceptibles de ser atacados.
En por ello, que en Tecnoam, disponemos de profesionales cualificados, y en formación continua, con el fin de minimizar los riesgos a los que se exponen los dispositivos conectados que forman parte de las instalaciones que llevamos a cabo.
Comentarios recientes