Muchos de estos proyectos suelen tener una arquitectura común, en la que por un lado tenemos (i) la placa encargada de manejar diferentes sensores y/o actuadores, (ii) un servidor central, que recoge los datos de los sensores o,  al que enviamos las ordenes a realizar por los actuadores, y finalmente (iii) los clientes. Esta arquitectura se puede apreciar en FarmBot, un robot agricultor para producir comida en pequeña escala y SecurityPi un sistema para la automatización de la seguridad en casa.

Desde el punto de vista de la seguridad, no hay que centrarse únicamente en proteger al dispositivo, sino en toda la superficie que engloba la arquitectura. En un proyecto de IoT la superficie es muy amplia, ya que toca las áreas de seguridad física, web, cloud, comunicaciones, móvil y sofware en general. Desde el punto de vista de un atacante, cada una de estas áreas presenta muchas oportunidades para poder hacerse con el control de tu sistema.

En posts anteriores hemos hablado de cómo están proliferando los ataques contra este tipo de sistemas o incluso coches, en este en cambio, queremos proporcionar unas recomendaciones básicas de seguridad, basadas en las buenas prácticas y ataques más comunes detectados por la fundación OWASP.  Primero, y más importante, tenemos que detectar cuáles son las superficies de ataque a las que está expuesto nuestro proyecto, en las que se encuentran: la memoria del dispositivo, interfaces físicas del dispositivo, interfaz web, firmware del dispositivo, servicios de red, interfaz administrativa, APIs de terceros… Segundo, por cada superficie identificada miraremos en OWASP las vulnerabilidades más comunes, por ejemplo, para “Memoria de dispositivo” tenemos contraseñas y nombres de usuario en texto plano; en “Interfaz web”, SQL injection y cross-site scriptiong; en “Interfaces físicas” escalado de privilegios etc. Tercero, comprobaremos por cada superficie de ataque que estamos protegidos. Para esto es recomendable usar la guía de OWASP.

En resumen, los proyectos de IoT abarcan una amplia gama de áreas en las que puede haber brechas de seguridad, es por eso necesario que detectemos a tiempo cuáles son las superficies de ataque a las que nos exponemos y nos preparemos para ello. Finalmente, os dejamos el vídeo de la DEFCON 22 – Hack All The Things, que da nombre  a este post, donde el equipo de exploitee.rs se hace con el control de dispositivos de lo más variopintos con técnicas muy sencillas, que en muchos casos presentan vulnerabilidades en el top 10 de IoT-OWASP y unas trasparencias de DEFCON 23 donde se amplía la información de este post.

The post Hack all the things appeared first on S3lab.

Cuidado, que me estrellan el coche

Alguno estará pensando que esa posibilidad no existe, que es una locura: “Venga ya loco, el coche es pura mecánica, tendrían que acceder físicamente al motor/centralita/eje para poder hacer algo así. Lo único tecnológico que puede tener es la radio, bueno y el bluetooth, espera también la tarjeta SIM que el mío tiene mapas integrados que se actualizan solos…”. Pues bien, vayamos con algunos ejemplos recientes (que iremos actualizando según aparezcan nuevos casos, que aparecerán):

• Ya en 2011 unos investigadores mostraron cómo era posible atacar los sistemas de la gran mayoría de fabricantes que les permitía enviar comandos a la ECU del vehículo y realizar acciones como desbloquear puertas.
• Continuamos con una investigación de 2013, financiada por la DARPA, en la que los investigadores Charlie Miller y Chris Valasek mostraban como hacerse con el control de dos modelos de diferentes fabricantes de coches (artículo [EN], vídeo [EN])
• Y continuamos viendo ejemplos hasta que ya en 2015 un senador estadounidense dirige una carta a 16 fabricantes a partir de un estudio de seguridad que resalta las deficiencias de sus sistemas, incluyendo vulnerabilidades en los sistemas inalámbricos, falta de mecanismos para contrarrestar un ataque en tiempo real o incluso de detectarlo para un posterior análisis del mismo.
• BMW sufría en febrero de este año el primer contratiempo con su sistema ConnectedDrive, por fortuna ya solucionado, siendo sus vehículos vulnerables a un ataque que permitiría acceder a datos e incluso abrir el vehículo sin problemas.
• En marzo presentaba Ford su sistema MyFord Mobile, que permite acceder a los datos de tu vehículo e incluso preconfigurar temperaturas, localizar el coche o abrir y cerrar puertas. Si bien es interesante tener acceso a este tipo de funcionalidades, ¿qué pasaría en el caso de que nos hackearan el móvil?
• También en marzo descubrimos que Hyundai permite arrancar el coche o modificar la temperatura desde un reloj con Android Wear. ¿A alguien se le ocurrirá descargar su aplicación de Google Play y modificarla para tener acceso remoto al coche de los pobres usuarios que instalen la otra por equivocación? No creo, habría que tener mala leche.
• ¿Y si pudiéramos apagar el aviso de revisión del coche de forma remota? Vale, esa lucecita a veces molesta, pero está ahí por algo (¿no?). Sería peligroso que alguien se dedicara a desactivar ese aviso en todos los coches que fuera capaz de controlar. Pero bueno, por qué iba a querer nadie hacer eso.
• En una nueva prueba de concepto de julio, de nuevo Charlie Miller y Chris Valasek hackean un vehículo y toman su control, esta vez desde el sofá de casa, esta vez explotando un 0-day en un Jeep Cherokee.
• Pasamos ahora a agosto, y encontramos una demostración de cómo desactivar los frenos de un Chrysler mandando un SMS, trabajo mostrado en la prestigiosa conferencia de seguridad USENIX.

Entonces, ¿volvemos al carro tirado por caballos?

Y aquí nos encontramos, con una parte (fabricantes, actores tecnológicos y gobiernos) queriendo evolucionar e introducir tecnología en todos los aspectos posibles de nuestras vidas, y en este caso concreto en coches, y con la otra (expertos de seguridad y también gobiernos) demostrando que hay que pensar las cosas bien antes de llevarlas a mercado. Y es que la cosa va en serio, desde el gobierno de EEUU potenciando la comunicación entre coches, a los Google y Apple trabajando seriamente en sus soluciones Android Auto y Apple CarPlay respectivamente y Microsoft proponiendo su alternativa para el coche conectado. Por no hablar por supuesto del gran esfuerzo que se está haciendo en el campo del coche autónomo.

Y, entonces, ¿por qué queremos/quieren tener los coches conectados? Existen muchas aplicaciones que podrían beneficiarse de ello. Entre ellas nos encontramos desde la adecuación de las primas en los seguros en base al tipo de conducción de los usuarios a la reducción de accidentes automatizando en gran medida la conducción y teniendo un mayor conocimiento del entorno que rodea al vehículo.

¿Qué hacemos entonces? ¿Volvemos a los caballos? Yo desde luego no soy de los que piensan que la seguridad debe parar el avance de la tecnología, pero sí que parece realmente necesario que la industria del motor comience a ser consciente del peligro de avanzar demasiado deprisa. No se puede dejar de lado un aspecto tan importante como es el de la seguridad, no solo la física de los grandiosos dummies si no también la digital.

The post Un coche conectado o un carro tirado por caballos appeared first on S3lab.

Me parece que se me había pasado comentaros pero…

Qué bonito es el internet de las cosas, Internet of Things (IOT) como dicen los angloparlantes, todo está conectado. Dicho así, la verdad es que la idea está muy bien: Inteligencia Ambiental.

El problema es que de la misma forma en la que tú conectas tu nuevo smartwatch con el frigorífico para que te avise de que te queda poca leche para que vayas al supermercado a comprar, cualquier ávido hacker puede hacer eso y mucho más con un simple virus. Antes el control se conseguía en los ordenadores, posteriormente vinieron los terminales móviles, pero es que ahora se puede llegar a hackear casi cualquier cosa que nos rodea.

La razón principal en la que se escuda la mayor parte de las personas que impulsan el internet de las cosas para defenderse de estas afirmaciones, es que normalmente las empresas que implementan este tipo de dispositivos no pueden prestar excesiva atención a la seguridad y que necesitan mantener los costes bajos para seguir produciendo. Aunque eso sea cierto de algún modo, esto no impide en ningún caso que finalmente varios virus, muchas veces bastante básicos, comiencen a multiplicarse por la red para infectar estas “cosas” vulnerables. Uno de los casos más sonados fue el de una red de envío de spam con más de 100.000 bots, en los que como mínimo el 25% no eran ni ordenadores ni móviles, sino neveras.

Aunque parezca algo descabellado, cada uno de esos aparatos inteligentes tiene la capacidad de realizar muchísimas acciones aparte de para las cuales había sido programado, simplemente por el hecho de disponer de una conexión a Internet y de un procesador.

Esperemos que entre todos consigamos proporcionar, de algún modo, un punto más de seguridad en este campo y así hacer que realmente sea un solución y no un quebradero de cabeza por sus virus. Hasta entonces, yo me lo pensaría un par de veces antes de inundar el mundo de aparatos inteligentes en los que, sin lugar a duda, la seguridad no es lo que prima.

El que avisa no es traidor.

The post Creo que la nevera y la tostadora tienen un virus appeared first on S3lab.