Hacking IoT: El internet de las cosas

IoT

Luego de una consulta a nuestros usuarios en Facebook, hemos decidido tomar en cuenta un tema bastante relevante a día de hoy: El hacking IoT.

¿Qué es IoT (Internet of Things)?

Para nuestros propósitos, podemos pensar en una "Cosa" con "Internet" simplemente cómo cualquier dispositivo, independientemente del tamaño, uso o factor de forma, que contenga una CPU y memoria, ejecute software y tenga una interfaz de red que le permita comunicarse con otros dispositivos, generalmente como un cliente, a veces como un servidor. Además, estas cosas tienden a no parecerse las computadoras tradicionales. No tienen una interfaz típica de teclado y ratón, y a menudo tienen una interfaz de usuario no centrada en un monitor u otra pantalla llena de texto. Por último, estos dispositivos se comercializan y tratan como si fueran dispositivos de un solo propósito, en lugar de las computadoras de propósito general que realmente son. Esta última distinción es a menudo el más peligroso de hacer cuando se trata de implementar dispositivos de IoT. Los usuarios finales pueden tener dispositivos que nominalmente están prohibidos para realizar ciertas funciones de acuerdo con el fabricante, y esos fabricantes a veces hacen grandes esfuerzos para frustrar los intentos de modificación. Al final, sin embargo, no es posible construir y vender un dispositivo informático que no pueda ser forzado a rebelarse contra las intenciones del fabricante.

El ejemplo clásico de una acción prohibida impuesta por el fabricante son las restricciones de reproducción de medios basadas en un sistema de gestión de derechos digitales (DRM). Los DRM son los mismos conocidos programas anti-copia que se usan para prohibir el uso de medios o dispositivos digitales (música, películas, etc) a personas o equipos no autorizados. Las estrategias empleadas para bloquear algunos tipos de medios, mientras permiten otros, han demostrado ser fundamentalmente defectuosos, una y otra vez. Los hackers han estado comprometiendo sistemas DRM durante décadas, forzando a los archivos de datos multimedia y dispositivos de reproducción multimedia a una forma más útil para el usuario final. Estos esfuerzos solo requieren tiempo, materiales e ingenio, y se basan en una comprensión fundamental de que realmente no existe un ordenador de propósito único. Los esfuerzos para evadir DRM pueden ser demasiado costosos en términos de tiempo y materiales, y pueden requerir una mayor experiencia que la del usuario final. Aunque estos esfuerzos de evasión DRM tienden a violar leyes locales de propiedad intelectual, no violan los principios de la informática o la ingeniería. Sistemas de seguridad cómo DRM, son para controlar el acceso. Los usuarios dependen de estos sistemas para evitar que los verificadores desautorizados vean, alteren o destruyan datos en el sistema asegurado. Al igual que DRM, estos sistemas no son a prueba de problemas, ya que una vez más, las barreras para derrotar los sistemas de seguridad son el tiempo, los materiales y la experiencia, y no el diseño fundamental de la plataforma computacional.

Cómo los dispositivos de IoT normalmente no parecen ser, o se parecen a comportamientos de las computadoras tradicionales con las que estamos familiarizados, es fácil para los diseñadores y vendedores de estos sistemas olvidar esta propiedad de propósito general. Como resultado de esta supervisión, las precauciones básicas para frustrar incluso a los atacante casuales pueden dejar de ser productivos. Los dispositivos de IoT son en realidad de propósito general, computadoras en red indiscretas, que ejecutan un software razonablemente complejo con capacidad de red. En el campo de la ingeniería de software, generalmente se cree que un software complejo se enviará con vulnerabilidades explotables basadas en la implementación. Solo hay que agregar las dependencias y componentes externos, cómo  controladores basados en la nube y las interfaces de programación, la red circundante y otras exterioridades, y es claro que las vulnerabilidades y las exposiciones están garantizadas.

Síguenos en FacebookTwitterunete a nuestra charla en Riotúnete a IRC o únete a Telegram y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Especialista en Seguridad Informática bajo certificación OSCP, experto en técnicas de privacidad y seguridad en la red, desarrollador back-end, miembro de la FSF y Fundador de Security Hack Labs. Desarrollador de la distribución de hacking BlackArch Linux. Twitter: @edu4rdshl XMPP: [email protected]