Security Art Work

Hace unos días, publicábamos una entrada en la que se planteaban, entre muchas otras cosas, problemas, responsabilidades y consejos de buenas prácticas para fabricantes respecto a la seguridad, destacándola como la asignatura pendiente en el IoT. A modo de continuidad, subiremos de nivel, porque estamos hablando de la seguridad de los diferentes componentes de una casa o una empresa,  interconectados y que ofrecen a los ciberdelicuentes no ya una ventana, sino directamente un mirador panorámico a nuestra cotidianeidad y el mundo de cada uno. De modo que vamos a pasar de hablar de “asignatura pendiente”, a directamente tildar de “inseguridad” de el IoT.

Para apoyar mis palabras, comparto el informe sobre la inseguridad en el IoT publicado por Telefónica a finales del 2015 [PDF]. En él se mencionan los principales factores que contribuyen a la inseguridad del IoT,  y el que encabeza la lista es el denominado “Human Firewall”. Para los no iniciados, este concepto representa la tendencia más o menos acentuada a caer en las trampas (algunas veces evidentes y otras no tanto) de los ciberdelincuentes. En un extremo tenemos a esa madre (por poner una figura desde el cariño nacido del fondo del alma) que pincha en ese anuncio que dice: “¡Enhorabuena, eres nuestro usuario número 1’000’000! ¡Haz clic aquí para recibir tu Tablet gratuita!”, dejando la puerta cibernética abierta a troyanos, griegos, romanos, egipcios y elfos cabalgando unicornios rosas seguidos de una legión de orcos de Mordor. En el otro extremo está esa persona cauta que no le da clic a ningún enlace que considere extraño ni aunque de verdad estuviera ahí el acceso a la receta secreta de la Coca-Cola.

Pero no sólo apoya mis palabras el informe de Telefónica, sino también los estudios, reportajes y experimentos que abundan en ese gran océano de información que es Internet y que son un impagable respaldo (hablo de los que son serios, por supuesto) a la acusación sobre la falta de seguridad de los componentes de nuestras casas (no tan) inteligentes. Por ejemplo, sorprende que una investigación emprendida por HP concluyese que el 100% (¡ni más, ni menos!) de los dispositivos IoT estudiados en el campo de la seguridad del hogar contienen vulnerabilidades, incluidas la autenticación y el cifrado de contraseñas.

Pongamos por ejemplo un componente muy de moda actualmente: los Smart-TV (que en la lengua de Cervantes viene a ser “televisores inteligentes”). A todos nos encanta que ese futuro que veíamos de pequeños en las películas de ciencia ficción, en el que se hacían videollamadas con las televisiones, ya está aquí… Sin embargo, ese futuro no viene solo, sino que viene acompañado de vulnerabilidades que pueden tener como consecuencia el acceso del ciberdelincuente al salón de nuestro hogar a través de la cámara, las conversaciones que mantenemos, la información de los canales que vemos, e incluso la posibilidad de acceder en los dispositivos USB que le hayamos conectado a la Smart-TV. Tendría acceso al control total de nuestro dispositivo, pudiendo cambiarnos el canal en un momento tan crítico como el desenlace en el final de temporada de The Walking Dead… ¡Imperdonable!

Otros ejemplos son los sensores de movimiento de ultrasonido, por hablar de un componente de lo más mundano para los que viven en ciudades medianamente modernizadas. Pues bien, resulta que estos simpáticos componentes están ojo avizor para las personas, pero cuando alguien pasa con un cartón enorme, un corcho o incluso una sábana blanca vieja tapando al humano, el sensor no detecta movimiento alguno… Estoy segura que muchos gamers de “Metal Gear Solid” que estén leyendo esto me dirán que a ellos no les pilla de sopetón.

Ahora, pasemos a otro componente esencial de la casa: el termostato. Todos sabemos lo importante que es tener la casa aclimatada (eco-consejo del día: el aire acondicionado a no menos de 24ºC y la calefacción a no más de 21ºC). Pues bien, los termostatos componentes del IoT permiten que podamos regular la temperatura y la humedad de nuestros hogares con nuestros móviles, disponiendo de la información en cualquier momento y lugar. Imaginad un momento el panorama: nos vamos una semana de vacaciones al pueblo, que queda a 400km de distancia. Dejamos todo a punto en nuestra casa inteligente, y suficiente comida para nuestro gato para que aguante holgadamente hasta que volvamos, y nos vamos con la tranquilidad de tener la temperatura controlada. Ahora imaginad que un ciberdelincuente de la peor calaña accede al termostato y activa la calefacción a marchas forzadas en pleno agosto. Las consecuencias las podéis imaginar. Por desgracia, los termostatos también entran dentro de la lista de los componentes IoT con vulnerabilidades.

Para terminar, hablemos de ese maravilloso mundo que son los washlets: los inodoros inteligentes (los amantes de Japón y la cultura japonesa dirán que para qué me paro en obviedades, pero hay que explicarlo, puesto que es un fenómeno muy reciente en Occidente) que tienen un sensor de movimiento para abrir y bajar la tapa del inodoro al detectar presencia, cuentan con un sistema de calentamiento de la taza ideal para los días más rigurosos del invierno, y los más modernos tienen un sistema de limpieza con agua y posterior secado cuya intensidad se puede programar a voluntad. Como habéis adivinado, estas maravillas de la ingeniería también tienen sus vulnerabilidades, que prefiero dejar a la malicia imaginativa y la picaresca de cada uno de vosotros.

Aunque los ejemplos que hemos puesto para reflejar la inseguridad de la IoT son anecdóticos, la amenaza es muy real. Lo peor es que con toda seguridad, a medida que la conectividad se vaya incorporando como un elemento “de serie” más a los electrodomésticos y cualquier elemento susceptible de ser conectado a Internet (con o sin necesidad), los vectores de ataque se incrementarán.

Para no explayarnos más, ahí va una lista con algunos de los dispositivos IoT más vulnerables:

• Cámaras.
• Routers domésticos.
• Receptores de satélite.
• Reproductores Media Center.
• Teléfonos fijos y móviles.
• Robots aspiradores.
• Impresoras.
• Sensores magnéticos de puertas y ventanas.

Por último, y no menos importante, cerramos este post citando los consejos al consumidor que nos da el informe de Telefónica, para que toméis nota y os convirtáis en un Human Firewall positivo que hace de nuestro mundo moderno un lugar más seguro:

• Cuando se configuran las redes, cambia las contraseñas predeterminadas de routers domésticos y de los dispositivos IoT, usando un cifrado lo más fuerte posible.
• Usa los dispositivos en diferentes redes domésticas, cuando sea posible.
• Utiliza contraseñas seguras y robustas para las cuentas de los dispositivos.
• Deshabilita o protege el acceso remoto a los dispositivos cuando no se necesite.
• Investiga las medidas de seguridad adoptadas por el fabricante de los dispositivos.
• Modifica la configuración de privacidad y de seguridad de los dispositivos acorde a nuestras necesidades.
• Deshabilita las funciones del dispositivo que no estén siendo/vayan a ser utilizadas.
• Instala las actualizaciones cuando estén disponibles.

El pasado fin de semana, desde nuestra cuenta de Twitter @securityartwork os lanzamos una petición que consistía en que, entre todos, forjáramos una lista inicial de libros “imprescindibles” para aprender diferentes materias dentro del ámbito de la seguridad informática tuiteándolos con el hashtag #secbook. Obviamente pretendíamos elaborar una lista inicial genérica ya que, como todos sabemos, dentro de la ciberseguridad hay muchísimos campos en los que especializarse y no podríamos cubrir completamente todos si decidimos abarcarlos todos, además de que entonces sería una lista muy sui géneris.

El resultado de los libros que sugeristeis fue el siguiente:

[Read more…]

Hoy traemos la tercera y última parte de la interesante serie del colaborador David Marugán Rodríguez, @radiohacking (Security Consultant. Mundo Hacker Team. Spanish HAM radio operator EA4 / SWL since 80’s and RTL-SDR devices enthusiast), sobre la importancia de las comunicaciones por radio en el conflicto de los Balcanes.

Pueden ver la primera parte aquí, y la segunda aquí. Las información que David ofrece es fascinante y al mismo tiempo aterradora.

Las capacidades de SIGINT empleadas se pusieron de manifiesto sobre todo en el juicio en La Haya contra el General del Cuerpo del Drina (VRS, ejército de la República Srpska, Vojska Republike Srpske) Radislav Krstić, donde se aportaron como pruebas diferentes grabaciones hechas por operadores del ARBiH desde las estaciones de interceptación COMINT de una conversación por radio donde Krstić, el 2 de agosto de 1995, daba órdenes de exterminar a los huidos que se dirigían a Tuzla.

[Read more…]

El concepto Cadena de Custodia (también referenciado en la literatura como CdC) no es algo que solamente se utilice en el entorno del Análisis Forense informático, sino que es un concepto ligado al ámbito legal y judicial, y es algo que incumbe a la recopilación de evidencias de cualquier tipo.

Para entender su importancia pongamos como ejemplo un caso que, desgraciadamente, está a la orden del día: un caso de corrupción.

[Read more…]

Para hoy traemos una entrada de Ramiro Pareja Veredas, analista de seguridad en Riscure, empresa especializada en evaluar y testear la seguridad de Smart cards o dispositivos embebidos. Si sois amantes del hardware hacking, las comunicaciones móviles, o la tecnología RFID no dudéis en visitar su Web, Tech for fun o la charla que, junto con Rafa Boix, dio en el último CCC 2015, “Hardware attacks: hacking chips on the (very) cheap”.

Durante la BlackHat Europe 2015 arrancó la primera edición del RHme+ (Riscure Hak me) challenge, una prueba CTF sobre una placa Arduino. El objetivo del juego consiste en extraer de un Arduino las claves criptográficas usadas para autenticar a los usuarios.

Para ello, se repartieron entre los asistentes a la BlackHat 150 placas Arduino nano v3 pre-programadas con el reto.

[Read more…]

Hoy continuamos con la serie del colaborador David Marugán Rodríguez, @radiohacking (Security Consultant. Mundo Hacker Team. Spanish HAM radio operator EA4 / SWL since 80’s and RTL-SDR devices enthusiast), sobre la importancia de las comunicaciones por radio en el conflicto de los Balcanes.

Pueden ver la primera parte aquí. Personalmente, les recomiendo que no se la pierdan, si tienen algún interés no sólo en la seguridad, sino en la geopolítica y el conflicto de los Balcanes.

El ARBiH (ejército de la República de Bosnia-Herzegovina, en bosnio Armija Republike Bosne i Hercegovine) desplegó por su territorio varias estaciones de interceptación comandadas por sus unidades de EW (Guerra Electrónica) y la SIGINT del Servicio de Seguridad Bosnio. Una de las ventajas de estas técnicas SIGINT en cuanto a la obtención posterior de inteligencia, es que está libre de los prejuicios o subjetividad que por ejemplo podría tener una fuente HUMINT muy complicada de manejar en ese caso, sin contar que por ejemplo estas podrían ser incluso un agentes dobles, por lo que se ha de entender la gran relevancia y “dependencia” que adquieren en un conflicto armado las técnicas SIGINT. Además, salvo la incursión de vehículos específicos SIGINT o naves tripuladas o no, suele tratarse de una técnica “pasiva” con bajo riesgo, y con un acceso remoto muy rápido a los objetivos finales.

[Read more…]

Estimados lectores, estarán de acuerdo conmigo en que últimamente el asunto de los pactos es un tema candente en nuestro país… Pero no se preocupen, no tengo intención de hablar de política, por lo menos en ámbito “doméstico”. La entrada de hoy va de un pacto en materia de protección de datos.

Voy a ponerles en contexto. No sé si recuerdan una reciente resolución del Tribunal de Justicia de la Unión Europea en la que se declaró nula “la adecuación conferida por los principios del Safe Harbor (Puerto seguro) para la protección de la vida privada”, en relación a la transferencia de datos internacionales que realizan las organizaciones a otras entidades estadounidenses.

Si no recuerdan esta noticia, les invito a leer la entrada que presentamos hace unos meses en nuestro blog: Transferencia de datos a Estados Unidos. ¿Y ahora qué?

[Read more…]

Este post es el cuarto (ver el primero, segundo y tercero) del colaborador David Marugán Rodríguez sobre cuestiones de seguridad en ámbitos desconocidos para muchos. No podemos añadir más que lo que dice en la bio de su twitter @radiohacking: Security Consultant. Mundo Hacker Team. Spanish HAM radio operator EA4 / SWL since 80’s and RTL-SDR devices enthusiast y agradecer su colaboración con estos artículos tan fascinantes.

Esta serie en particular es más interesante si cabe, por todo el contexto histórico que rodea a la información técnica que se proporciona y en el que las comunicaciones, como en cualquier conflicto, fueron un elemento decisivo.

“Matadlos, no necesitamos a nadie vivo”.

Comunicación por radio atribuida al general Radislav Krstić dando órdenes a sus tropas, interceptada y grabada supuestamente por operadores de SIGINT bosnios y presentada como prueba de la acusación en el juicio en el que fue condenado por el Tribunal Penal Internacional para la ex Yugoslavia.

[Read more…]

Fuera de lo que significa la seguridad corporativa, a muchos de nosotros nos gusta tener nuestros propios juguetes a nivel doméstico para el “cacharreo”, y uno de los más populares y con más éxito es nuestra amiga la Raspberry Pi. De nada sirve ser exhaustivos en nuestra vida laboral si no aplicamos parte de lo que sabemos en el día a día personal.

Dado que el mayor riesgo a día de hoy surge al exponer un host (o mejor dicho, un servicio) a esa jungla digital de depredadores que es Internet, es necesario tomar medidas preventivas que nos aseguren, en la medida de lo posible, cierta seguridad añadida a la que por defecto (y por sentido común, sino que se lo pregunten a SHODAN) deberíamos tener ya en nuestro sistema.

Dentro de sus infinitas posibilidades, de lo que hoy quiero hablar es de Fail2Ban.

[Read more…]