Atacando el protocolo MQTT

El siguiente artículo muestra un método de crackeo de las credenciales de autenticación del protocolo MQTT. Para ello se va a montar un escenario virtual haciendo uso del bróker Mosquitto. Además, también se va a utilizar el cliente Mosquitto y la herramienta Ncrack para extraer las credenciales.

No se pretende explicar el funcionamiento del protocolo en cuestión, por lo que se recomienda la lectura de uno de los artículos anteriores del blog (https://www.securityartwork.es/2019/02/01/el-protocolo-mqtt-impacto-en-espana/) donde se detallan las características del protocolo.

MQTT ofrece la posibilidad de añadir autenticación a las comunicaciones, no obstante, a pesar de aplicar esta capa de seguridad, las comunicaciones van sin cifrar por defecto como se mostrará a continuación. Un atacante que consiga interceptar el tráfico de la red podría visualizar las credenciales en claro:

[Read more…]

MQTT: riesgos y amenazas en entornos sanitarios

Esta entrada ha sido elaborada conjuntamente con Alex Alhambra Delgado.


Desde 2020, se han tenido que realizar muchos cambios en la forma en la que teníamos de interactuar entre nosotros, así como con los sistemas informáticos. A raíz de la pandemia, todas las empresas tuvieron que ponerse manos a la obra para mejorar sus infraestructuras de red, para así proporcionar mayor rendimiento, velocidad y disponibilidad, dada la gran cantidad de trabajo que, de repente, debía realizarse a distancia.

De esta misma manera, las empresas tuvieron que buscar una forma de monitorizar todos sus procesos de forma remota, para así disminuir los desplazamientos y la exposición al virus que esto pudiera provocar. Con esta situación, todo tipo de industrias aprovecharon las bondades del IoT (Internet of Things), la cual proporcionaba una nueva forma de controlar los procesos de una empresa de una forma remota.

Ilustración 1. IoT e IIoT
[Read more…]

IoT in the Industry 4.0 – Our data – collaboration or use?

On 7 February, a meeting was held in Madrid at the Vodafone Observatory of the Company, where experts in the cloud, artificial intelligence, robotics and digital transformation gave a vision on how to face the challenges of industry 4.0. In previous articles by Joan Balbastre about Industry 4.0, we could see what characterizes this industrial revolution and its basic design principles. In these articles, up to six different principles are named and one of them allows us to focus on this text: service orientation. This orientation turned out to be the fundamental axis of the whole event.

It is true that, in the face of strong competition between companies from different sectors, the optimization of the products or services provided has become a priority. There are many ways to improve a company or product. In recent years, information gathering has become one of the fundamental pillars on which the Industry 4.0 revolution is based. The data collected from consumers allows companies to perform different actions such as preventive maintenance, quality assurance, real-time defect management, operations management, etc. A clear example of the change that companies in the industry are undergoing is the case of Quality Espresso, which has gone from producing only one product, designing, producing and marketing coffee makers, to the provision of an added service thanks to the collection of information. Quality Espresso coffee machines not only allow connectivity with different devices, but are also able to collect statistical information for the company, in order to improve the products or even influence the design of new ones, as indicated in the event.

[Read more…]

IoT en la industria 4.0 – Nuestros datos ¿colaboración o aprovechamiento?

El pasado 7 de febrero se celebró en Madrid un encuentro en el Observatorio Vodafone de la Empresa en el que expertos en cloud, inteligencia artificial, robótica y transformación digital dieron una visión sobre cómo afrontar los retos de la industria 4.0. Ya en anteriores artículos de Joan Balbastre acerca de la industria 4.0, podíamos ver qué caracteriza esta revolución industrial y sus principios de diseño básicos. En estos artículos, se nombran hasta seis diferentes principios y uno de ellos, nos permite centrarnos en este texto: la orientación al servicio. Esta orientación resultó ser el eje fundamental de todo el evento.

Bien es cierto que, ante las fuertes competencias entre empresas de diferentes sectores, la optimización de los productos o servicios prestados se ha convertido en prioridad. Existen muchas maneras de mejorar una empresa o producto. En los últimos años, la recopilación de información ha pasado a ser uno de los pilares fundamentales en los que se basa la revolución de la industria 4.0. Los datos recopilados de los consumidores permiten a las empresas realizar diferentes acciones como el mantenimiento preventivo, aseguramiento de la calidad, gestión de defectos en tiempo real, gestión de operaciones, etc. Un claro ejemplo del cambio que están sufriendo las empresas de la industria es el caso de Quality Espresso, que ha pasado de producir únicamente un producto, diseñando, produciendo y comercializando cafeteras, a la prestación de un servicio añadido gracias a la recopilación de información. Las máquinas de café de Quality Espresso no solo permiten tener conectividad con diferentes dispositivos, sino que también son capaces de recabar información estadística para la empresa, a fin de mejorar los productos o incluso influir en el diseño de nuevos, tal y como se indicó en el evento.

[Read more…]

El protocolo MQTT: impacto en España

En el artículo de hoy os hablaremos de uno de los protocolos de moda, MQTT y cual es su impacto, en cuanto a ciberseguridad se refiere, en España. MQTT es ampliamente usado en el ámbito industrial, domótica y, en general, en todo lo relacionado con IoT.

MQTT es un protocolo de mensajes muy simple y ligero que se basa en un modelo publisher/subscriber, también conocido como productor/consumidor. Por una parte tendremos los publishers, que serán aquellos encargados de generar los mensajes a enviar. Siguiendo el flujo de las comunicaciones, encontraríamos el intermediario (broker), que será el encargado de distribuir los mensajes a los consumidores o subscribers. MQTT es un estándar ideado para las comunicaciones M2M (Machine to Machine) en las cuales varios dispositivos comparten información, ya sea a través de un medio cableado o inalámbrico. [Read more…]

Análisis de Linux.Sunless

Siguiendo con nuestra serie de artículos de seguimiento de botnets IoT, en el siguiente artículo vamos a analizar el malware Sunless, el cual fue detectado en nuestros honeypots entre el 18 y el 19 de diciembre.
Este malware se caracteriza por distanciarse en gran medida de variantes basadas en Mirai, incorporando mecanismos de eliminación de la “competencia” a través de técnicas rudimentarias, vistas anteriormente en mineros.

Infección

Tal y como podemos observar en la imagen inferior, Sunless recicla el método de infección característica del malware IoT, utilizando el famoso script bricker.sh, el cual podemos encontrar en numerosas fuentes abiertas.
[Read more…]

Análisis de Linux.Haikai: dentro del código fuente

Hace unos días conseguimos el código fuente del malware Haikai, el cual corresponde a una más de la multitud de implementaciones llevadas a cabo por el continuo reciclaje de código fuente perteneciente a diferentes botnets IoT. A pesar de que no hemos identificado ninguna novedad respecto a versiones de malware IoT anteriores, nos ha permitido la obtención de mucha información sobre las técnicas, mejoras y autores.

Comentar también que, según diferentes registros obtenidos, esta botnet ha estado actuando durante gran parte del último mes de junio.

En las siguientes líneas se analizará el código, así como las posibles atribuciones y las implementaciones no referenciadas en el hilo de ejecución, las cuales nos permiten adivinar que el código va mutando en diferentes líneas en paralelo para una misma función.

Así pues vamos a comenzar analizando la estructura de los ficheros. [Read more…]

Análisis de Linux.IotReaper

Hace un par de días conocimos la existencia de una nueva amenaza IoT considerablemente más elaborada que cualquiera de las detectadas hasta la fecha (http://blog.netlab.360.com/iot_reaper-a-rappid-spreading-new-iot-botnet-en/), dicha botnet ha sido bautizada por Netlab 360 como IotReaper. Así pues, desde el laboratorio de malware de S2 Grupo hemos obtenido y analizado algunas de las muestras relacionadas.

Infraestructura

La infraestructura de la red es bastante similar a la de la botnet Mirai, siendo formada ésta por cuatro elementos:

  • Servidor Report: Encargado de recolectar la información remitida por los bots.
  • Servidor Downloader: Encargado de proporcionar las samples del malware vía HTTP. La presencia de elemento permite la continua incorporación de actualizaciones sin necesidad de dejar en desuso versiones anteriores del malware.
  • Servidor C2: Encargado de remitir las órdenes de denegación de servicio.
  • Bot: Dispositivo IoT infectado por la botnet IotReaper.

[Read more…]