Contenido


Anatomía de un ataque de malware a IoT

Cómo prevenir que sus dispositivos de IoT se unan a la horda de bots zombis

Comments

¡Sus dispositivos de IoT están siendo atacados! (Bostezo)

Si, ya sé. Hace ya bastante tiempo que escucho sobre lo inseguros que son los dispositivos de IoT. Y, honestamente, prácticamente he dejado de prestar atención a los ataques de malware de IoT. ¿Algo nuevo? Además, este es el tipo de cosas que les ocurren a las otras personas, ¿no?

Se equivoca. Si usted tiene dispositivos de IoT en su casa o en su red corporativa (o en ambas), es posible que ya le haya ocurrido a usted. Y si no le ha ocurrido, casi seguro que le ocurrirá. Lo verdaderamente asustador es que es posible que sus dispositivos ya hayan sido atacados e infectados. Y es posible que usted no sepa ni siquiera cómo.

¿Ahora atraje su atención? Bien. Así que, ¿cuál es el tamaño del problema? En este estudio del 2015 de HP el 100 % de los dispositivos de seguridad de IoT para el hogar probados tenían vulnerabilidades "significativas", y es probable que todos los dispositivos probados ahora formen parte de un hogar inteligente: TVs inteligentes, termostatos del hogar, cámaras web y cerraduras inteligentes, entre otros.

Entre las vulnerabilidades se encuentran contraseñas débiles, falta de cifrado cuando los dispositivos se comunican a través de la red y en enumeración de las cuentas (esto es, el uso de la función de restablecimiento de la contraseña para encontrar IDs de cuentas de usuarios válidos).

Entonces, a alguien le sorprende que los dispositivos de IoT sean objetivos tan frecuentes de hackers y pastores de bots, como los que lanzaron ataques de Denegación Distribuida de Servicio (DDoS) contra un blogger de seguridad Brian Krebs el 20 de septiembre y un proveedor de DNS de EE. UU. ¿Dyn el 21 de octubre de 2016?

Si usted es como yo era antes de entrar a profundidad en este tema, tendrá las siguientes preguntas:

  • ¿Cuál es la apariencia de un dispositivo IoT por debajo de su cobertura?
  • ¿Cuál es la apariencia de un ataque de malware de IoT?
  • ¿Cómo proteger a los dispositivos de IoT contra los ataques?

En este artículo responderé a esas preguntas.

Anatomía de un dispositivo de IoT

Para entender lo que hace que los dispositivos de IoT sean vulnerables a los ataques, vale la pena ver detalladamente lo que se esconde debajo de su cobertura.

Es probable que usted tenga una buena idea de lo que significa "dispositivo de IoT", pero sólo para asegurarnos de que entendemos lo mismo, déjeme definir el término que utilizaré en este artículo.

Un dispositivo de IoT es un dispositivo con fines especiales, que se conecta de forma inalámbrica a una red y que transmite y recibe datos a través de la conexión inalámbrica para supervisar o controlar una "cosa" (que a partir de ahora llamaré Cosa).

Hardware del dispositivo de IoT

Para entender lo que está en el corazón de un dispositivo de IoT tenemos que entender las principales características del hardware concerniente que hace que los dispositivos de IoT funcionen:

  • Adquisición y control de datos
  • Procesamiento y almacenamiento de datos

Esencialmente, los dispositivos de IoT contienensensores, accionadores, o ambos. Los sensores adquieren datos y los accionadores controlan los datos o actúan con base a ellos.

  • Los sensoressupervisan Cosas y brindan datos acerca de la Cosa, puede ser la temperatura, la intensidad de la luz o el nivel de batería.
  • Los accionadorescontrolan la Cosa a través del hardware del dispositivo, como los controles de un termostato inteligente, el interruptor de regulación de intensidad de una bombilla inteligente o los motores reductores de una aspiradora robótica. Los accionadores representan la interfaz física hacia la Cosa que la hacen "funcionar", ya sea encender la calefacción, atenuar las luces o enviar la aspiradora robótica a su estación de carga.

Todos los dispositivos de IoT tienen una forma de procesar los datos, de almacenar esos datos localmente (si es necesario) y de brindar potencia de computación que haga que el dispositivo funcione.

Si es necesario que se coordinen los datos de varios sensores, o si los datos tienen que almacenarse en una memoria flash (por cualquier razón), esto lo realiza el componente que procesa datos del dispositivo de IoT.

Firmware del dispositivo de IoT

El firmware que se ejecuta en un dispositivo de IoT es el software integrado que se encuentra entre el hardware y el mundo exterior, y normalmente se clasifica en una de dos categorías: firmware integrado o firmware basado en el sistema operativo (basado en el SO).

Firmware integrado

Los dispositivos de IoT tienen limitaciones respecto a los recursos, así que a menudo utilizan firmware incorporado y personalizado, que es otro término para el software que se ejecuta en el dispositivo. En muchos casos, la única solución rentable para los fabricantes del dispositivo es entrar en contacto con programadores que entiendan profundamente el hardware para que escriban firmware integrado que interactúe con el hardware.

Los ingenieros del software integrado tienen una obligación doble. Además de escribir el firmware integrado, tienen que escribir el software para que interactúe con el hardware, junto con el software de la aplicación para que se comunique con el usuario del dispositivo como, por ejemplo, la interfaz para configurar el dispositivo.

Firmware basado en el SO

Ya que los dispositivos de IoT se han hecho "más inteligentes" (léase: más complejos) — más sensores, más procesamiento de datos y más capacidades de almacenamiento, entre otros — también ha crecido la demanda de software más complicado para gestionar y explotar las capacidades nuevas.

Los dispositivos de IoT están madurando de una forma similar a la que tuvieron las primeras computadoras, que para ejecutar sus funciones básicas evolucionaron del firmware que se cargaba desde el ROM a sistemas operativos tipo MS-DOS. Es probable que un dispositivo de IoT ahora ejecute un sistema operativo (SO) que proporcione una capa de abstracción entre el hardware y el otro software que se ejecuta en el dispositivo.

Al brindar la abstracción del hardware concerniente del software de las aplicaciones del dispositivo, el sistema operativo de IoT permite una división del trabajo familiar. Los ingenieros del software incorporado (que entienden el hardware) ahora pueden pasar su tiempo escribiendo controladores de dispositivos, y los programadores de aplicaciones (que no necesitan entender el hardware en profundidad) pasan su tiempo escribiendo en el software que hace que el dispositivo sea "inteligente".

Una elección de SO popular entre muchos fabricantes de dispositivos es Busybox, una versión reducida del sistema operativo Unix que contiene muchas de las utilidades más comunes, ocupa muy poco espacio y brinda muchas capacidades de Unix en un único ejecutable.

Comunicación inalámbrica del dispositivo de IoT

Los dispositivos de IoT la mayor parte de las veces se comunican de forma inalámbrica, lo que significa que pueden estar en cualquier parte de su hogar o empresa. Las necesidades de comunicación del dispositivo varían según esté diseñado para funcionar.

Algunos dispositivos están diseñados para funcionar haciendo conexiones Wifi 802.11 directas con su enrutador. Desde ahí, el dispositivo puede acceder a Internet. Un ejemplo habitual de este tipo de dispositivo son las cámaras de seguridad activadas por el movimiento, que utilizan Wifi porque es posible que necesiten una gran cantidad de ancho de banda.

Algunos dispositivos están hechos para funcionar como un grupo de dispositivos IoT. Por ejemplo, un sensor de apertura/cierre que esté conectado a un pequeño dispositivo gateway del hogar (a veces llamado Centro) utiliza un protocolo inalámbrico como Z-Wave o Zigbee (o cualquiera de los otros) para informar de que se ha abierto la ventana.

Gestión de dispositivos IoT

Los dispositivos IoT se gestionan principalmente de dos maneras: hay que conectar el dispositivo a la red (suministrarlo) y, una vez que esté conectado, hay que supervisarlo y controlarlo. Lo explicaré aún más a continuación.

El suministro del dispositivo

Muchos dispositivos de IoT (especialmente los pequeños como los sensores de temperatura) no tienen integrado el hardware de interacción con los usuarios, como una pantalla táctil, y se llaman dispositivos "descabezados". Una forma de configurar los dispositivos descabezados es utilizando Wifi Protected Setup (WPS), lo que requiere un dispositivo habilitado para WPS y un enrutador habilitado para WPS. En el escenario más sencillo, se presiona el botón WPS del dispositivo IoT y después se presiona el botón WPS del enrutador, y así dispositivos estarán conectados.

Algunos dispositivos crearan un punto de acceso Wifi al que es posible conectarse utilizando un teléfono inteligente para acceder a programas de configuración en los que se ingresan las credenciales de la red Wifi.

Otros dispositivos, como los gateways, buscan y añaden los dispositivos que detectan y que están en modo de configuración o de emparejamiento. Simplemente se configura en gateway para que tenga acceso a Internet, se le dice que busque otros dispositivos, y se siguen las instrucciones específicas de los dispositivos para ponerlos en modo de emparejamiento para que se puedan conectar al gateway.

Supervise y controle el dispositivo

Una vez que el dispositivo esté conectado a la red, es posible supervisarlo y controlarlo. Una forma de controlarlo es a través de un teléfono inteligente, ya sea conectándolo directamente en el gateway (dentro de su hogar, por ejemplo) o a través de una interfaz hacia un servicio de nube.

Algunos dispositivos, como las cámaras de seguridad de circuito cerrado, se conectan directamente a internet y tienen direcciones IP dedicadas. Es posible acceder a estos dispositivos directamente a través de Internet, evitando tener que utilizar un proveedor de servicios en nube o un gateway.

Muchos de los dispositivos de IoT están instalados en hogares y empresas, pero se exponen directamente a Internet mediante la modificación del firewall para permitir el enrutamiento de puertos. Esto permite acceder cómodamente al dispositivo desde cualquier parte de Internet para supervisarlo y controlarlo.

Seguridad del dispositivo de IoT

Por último, está la seguridad. Eso es. Último. Desafortunadamente, ese es el mayor problema con los dispositivos de IoT: la mayor parte de las veces la seguridad es lo último. Es una idea tardía.

Lo entiendo. Es difícil crear un dispositivo confiable y con recursos limitados, que se pueda conectar a una red inalámbrica, que utilice muy poca energía y, lo más importante (para el consumidor), que sea barato. Porque, para producir un dispositivo que funcione hace falta tanto trabajo que no es de extrañar que la seguridad sea la última cosa a considerar en el ciclo de vida de desarrollo

Vale la pena indicar que hay muchos fabricantes que consideran que la seguridad es muy importante, pero sus dispositivos suelen ser caros. Ese es el lado negativo

Así que, ahora tenemos en la red todos estos dispositivos baratos, quiero decir, rentables o no caros, y que tienen muy poca seguridad. Esto, amigos míos, es un ataque de malware de IoT que va a ocurrir.

Anatomía de los ataques de malware a IoT

Así que, hemos oído hablar mucho sobre el "malware de IoT", pero ¿en realidad qué significa? Déjeme desglosarlo, empezaré con el atacante.

El atacante

¿Quiénes son estas personas? La respuesta corta (e insatisfactoria) es: nadie lo sabe con seguridad.

En este artículo, el reconocido experto en seguridad Bruce Schneier dice que, basándose en la escala de los ataques recientes, es probable que los que realizan los ataques no sean activistas, investigadores ni incluso criminales.

Según Schneier, los ataques están diseñados para probar las defensas del objetivo empleando múltiples vectores de ataque, lo que causa que el objetivo del ataque levante todas sus defensas en ese proceso. Schneier dice que dichos ataques ejecutados meticulosamente son una característica de actores estatales (organismos gubernamentales). Eso es asustador, esperemos que Schneier esté reaccionado un poco exageradamente.

En cualquier caso, no está claro quiénes son los atacantes, pero lo que sí está claro es que son hackers inteligentes y con recursos. No los subestime.

El vector del ataque

Para cualquier tipo de ataque (de malware o de otro tipo), el atacante tiene que golpear una superficie ataque, que se define como la suma de todas las vulnerabilidades del dispositivo. Cuando el atacante identifica y se familiariza con la superficie del ataque, identifica un vector de ataque, que es la ruta que el atacante puede utilizar para sacar provecho del dispositivo, lo que permite que el atacante utilice el dispositivo para algo diferente a su propósito.

Veamos algunos vectores comunes de ataque a dispositivos de IoT.

Contraseñas débiles

Aparte de la baja prioridad que se da a la seguridad en el ciclo de vida el desarrollo de dispositivos, los fabricantes quieren que sus dispositivos se puedan configurar y utilizar fácilmente. Los fabricantes saben que muchos de los usuarios finales de los dispositivos de IoT a menudo son personas con pocos conocimientos técnicos. Para que el dispositivo sea fácil de configurar y de utilizar, el fabricante hace que haya una forma fácil de iniciar sesión en el dispositivo, como una única combinación de identificación de usuario/contraseña.

Esta simplicidad crea tres problemas:

  1. Después de configurar el dispositivo, la mayor parte de los usuarios toman el camino feliz y no cambian las credenciales de inicio de sesión del dispositivo.
  2. Después del envío del dispositivo, el identificador de usuario y la contraseña predeterminados se añaden a la lista de vulnerabilidades conocidas para este dispositivo.
  3. Los fabricantes continúan utilizando combinaciones fáciles de identificador de usuario/contraseña (por ejemplo, admin/admin, usuario/usuario y otras), o crean otras nuevas igual de simples, que rápidamente se añaden a las listas de vectores conocidos.

Falta de cifrado

Ya que, desafortunadamente, la seguridad a menudo es un pensamiento tardío que en el ciclo de vida de desarrollo de los dispositivos de IoT, las funciones de seguridad, como el cifrado, son a menudo desechadas o ni siquiera se consideran. La industria solicita la criptografía incorporada, como los coprocesadores criptográficos que pueden manejar el cifrado y la autenticación en dispositivos de IoT. Cuando se diseñan y construyen las aplicaciones de IoT, el cifrado de los datos que atraviesa la red (las técnicas de cifrado de los datos) deben formar parte del diseño.

Desafortunadamente, muchos dispositivos de IoT no son compatibles con el cifrado, lo que significa que es necesario investigar los dispositivos que se pretenden utilizar como parte de una solución general, para asegurarse de que brindan el cifrado.

Puertas traseras

Algunos fabricantes de dispositivos IoT incluyen en sus dispositivos mecanismos de acceso "ocultos" llamados puertas traseras. Aparentemente, esto les solicita el soporte de sus dispositivos. Pero, en realidad, también pueden abrir la puerta delantera para los hackers. Mientras que la mayoría de los usuarios no tienen los conocimientos técnicos para descifrar la puerta trasera, para un hacker es un juego de niños.

Aunque no hay que preocuparse, una vez que se descubre una puerta trasera, el fabricante pide profundamente disculpas e inmediatamente lanza una actualización del firmware que cierran la puerta trasera. ¿No? Es posible que usted lo piense. Desafortunadamente, hay muchas historias como esta, en la que el fabricante tiene en su dispositivo una puerta trasera que se conoce, pero en vez de eliminarla, hace que sea más difícil de acceder (o eso piensa).

En la mayoría de los casos, la puerta trasera es un identificador de usuario/contraseña o un puerto abierto en el dispositivo (que usted no puede cerrar). Llamarlas "puertas traseras" es un error. Para los hackers son puertas abiertas de par en par. Así de simple.

Exposición a Internet

Siempre que un dispositivo está expuesto a Internet — lo que significa que afectará tráfico de entrada — será atacado. Lo garantizo.

Considere este ejemplo de mi trabajo. Yo alquilo varios servidores virtuales que utilizo para mis sitios web, y dejo abierto el puerto 22 para poder enviarles SSH. Tan sólo utilizando las reglas predeterminadas del firewall esos hosts están siendo atacados constantemente. ¡Con cientos de intentos de iniciar sesión por hora! Por supuesto que ejecuto iptables para configurar reglas en todos los servidores y consigo bloquear direcciones IP de inicios de sesión incorrectos durante suficiente tiempo para debilitar los ataques programados. Ahora, "sólo" veo de 5 a 10 inicios de sesión erróneos por hora de todo el mundo.

Este es mi punto: exponga cualquier cosa al Internet y será atacado. Y, a diferencia de un servidor endurecido en el que es posible controlar el firewall y el acceso al host, la mayor parte de los dispositivos de IoT tienen poca o ninguna seguridad y son particularmente susceptibles a los ataques.

Pero espere, hay más...

Como puede ver, los dispositivos de IoT están llenos de vulnerabilidades. Contraseñas débiles junto con la exposición directa de los dispositivos a las puertas traseras, hacen que los dispositivos de IoT sean elecciones fáciles incluso para los hackers menos sofisticados (a los que, por cierto, se llama "script kiddies").

¿Cree que sólo los actores estatales y los hackers más sofisticados tienen las habilidades para hacker sus dispositivos de IoT? Piénselo de nuevo.

Open Web Application Security Project (OWASP) tiene un subproyecto llamado IoT Attack Surface Area Project, donde tienen una lista de potenciales vulnerabilidades de la superficie de ataque de IoT.

El ataque

Ya ha visto cómo un atacante entra en el dispositivo de IoT, ahora hablemos sobre el propio ataque.

Para dejarlo claro, el objetivo del ataque a un dispositivo de IoT es la toma de control del dispositivo y doblegarlo a la voluntad del hacker. Así que el ataque llega en dos fases: la fase de exploración y de toma de control y la fase del lanzamiento del ataque. Ambas fases normalmente son ejecutadas por un programa de Comando y Control (CNC).

Exploración y toma de control

El programa CNC explora las direcciones IP de Internet en búsqueda de hosts que tengan los puertos abiertos y, si encuentra uno, intenta iniciar sesión utilizando un conjunto de combinaciones de identificadores de usuario/contraseñas predeterminadas conocidas (por ejemplo, admin/admin, raíz/admin, usuario/usuario y otras).

Si el inicio de sesión tiene éxito, se ejecuta un script que informa sobre la dirección IP del dispositivo, y de las credenciales de usuario a utilizar. El programa CNC después introduce el malware en el dispositivo que necesita para ejecutar el ataque. El dispositivo ahora está pwned, y espera las instrucciones del CNC para comenzar el ataque.

El programa de exploración del ataque continúa con este proceso, apoderándose de todos los dispositivos nuevos que pueda. Cada uno de los dispositivos nuevos de los que se apodera se conoce como un bot.

Nadie tiene certeza sobre el tiempo que pasa desde que un dispositivo IoT se convierte en bot hasta el momento en el que se utiliza en un ataque. Pueden pasar horas, días, semanas o meses antes de que un bot sea llamado para ponerse en acción. Durante ese tiempo, es casi seguro que el propietario del dispositivo no sepa lo que está ocurriendo.

Lanzar el ataque

Un único dispositivo de IoT normalmente no es muy potente, por lo que un único bot casi no es una amenaza. Pero si se crea una horda de bots que están conectados conjuntamente para lograr un propósito común ¡tenga cuidado! Este tipo de ataque de botnet está formado por cientos, miles o, incluso, cientos de miles de bots, todos bajo el control del hacker. Da miedo.

El atacante normalmente utiliza su ejército de botnets para uno o dos fines: los ataques DDos o para bots de spam.

  • Los ataques de Denegación de Servicio (DoS) están diseñados para paralizar el host objetivo mediante el envío de tanto tráfico HTTP (y de otro tipo) que no puedan atender el volumen. Finalmente, el host objetivo no consigue responder, lo que derribar efectivamente al host.

    En vez de originarse desde una única computadora poderosa (o desde un clúster de computadoras), el ataque de Denegación de Servicio Distribuido (DDoS) se origina desde muchas computadoras host (miles o cientos de miles). En el caso de un ataque de botnets de IoT, las computadoras host son la legión de dispositivos de IoT. El objetivo no tiene ninguna oportunidad.

  • Los bots de spam están alimentando la industria del spam. La industria del spam mueve mucho dinero. Los administradores de sistemas gastan enormes cantidades de tiempo y energía para poner en listas negras los relés de spam conocidos, esperando que tan sólo una fracción de los emails de los spammers lleguen a la bandeja de entrada.

    Pero, ¿y si el spam pareciese haber sido enviado desde una dirección IP que no está en una lista negra? Por ejemplo, desde un dispositivo de IoT que se está ejecutando en la red de la abuela a través de su enrutador. ¡Perfecto! Es poco probable que la dirección IP de la abuela aparezca en una lista negra. Además, si la TV inteligente de la abuela es sólo uno de los cientos de miles de bots que envían spam, ¡imagine la pesadilla administrativa que debe ser intentar descubrir qué direcciones IP poner en la lista negra!

Una vez que un atacante tiene a su disposición un ejército de botnets, tendrá innumerables dispositivos pequeños que puede utilizar para crear una terrorífica inundación en el tráfico de Internet o llenar el mundo con spam.

Ejemplos recientes de ataques de malware a IoT

Aquí tiene algunos ataques de malware recientes a IoT de los que puede haber oído hablar.

Mirai

Este es un ataque de Busybox. Funciona buscando en internet los hosts que tienen abierto el puerto 23 (telnet), y utilizando un vector de contraseñas débiles para obtener acceso a los dispositivos que están ejecutando Busybox. Una vez dentro, el malware se instala y entra en contacto con el servidor CNC donde espera instrucciones. Cuando el servidor Mirai CNC ataca, instruye a todos los bots bajo su comando para que lancen una inundación de varios tipos de tráfico, lo que ahoga al host objetivo.

Mirai posiblemente es el ataque más conocido, y (según parece) el más usado en los dispositivos de las cámaras de videovigilancia infectadas .Hay algunas cosas que hacen que Mirai sea diferente:

  • Mirai contiene una lista de servidores "a los que no tocar" que incluye General Electric, Hewlett Packard y el Departamento de Defensa de los EE. UU.
  • El autor de Mirai, sólo conocido como "Anna-senpai" en los Foros de Hack publicó el código de origen el 30 de septiembre de 2016.

Mirai ha golpeado en varias oleadas grandes. El primer ataque se realizó en el sitio de seguridad del blogger Brian Kreb el 20 de septiembre de 2016. Hubo otro ataque el 21 octubre de 2016 contra Dyn, el proveedor de DNS de los EE. UU., que interrumpió el popular servicio de trasmisión de video Netflix, junto con Twitter, Airbnb y otros.

Robert Graham, el investigador de seguridad del blog Errata Security, presentó un análisis del ataque en la Conferencia de seguridad RSA del 2017 en San Francisco, CA, EE. UU.

Brickerbot

La empresa de seguridad Radware fue la primera en alertar acerca de un ataque potencial apodado "Brickerbot" el 4 abril de 2017.

Otro ataque basado en Busybox, este malware bloquea (bricks) el dispositivo (lo inutiliza), por eso tiene ese nombre.

En este tipo de ataque, conocido como ataque de Denegación Permanente del Servicio (PDoS), Brickerbot lo consigue a través de una serie de comandos de Busybox que borran todo desde el almacenamiento interno del dispositivo hasta el comando rm de Unix, junto con los comandos que reconfiguran el kernel y, finalmente, reiniciar el dispositivo (ahora inútil).

Posteriormente, en abril, un hacker de "sombrero gris" cuyo identificador de usuario en los Foros de Hack es "Janit0r" afirmó que era el autor del malware, diciendo en una publicación de HackForums que el virus tenía por objetivo a los "descuidados fabricantes" de dispositivos que se pueden hackear tan fácilmente. Se puede leer más acerca de esto aquí.

Bots de spam

El email es el sustento de los spammers, cuyo objetivo real es dirigir tráfico hacia los sitios web de sus clientes a través de e-mails que tienen asuntos atractivos, contenido lascivo y otras cosas (conocidas como cebo para clics). Las tácticas que emplean para provocar para hacer clic varían ("¡pierda 30 kilos durante la noche! ¡HAGA CLIC AQUI AHORA!" u "Obtenga un iPhone gratis. ¡HAGA CLIC AQUI AHORA!").

Toda la estrategia depende de que su e-mail llegue a la bandeja de entrada. El principal problema al que se enfrentan los spammers es enviar sus e-mails de forma que no sean atrapados en los filtros de spam, muchos de los cuales utilizan "listas negras" o direcciones IP de servidores de Simple Mail Transport Protocol (SMTP) conocidos que utilizan los spammers (como relés abiertos).

Sin embargo, si un spammer puede utilizar un proxy que parece legítimo para su servidor SMTP — llamado proxy SOCKS — cuya dirección IP no esté en una lista negra (¿recuerda la TV inteligente de la abuela?), sus e-mails de spam tienen más posibilidades de llegar a su objetivo (aunque usted seguirá sin ganar un iPhone gratis, los ciento).

El virus Linux.ProxyM es un Troyano de carga útil secundaria, que entra en funcionamiento una vez que el Troyano inicial haya infectado la computadora. ¿Cómo? De una forma parecida a esta: se provoca para que haga clic en ese enlace de "¡obtenga su iPhone gratis ahora!", y acepta instalar el "sencillo plug-in para iPhone gratuito" (el Troyano inicial), que infecta su computadora. En ese momento un script se pone en funcionamiento, el cual busca dispositivos de IoT vulnerables. Si encuentra uno, utiliza la vulnerabilidad de credenciales débiles conocidas para obtener acceso.

Una vez que obtiene el acceso al dispositivo, se infecta con la carga útil secundaria que contiene el verdadero malware que dirige el ataque. Este malware se conecta con un servidor CNC que brinda una lista de direcciones de e-mail y un servidor SMTP. En ese punto, su dispositivo, que ahora actúa como un proxy SOCKS, envía los e-mails de spam a petición del servidor CNC.

Cómo proteger los dispositivos de IoT

Así que, ¿cómo se protegen los dispositivos de IoT contra infecciones? Para empezar, no hay que permitir que se infecten. Lo sé, es un consejo muy útil.

Si usted ya ha implementado algunos dispositivos, tengo noticias buenas y malas. La noticia mala es que sus dispositivos están expuestos directamente a Internet (tal como describí antes), en el mejor caso han sido probados, y en el peor se han convertido en bots.

La buena noticia es que la mayor parte del malware de IoT reside en la memoria, así que mientras el dispositivo tenga energía, el malware está vivo. Reinicie el dispositivo y el malware habrá desaparecido.

Si nos dejamos de bromas, lo mejor es comenzar evitando que nuestros dispositivos se infecten. Aquí hay algunos consejos que son cortesía del Capitán Obvio.

Siempre cambie las contraseñas predeterminadas

Cuando suministre un dispositivo nuevo, siempre cambie la contraseña predeterminada. Esto parece demasiado sencillo, pero el ajetreo de la configuración de un dispositivo nuevo para poder jugar un poco con él, — esto, quiero decir, para utilizarlo con trabajo útil — es fácil saltarse este paso vital. ¡No se salte este paso!

Vaya a la interfaz de gestión y cambie la contraseña. Y, si no hay forma de hacerlo, y su plan es exponer el dispositivo a Internet, devuelva el dispositivo. Por supuesto que usted puede ser optimista, y puede tener la esperanza de que el dispositivo no se convierta en un bot, pero los que escriben malware adoran a los optimistas.

Quite los dispositivos que tienen puertas traseras de telnet

Los proveedores creen que son inteligentes al poner esas puertas traseras, pero no lo son. Pueden facilitar el soporte para el fabricante, pero ¿cuánto le va a costar a usted?

Los dispositivos que tengan una puerta trasera telnet abierta deben ser quitados de la red, pero ¿sabe cómo? Hay exploradores de dispositivos de IoTcomo este de BullGuard, que explora un motor de búsqueda de IoT llamado Shodan para revelar si los dispositivos son vulnerables basándose en la dirección IP de la computadora en la que se inicia la exploración. Observe que: como norma básica, ¡sólo debe explorar las direcciones IP que sean suyas o para las que tenga el permiso de exploración del propietario!

Esta es la exploración que ejecuté desde mi computadora.

Figura 1. Exploración de BullGuard de mi dirección IP pública bruta
BullGuard scan of my raw public IP address
BullGuard scan of my raw public IP address

Si su exploración se parece a esta, es posible que usted tenga un problema:

Figura 2. Exploración de BullGuard que muestra potenciales problemas
BullGuard scan of my VPN IP address
BullGuard scan of my VPN IP address

Nunca exponga un dispositivo directamente a Internet

Cuando se encuentre con la pregunta de si debe o no exponer un dispositivo a Internet abriendo su firewall, la respuesta adecuada es casi siempre no.

BullGuard brinda una forma de realizar una "exploración profunda" para verificar si hay puertos abiertos en su dirección IP que su ISP tiene expuesta públicamente. Esto le permitió ver si en mi router tenía puertos abiertos. Me alivió ver que no los tenía.

Figura 3. Exploración profunda de BullGuard de mi dirección IP pública bruta
BullGuard deep scan of my raw public IP address
BullGuard deep scan of my raw public IP address

Ejecute exploraciones de puertos en todas sus máquinas

Vale, así que los exploradores tipo BullGuard le pueden proporcionar un nivel de tranquilidad al mostrar que su dirección IP está bloqueada, pero si usted es como yo, querrá ejecutar las herramientas por sí mismo.

Yo utilicé Mac Network Utility para explorar uno de los hosts virtuales que alquilo para ver qué puertos estaban abiertos.

Figura 4. Exploración de Mac Network Utility
Mac Network Utility scan
Mac Network Utility scan

Esos resultados realmente no me sorprendieron. Este servidor virtual aloja un sitio web, ejecuta Apache con un backend Tomcat AJP y acceso SSH para fines administrativos.

Conclusión

En este artículo he mostrado una lista detallada de la anatomía de un dispositivo de IoT. Después, he mostrado la anatomía de un ataque de malware a IoT y algunos ataques de malware que han llegado a ser noticia. Finalmente, he mostrado cómo proteger los dispositivos de IoT cambiando las contraseñas predeterminadas y realizando exploraciones en su dirección IP.


Recursos para Descargar


Temas relacionados


Comentarios

Inicie Sesión o Regístrese para agregar comentarios.

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=90
Zone=Internet of Things
ArticleID=1054403
ArticleTitle=Anatomía de un ataque de malware a IoT
publish-date=12042017