• 22/11/2024

El "hogar conectado" abre nuevas puertas de ingreso a los ladrones virtuales

Inspeccionaron dispositivos domésticos de entretenimiento como Smart TV, un receptor de satélite y una impresora, y encontraron 14 vulnerabilidades
18/09/2014 - 21:41hs
El "hogar conectado" abre nuevas puertas de ingreso a los ladrones virtuales

Entre los electrónicos más vendidos este año se encuentran los televisores inteligentes, también conocidos como Smart TV.

Estos dispositivos pueden ser puertas de ingreso para delincuentes virtuales, según lo demostró un reciente experimento.

El analista de seguridad de la empresa de seguridad informática Kaspersky Lab, David Jacoby realizó una prueba de investigación en su propio living para averiguar qué tan seguro es su hogar en términos de seguridad cibernética.  

Inspeccionó dispositivos domésticos de entretenimiento tales como almacenamientos conectados a la red de Internet (NAS, por sus siglas en ingles), Smart TV, router, reproductor de Blu-ray, con el fin de averiguar si son vulnerables a los ataques informáticos. 

El experto examinó dos modelos de unidades NAS de distintos proveedores, un Smart TV, un receptor de satélite y una impresora conectada a la red. 

Como resultado de su investigación, logró encontrar 14 vulnerabilidades en los dispositivos de almacenamiento conectados a la red, una vulnerabilidad en el Smart TV y varias funciones del control remoto potencialmente ocultas en el router.

De acuerdo con su política de divulgación responsable, Kaspersky Lab no reveló el nombre de los proveedores cuyos productos fueron parte de la investigación hasta que se libere un parche que cierre las vulnerabilidades. 

“Se les informó a todos los proveedores acerca de la existencia de las vulnerabilidades. Los especialistas de Kaspersky Lab trabajan de cerca con los proveedores para eliminar las vulnerabilidades que se van descubriendo”, informaron desde la compañía.

Las pruebas fueron las siguientes:

Ejecución de código remoto y contraseñas débilesLas vulnerabilidades más graves se encontraron en los almacenamientos conectados a la red.

Varias de ellas permitirían a un atacante ejecutar de manera remota comandos del sistema con los privilegios de administración más altos. 

Los dispositivos de la investigación también tenían contraseñas débiles por defecto, muchos archivos de configuración tenían los permisos incorrectos y además contenían contraseñas en texto simple. 

En particular, la contraseña de administrador predeterminada de uno de los dispositivos contenía sólo un dígito

Otro dispositivo incluso compartía todo el archivo de configuración con contraseñas cifradas para todos en la red.

Utilizando otra vulnerabilidad, el investigador fue capaz de cargar un archivo en un área de la memoria de almacenamiento inaccesible para usuarios comunes. 

Si se tratase de un archivo malicioso, el dispositivo comprometido se convertiría en una fuente de infección para otros dispositivos conectados a este NAS --una PC doméstica, por ejemplo-- e incluso servir como bot de denegación de servicio (DDoS) en un botnet. 

Teniendo en cuenta que la vulnerabilidad permitió cargar el archivo en una parte especial del sistema de archivos del dispositivo, la única manera de eliminarlo fue a través de la misma vulnerabilidad. 

“Evidentemente, esto no es una tarea trivial incluso para un técnico especialista, y mucho menos para el propietario  promedio de los equipos de entretenimiento doméstico”, advirtió el investigador.

Ataque vía intermediario mediante el Smart TVMientras investigaba el nivel de seguridad de su propio Smart TV, el investigador de Kaspersky Lab descubrió que no se utiliza ningún tipo de cifrado en la comunicación entre el televisor y los servidores del proveedor del televisor.

Eso abre potencialmente el camino para ataques vía intermediario (“man-in-the-middle”) que podrían acabar en la transferencia de dinero del usuario a los estafadores en el momento de intentar comprar contenido a través de la televisión. 

Como prueba del concepto, el investigador fue capaz de sustituir un icono de la interfaz gráfica del Smart TV con una fotografía. 

Normalmente los elementos de control gráfico (widgets) y las miniaturas (thumbnails) se descargan de los servidores del proveedor de TV y debido a la falta de una conexión cifrada, la información podría ser modificada por un tercero. 

El investigador también descubrió que el Smart TV es capaz de ejecutar código Java que, en combinación con la capacidad para interceptar el intercambio de tráfico entre la televisión e Internet, podría resultar en ataques maliciosos mediante exploits.

Funciones ocultas de espionaje de un routerEl router DSL que se utiliza para proporcionar acceso inalámbrico a Internet para todos los demás dispositivos domésticos contenía varias características peligrosas ocultas para su propietario.

De acuerdo al investigador, algunas de estas funciones ocultas podrían potencialmente proporcionar el acceso remoto ISP (Proveedor de Servicios de Internet) a cualquier dispositivo en una red privada.

Según los resultados de la investigación, las secciones de la interfaz con la web del router llamada "Web Cameras", "Telephony Expert Configure", "Access Control", "WAN-sensing" y "Update" son "invisibles" y el propietario del dispositivo no las puede ajustar. 

Sólo se puede acceder a ellas a través de la explotación de una vulnerabilidad bastante genérica la cual hace posible viajar entre las secciones de la interfaz, que son básicamente páginas web, cada una con su propia dirección alfanumérica, forzando los números al final de la dirección.

Originalmente, estas funciones se implementaron para la comodidad del propietario del dispositivo: la función de acceso remoto permite que el ISP pueda resolver problemas técnicos en el dispositivo de manera rápida y fácil, pero la comodidad podría convertirse en un riesgo si los controles caen en las manos equivocadas.

Preguntas inquietantes"Las personas, así como las empresas deben entender los riesgos de seguridad relacionados con los dispositivos conectados a la red. También tenemos que estar conscientes que nuestra información no está segura solo porque tenemos una contraseña fuerte, y que hay muchas cosas que no podemos controlar”, advirtió el especialista. 

Me tomó menos de 20 minutos encontrar y verificar vulnerabilidades extremadamente graves en un dispositivo que luce seguro y que incluso alude a la seguridad como parte de su nombre”, sostuvo Jacoby.

“¿Qué es lo que encontraríamos si se llevara a cabo una investigación a mucho mayor escala más allá de mi propia sala? Esta es sólo una de las muchas preguntas que deben ser abordadas de manera colaborativa por los proveedores de dispositivos, la comunidad de seguridad y los usuarios de estos dispositivos en el futuro cercano”, planteó. 

La otra cuestión importante es el ciclo de vida de los dispositivos. “Conforme me he enterado a través de conversaciones con los proveedores, algunos de ellos no desarrollarán revisiones de seguridad para un dispositivo vulnerable cuando termine su vida útil”, apuntó.

Por lo general, este ciclo de vida útil dura uno o dos años, pero la vida real de los dispositivos - NAS por ejemplo - es mucho más larga. “De cualquier modo que se le vea, no es una política muy justa", dijo Jacoby.

Cómo mantenerse a salvoHay que hacerle la vida más difícil a los “hackers”: todos los dispositivos deben actualizarse con todas las actualizaciones de “firmware” y seguridad más recientes. Esto reducirá el riesgo de aprovechar las vulnerabilidades conocidas.

 Asegurarse de cambiar el nombre de usuario y contraseña por defecto, porque esto es lo primero que un atacante intentará para comprometer su dispositivo.

La mayoría de los routers y switches domésticos tienen la opción para configurar su propia red para cada dispositivo, y también restringen el acceso al dispositivo, con la ayuda de diferentes zonas desmilitarizadas (DMZ), un segmento de red independiente para sistemas con un mayor riesgo de compromiso, y con redes de área local virtual (VLAN), un mecanismo para lograr una separación lógica entre diferentes redes lógicas en la misma red física). 

Por ejemplo, si en la casa hay un televisor, es posible que desee restringir el acceso a la televisión y sólo permitir que ésta tenga acceso a un recurso concreto dentro de la red. No tiene mucho sentido que la impresora esté conectada al televisor.

Temas relacionados