Professional Documents
Culture Documents
INTERNET
DE LAS COSAS
Estado del arte
Documento Pblico
Sobre CSIRT-CV
CSIRT-CV es el Centro de Seguridad TIC de la Comunitat Valenciana. Nace en
junio del ao 2007, como una apuesta de la Generalitat Valenciana por la
seguridad en la red. Fue una iniciativa pionera al ser el primer centro de estas
caractersticas que se cre en Espaa para un mbito autonmico.
Est formado por un equipo multidisciplinar de personal tcnico especializado
en los distintos mbitos de la seguridad y dedicado a desarrollar medidas
preventivas y reactivas para mitigar los incidentes de seguridad en sistemas
de informacin dentro del mbito de la Comunidad Valenciana, que abarca
tanto la Administracin Pblica, como PYMES y ciudadanos.
CSIRT-CV ha certificado su Sistema de Gestin de Seguridad de la Informacin
con AENOR segn la norma UNE-ISO/IEC 27001:2014 cuyo alcance son los
sistemas de informacin que dan soporte a los servicios prestados a la
Generalitat Valenciana para la prevencin, deteccin y respuesta antes
incidentes de seguridad en las TICs.
Datos de contacto
CSIRT-CV Centro de Seguridad TIC de la Comunitat Valenciana
http://www.csirtcv.gva.es/
https://www.facebook.com/csirtcv
https://twitter.com/csirtcv
Licencia de uso
Este documento es de dominio pblico bajo licencia Creative
Commons Reconocimiento NoComercial CompartirIgual
(by-nc-sa): No se permite un uso comercial de la obra original ni de las
posibles obras derivadas, la distribucin de las cuales se debe hacer con una
licencia igual a la que regula la obra original.
Imagen de portada de LOSINPUN, compartida en flickr con licencia Creative
Commons (by-nc-sa).
ndice de contenido
1.
2.
3.
Riesgos asociados......................................................................... 10
4.
4.2.
4.3.
4.4.
4.5.
5.
6.
Prevencin y salvaguardas............................................................. 30
6.1.
6.2.
6.3.
6.4.
services ............................................................................................ 34
7.
6.5.
6.6.
1. Introduccin a IoT
El trmino "Internet de las cosas" (Internet of things, en adelante IoT) es una
expresin en auge que hace referencia a objetos comunes que con el avance
de la tecnologa se estn interconectando a Internet. El trmino IoT se
introdujo cuando el nmero de dispositivos fue mayor que el nmero de
personas conectadas a Internet, entre 2008 y 2009. Hoy en da es habitual
que la mayor parte de ciudadanos dispongan de un smartphone, una tablet o
un equipo porttil. Esto hace que se tenga acceso permanente a Internet sin
importar el lugar donde se encuentre el usuario. Asimismo, casi un 70% de los
hogares espaoles1 disponen de Internet. Segn el informe del ONTSI, en el
tercer trimestre de 2013 los dispositivos que ms han aumentado son las
tablets (28,5 % de los hogares), las televisiones (78,6 %) y los ordenadores
porttiles (62,5 %).
Como
se
ha
comentado
que
disponan
de
hasta
ahora
conectividad.
no
Con
etctera
conexin
disponen
ya
Internet.
de
La
entre
otras
muchas
una
herramienta
de
trabajo,
de
consulta
de
informacin
de
va
generar
grandes
consecuencia,
de
mayor
conectividad a Internet. De
Web: OWASP Internet of Things Top Ten Project. Fuente: OWASP https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project#tab=
OWASP_Internet_ of_Things_Top_10_for_2014
de
estos
ejemplos
podra
provocar
graves
prdidas
la
3. Riesgos asociados
En este apartado vamos a analizar los riesgos asociados a la evolucin de IoT.
Los riesgos varan en funcin de la criticidad del dispositivo ya sea por la
funcin que realizan o por la dependencia que se tenga del mismo. En
cualquier caso, vamos a analizar algunos de los riesgos ms comunes y las
reas que pueden verse afectadas ante la materializacin de una amenaza.
Ms adelante nos centraremos en riesgos que pueden ser propios de
determinados dispositivos.
La materializacin de las amenazas a las que estn expuestos nuestros
dispositivos puede afectar a la accesibilidad del dispositivo, a la integridad
de la informacin que contiene y a la identidad del usuario que la posee ya
que puede provocar una suplantacin de identidad. Y no nos quedamos ah, ya
que la disponibilidad quiz sea uno de los aspectos que ms problemas
puede
generar,
principalmente
si
hablamos
por
ejemplo
de
entornos
Internet
por
fcilmente
geoposicionados
lo
que
en
pueden
todo
ser
momento
10
11
utilizar
en
cualquier
hogar,
hay
Infraestructuras
Crticas
12
13
de
los
14
Alrededor de este
as
que
los
dispositivos
posiblemente
mantengan
una
adicionalmente
los
riesgos
de
seguridad
habituales
sobre
la
4.1.
de datos
En este apartado nos centraremos sobre las deficiencias fundamentales que se
pueden aprovechar en un ataque relacionadas con la transmisin de datos,
dado que estos dispositivos estn eminentemente enfocados al envo de
15
informacin
entre
dispositivos
hacia
Internet. Uno de
las medidas
el
entorno
encontramos,
importancia
es
de
comunicaciones
en
fcil
la
el
que
comprender
seguridad
para
nos
este
la
en
las
tipo
de
sea
inalmbricas
transmisin.
empleando
o
Sea
cualquier
como
redes
otro
sea,
cableadas,
medio
todas
de
estas
16
Un escenario para ilustrar esta situacin podra ser el siguiente: pongamos que
disponemos de nuestro nuevo y flamante coche conectado, y ste nos facilita
datos de posicin, velocidad, estado, etc. a travs de un servicio en la nube
que mantiene el fabricante. Imaginemos que existen deficiencias en el
mecanismo de intercambio de informacin entre el propio coche y el servicio
en Internet. Un atacante podra interceptar la comunicacin enviada por el
propio vehculo y hacerla llegar en su estado original o modificada al servidor
del fabricante. Cules podran ser las implicaciones de esta situacin? La
primera a tener en cuenta podra ser que el atacante podra conocer sin
problemas toda la informacin que el vehculo enviara al servicio online, como
por ejemplo el estado del motor y nivel de lquidos, as como la posicin GPS,
por la que sabra cuando estamos en nuestro domicilio. El segundo factor a
tener en cuenta es que tambin sera capaz de dar las mismas rdenes que
pudiera dar el usuario, como por ejemplo abrir o cerrar las puertas del
vehculo, encender o apagar las luces, hacer sonar el claxon, encender o
apagar la climatizacin, etc.7 Todo esto dependera de las funcionalidades que
tuviese implementadas el vehculo.
4.2.
software
Uno de los vectores de ataque ms frecuentes tanto en este mbito como en
general, es el aprovechamiento de vulnerabilidades de software.
El primero de los vectores de ataque a considerar es el propio sistema
operativo. En cierto tipo de dispositivos se utilizan versiones ajustadas de
sistemas operativos de uso comn (Windows XP, Android, Lnux, etc.) de
forma que se abaratan los costes de fabricacin. Este hecho, evidentemente,
supone
un
riesgo
de
seguridad,
ya
que
cuando
se
detectan
17
otro
dispositivo
habilitado.
es
plataformas
habitual
web
que
comunes,
se
de
empleen
modo
que
cuando
se
identifican
al
igual
que
sucede
con
los
smartphones,
las
cuales
18
Por ltimo, est muy de moda emplear aplicaciones mviles que se instalan
en nuestro smartphone para cualquier tipo de gestin, bien sea obtener datos
o controlar el dispositivo. Debido a ello, las aplicaciones mviles tambin
pueden ser objetivo de ataques, ya sea aprovechando vulnerabilidades
o deficiencias en su implementacin, o mediante el desarrollo de
aplicaciones maliciosas que emulen el comportamiento y aspecto de
las legtimas para obtener acceso a los dispositivos IoT.
Para ilustrar la problemtica que entraa la explotacin de este tipo de
vectores de ataque, consideremos el siguiente escenario: Supongamos que
disponemos de un sistema domtico en nuestra vivienda. Los sistemas
actuales permiten una gran cantidad de opciones, como controlar hornos,
neveras,
sistemas
de
climatizacin,
actuadores
que
pueden
cortar
el
4.3.
Deficiencias en la seguridad de la
funcionalidad y configuracin
Otro punto fundamental en la seguridad de cualquier sistema es su propia
funcionalidad. En muchas ocasiones, bien los desarrolladores (configuracin
por defecto) o los propios usuarios no mantienen un criterio alineado con la
seguridad en la implementacin o configuracin de la funcionalidad de un
servicio. En este aspecto, el panorama en el mundo de IoT es semejante, ya
que la mayora de los dispositivos no siguen una poltica adecuada de SbD.
19
Como
hecho,
consecuencia
la
de
este
mayora
de
4.4.
20
normalmente cuando se producen tienen una criticidad alta y son con mucho
las ms difciles de subsanar.
Destacar en este caso, que las vulnerabilidades o brechas de seguridad
ya existan antes de considerar el trmino IoT, ya que la mayora de
ellas eran explotables sin necesidad de que el dispositivo estuviera
conectado a Internet; sin embargo, consideramos oportuno incluirlo en
el presente informe dado que es una de las vas de entrada ms habituales.
Cierto tipo de dispositivos de toma de datos se suelen encontrar dispersos
en grandes reas, lo que dificulta en gran medida la aplicacin de controles
de seguridad fsica que puedan mitigar sus riesgos. En este ecosistema, el
acceso fsico al dispositivo suele ser ms sencillo que en el caso de
grandes sistemas guardados a cal y canto en centros de proceso de datos.
Los ataques contra hardware se basan fundamentalmente en entender la
estructura y realizar un anlisis de comportamiento del dispositivo a
atacar, basndose en sus capacidades. Se emplean este tipo de ataques
cuando la seguridad software es robusta o en sistemas localizados en
redes aisladas o bien protegidas de un acceso pblico va Internet. Un
ejemplo de este tipo de situaciones podran ser ataques a componentes de la
red elctrica o a sistemas de control de trfico.
Cabe destacar que para realizar este tipo de ataques, se suele requerir el
uso de equipamiento especializado. Dependiendo del equipo que se
disponga se podrn realizar distintos tipos de ataque desde monitorizacin de
interfaces hasta ingeniera inversa y manipulacin de componentes internos.
La aplicacin de medidas de seguridad depender en gran medida de
la criticidad del dispositivo considerada por el fabricante, su uso
previsto y la criticidad de los datos que gestione. En un dispositivo
wearable por ejemplo, que nicamente gestione notificaciones de uso
mediante un Smartphone, no se encontrarn gran cantidad de estas
contramedidas, sin embargo, en un sistema criptogrfico como un Hardware
Security Module (HSM) o en sistemas industriales s que cabra esperarlas.
Una tcnica de ataque habitual en este aspecto es el acceso directo a
21
general,
el
acceso
la
considerable,
ya
que
en
disco
que
ocupaba
la
informacin
eliminada
est
22
4.5.
usuarios
El ltimo punto a tener en cuenta dentro de vectores de ataque a IoT es un
clsico y es el producido por el propio usuario y su experiencia. Por
desgracia en muchas ocasiones, a pesar de que los sistemas estn bien
configurados y bastionados, una negligencia de un usuario podra
comprometer el servicio.
Desde CSIRT-CV sabemos que ste es un tema tratado hasta la saciedad, pero
como sucede en la mayora de los casos, consideramos que es uno de los
fundamentales vectores de ataque a explotar para obtener el acceso a
Seguridad en Internet de las Cosas CSIRT-CV
23
electrnico
acceso
trata
elaborado
de
un
es
ataque
habitual
algo
ms
realizar
una
Internet
pblicas,
consultando
realizando
fuentes
actividades
de
al
atacante
perpetrar
un
ataque
ms
preciso,
en
24
25
5. Recopilacin de incidentes
En este apartado vamos a presentar alguno de los incidentes ms relevantes
que se han publicado hasta la fecha de elaboracin del presente informe.
En este primer caso un investigador de la empresa Proofpoint detect entre
diciembre de 2013 y enero de 2014 el envo de una campaa de correo
malicioso. Segn podemos leer en su propio artculo8 empezaron las
investigaciones para saber qu tipo de dispositivos formaban las botnet que
estaban enviando una determinada campaa de
SPAM.
Cuando
comenzaron
con
el
anlisis,
que
se
envi
SPAM
desde
routers
26
medio
segn
comenta
el
eran
los
dispositivos
IoT
tenemos
CUALQUIER
que
entender
DISPOSITIVO
que
vulnerable
para
un
atacante.
Existe
27
domstica
incluso
desde
poda
provocar
condiciones
de
borrar
(aplicaciones,
la
memoria
configuraciones,
del
notas,
dispositivo
mensajes,
11
Artculo: Chinese hackers take command of Tesla Model S Fuente: CNET http://www.cnet.com/news/chinese-hackers-take-command-of-tesla-model-s/
12
Artculo: Hacking into Internet Connected Light Bulbs Fuente: Context http://contextis.co.uk/resources/blog/hacking-internet-connected-light-bulbs/
Artculo: Remote Attack Coud Format Your Pebble Smartwatch Easily Fuente:
The Hacker News - http://thehackernews.com/2014/08/remote-attack-could-damageyour-pebble.html
13
28
29
6. Prevencin y salvaguardas
Una vez analizado el estado del arte respecto a IoT, el siguiente paso ser,
dentro de nuestras posibilidades, garantizar un uso seguro de las
mismas. Se pueden aplicar una serie de medidas de seguridad que
ayuden a mitigar en la medida de lo posible los riesgos de seguridad
derivados del uso de estos dispositivos.
Para afrontar esto, se va a dividir en una serie de partes en los que se
abordarn los puntos de atencin de la seguridad en IoT y las posibles
salvaguardas aplicables.
6.1.
si
publicada
dicha
interfaz
directamente
est
a
30
En
desaconseja
caso
de
publicar
la
no
emplearse
interfaz
de
una
conexin
administracin
cifrada
o
se
conexin
total
seguridad,
ya
que
emplea
cifrado
autenticacin
en
las
comunicaciones.
6.2.
31
ellas,
cuando
el
dispositivo
lo
permita,
ser
que
ni
siquiera
publican
actualizaciones
de
6.3.
32
seguimos con los consejos propios del tipo de dispositivos que nos ocupa en
este informe.
Muy habitualmente, los fabricantes de los
dispositivos habilitan mltiples puertos
de acceso o gestin (cuando nos referimos a
puertos,
de
hacemos
una
forma
muy
referencia
simplificada
distintas
se
permita
necesarios,
de
este
el
modo
acceso
se
los
reducirn
puertos
los
estrictamente
riesgos
de
seguridad
de
las
capacidades
caractersticas
de
tu
router.
Esta
automatizadas.
La
mayora
de
los
dispositivos
que
lo
33
protocolo
est diseado
para facilitar
la
un
riesgo
importante
de
que
no
sea
lo
ms
cmodo,
6.4.
34
informacin
datos
6.5.
IoT
En la actualidad, el control de los dispositivos IoT es muy habitual que se
realice con aplicaciones para smartphones. Normalmente la aplicacin
facilita un acceso intuitivo y prctico para controlar y monitorizar nuestro
dispositivo, sin embargo, se deben tener en cuenta ciertos requerimientos
de seguridad a la hora de emplear este tipo de apps.
Como suele suceder en general con las apps mviles, un punto prioritario a
tener en cuenta es el punto de descarga de la misma. Es fundamental
descargar la aplicacin desde un punto de descarga de confianza. Si
se realiza la descarga desde un market no oficial, es posible que la
aplicacin
pueda
estar
modificada
incluyendo
funcionalidades
35
requiera acceso a la red, sin embargo no es lgico que nos solicite acceso a
nuestros contactos o mensajes. Cuando identifiquemos uno de estos casos se
recomienda, en primer lugar denegar el acceso a la informacin que no
consideremos
estrictamente
imprescindible,
en
segundo
lugar
6.6.
desconfiar
de
cualquier
comunicacin
desde
una
fuente
desconocida, sea cual sea el medio por el que se reciba (correo electrnico,
llamada telefnica, visita presencial, etc.). Por tanto se debe solicitar una
identificacin inequvoca en caso de una visita presencial o bien contactar por
un medio alternativo con el proveedor o cliente al que supuestamente
representa.
Por norma, un administrador de un servicio nunca pedir al usuario sus
credenciales de acceso, y menos por medios como correo electrnico o
acceso a formularios web sin cifrado (que no comiencen por https:// en la
barra de nuestro navegador). Hay que entender que los administradores
tienen acceso al listado completo de usuarios, siendo de su potestad dar el
alta o baja de usuarios, as como gestionarlos. Cuando se reciba una solicitud
en estos trminos se debe desconfiar y validar en todos los casos la fuente de
la misma.
Para minimizar el impacto en caso de sufrir una posible estafa, se recomienda
36
las
credenciales
de
acceso
al
servicio,
no
se
vera
Campaas
de
Concienciacin
CSIRT-CV
http://www.csirtcv.gva.es/es/paginas/campa-de-concienciacin.html
Cursos
de
Formacin
http://www.csirtcv.gva.es/es/paginas/formacin.html
15
CSIRT-CV
37
7. Conclusiones
Con el presente informe desde CSIRT-CV hemos querido dar a conocer el
estado del arte del trmino Internet de las Cosas. IoT hace referencia a
aquellos objetos que hasta hace poco tiempo no tenan conexin a Internet o
que recientemente se han incorporado con necesidades de conectividad. Como
hemos visto, el nmero de dispositivos que cada uno de nosotros disponemos
con conexin a Internet va en aumento y se espera que siga creciendo en los
prximos aos, especialmente los wearables aunque estn surgiendo nuevos
tipos y clases.
A lo largo del informe se ha ido enfatizando la importancia de que esta
evolucin deba notarse tambin en las medidas de seguridad que se aplican,
tanto a nivel de producto como a nivel de usuario. A todos nos preocupan las
amenazas de seguridad, la privacidad de nuestros datos y nuestra propia
integridad fsica.
En trminos generales se debe tener en cuenta la proteccin en la medida de
lo posible de nuestro dispositivo (configuracin del mismo, proteccin de
acceso, informacin almacenada, cifrado, localizacin,...) y de nuestra red
(cifrado WPA2, dispositivos conectados, puertos abiertos y UPnP, WPS,).
En el mbito corporativo IoT tambin supone un avance y a la vez un reto
para las empresas
ya que a pesar de
la evolucin y las
ventajas
puede
que
aportar,
por
amenazas
seguridad
conlleva.
de
que
Como
podemos ver en la
Ilustracin 2, hay
Fuente: Fundacin Bankinter
38
39
Desde CSIRT-CV queremos destacar que para que exista confianza en el uso
de las nuevas tecnologas y se adopten sin recelo, es imprescindible que su
uso sea seguro y que tengamos garantas de que cumplen con nuestras
expectativas de privacidad, integridad y disponibilidad. En el caso de los
dispositivos IoT es necesaria la participacin de todas las partes (desde el
desarrollo del producto e implementacin del mismo hasta el usuario final que
lo configura y hace uso del dispositivo) para que se ocupen y preocupen por la
seguridad y apliquen las medidas que en cada caso sean necesarias. La
tecnologa debe ser evolucin en todos los aspectos y no un retroceso en
seguridad y privacidad de sus usuarios.
41