Los pasados días 7 y 8 de junio se ha celebrado en el Teatro Amaya de Madrid la High Level Conference on Assurance 2017 de ISACA Madrid. HLCA17 – Final #RetoISACA 2017

Nuestros compañer@s de #i4s: Nerea Sainz, Miguel Hernández, Javier Jiménez y José Ignacio Escribano, quedaron finalistas con su proyecto #IoT “¿Por qué acabé viviendo en una cueva? Los riesgos del IoT en tu hogar

El Internet de las Cosas (#IoT) ha experimentado una enorme evolución en los últimos años debido a la miniaturización de todo tipo de sensores y dispositivos, así como su menor coste. Sin embargo, dichos sistemas siguen siendo diseñados de la misma forma que hace 20 años, sin tener en cuenta que la seguridad debe ser un pilar fundamental en su desarrollo.

Dispositivos analizados: Highlights

Hemos realizado un extenso estudio de los dispositivos IoT que existen en el mercado en la actualidad. A continuación presentamos alguno de los resultados más relevantes encontrados:

  • Control de iluminación: existe una vulnerabilidad documentada (CVE-2014-4883) para los dispositivos HUE personal Wireless Lighting de Philips que afecta a la confidencialidad e integridad de las comunicaciones permitiendo realizar ataques como Man-in-the-middle, por lo que podrían ser controladas sin necesidad de autenticación.

https://www.youtube.com/watch?v=Ed1OjAuRARU

  • Smart TVs: quizás el caso más mediático debido a las escuchas realizadas por la CIA mediante el uso de las Smart TVs de Samsung [1],  los modelos más expuestos son los de la serie D6000 LED Smart TV. Otros ataques y vulnerabilidades sufridos son el robo de cookies y datos sensibles en Philips SmartTV [2], ransomware en LG Smart TV [3] o varios CVEs para Samsung Smart TVs y Sony Bravia TV que permitirían a un atacante realizar denegación de servicio y ejecutar código arbitrario (CVE-2015-8040, CVE-2015-8039, CVE-2014-9266, CVE-2012-4330, CVE-2012-2210).
  • Lavavajillas: existe una vulnerabilidad (CVE-2017-7240) en los lavavajillas Miele Washer-disinfector PG8528, usado en hospitales y otras instalaciones sanitarias, que permitiría tener acceso a la red e instalar malware y potencialmente acceder a otros sistemas de ésta [4].
  • Frigoríficos: el frigorífico Samsung RF28HMELBSR cuenta con una vulnerabilidad Man-in-the-middle que podía explotarse para robar las credenciales de inicio de sesión de los usuarios de Gmail, ya que el electrodoméstico no valida los certificados SSL [5].
  • Juguetes para niños: el caso de los Smart Toy Bear tuvo bastante repercusión ya que existían diferentes vulnerabilidades que permitieron filtrar más de dos millones de conversaciones grabadas [6].
  • Juguetes para adultos: se han encontrado casos de juguetes sexuales con brechas de seguridad, como el Siime Eye, un vibrador que incluye una cámara y tiene WiFi incorporada que permitía ver y grabar imágenes de manera remota [7]. Este dispositivo expuesto a Internet permitía tener acceso en todo momento a las imágenes.
  • Webcams: hemos analizado tres modelos: SQ-Webcam, Webcamxp y YawCam que cuentan con varias vulnerabilidades Cross-Site Scripting (XSS) que permiten inyectar código HTML en el portal, causar una denegación de servicio o leer ficheros arbitrarios del sistema:  CVE-2004-2094, CVE-2005-1189, CVE-2005-1190, CVE-2008-5674, CVE-2008-5862, CVE-2003-1479.
  • Impresoras: los modelos PapercutMF y Toshiba TopAccess cuentan con varias vulnerabilidades Cross-Site Request Forgery: CVE-2014-2659, CVE-2014-2658, CVE-2014-2657, CVE-2012-1239, CVE-2014-1990 (las 3 primeras corresponden a la Papercut y las otras 2 a la TopAccess).
  • Coches: Se ha logrado hackear un Jeep Cherokee y controlarlo de forma remota [8]. La vulnerabilidad aparece documentada y es el CVE-2015-5611.

Dispositivos expuestos en Internet

Utilizando la herramienta Shodan [9] para buscar dispositivos expuestos en Internet hemos encontrado un total de 24.143 dispositivos IoT. Casi el 85% de ellos se encuentran en el salón, tratándose en gran parte de Smart TVs.

dispositivos-expuestos-en-internet
Modelo de evaluación del riesgo

Hemos propuesto un modelo para calcular el riesgo potencial de una vivienda con varios dispositivos IoT conectados. El riesgo total de la vivienda  Rv calcula como se muestra en la siguiente ecuación:

modelo-de-evaluacion-del-riesgodonde ωi la criticidad del dispositivo i, Si el score del dispositivo i y n es el número de dispositivos de la casa.

  • La criticidad es una ponderación que dependerá del tipo de dispositivo, ya que no todos suponen el mismo riesgo para el usuario.criticidadEl score de cada dispositivo se estima como una combinación de las variables que hemos considerado más relevantes en base a la investigación realizada:

score1            donde

score2Resultados

No existe ninguna homogeneidad a la hora de desarrollar dispositivos IoT, cada fabricante desarrolla e implementa sistemas de seguridad de manera independiente y no colaboran a la hora de ser compatibles entre ellos. Por lo tanto, se considera necesaria una estructura común que permita el desarrollo seguro de estos dispositivos, tanto hardware como software.

Para un atacante, es muy sencillo hacerse con el control de una gran cantidad de dispositivos sin tener un alto conocimiento sobre ataques, ya que en numerosas ocasiones existen portales de acceso con credenciales por defecto o directamente sin autenticación y, lo que es más grave, expuestos a Internet, seguramente sin el conocimiento del propietario. Consecuentemente, no es de extrañar que aparezcan botnets que controlan miles de dispositivos IoT y son utilizados por atacantes sin exponerse a las consecuencias legales.

Adicionalmente, se detecta una falta de conocimiento sobre estos dispositivos y los propios fabricantes obvian nombrar estas características en los manuales de sus productos, por lo que los usuarios que quieren adquirir un dispositivo de este tipo, no disponen de toda la información necesaria.

Los fabricantes deben concienciarse de que son los únicos que pueden solucionar los problemas de seguridad de raíz en sus productos. Además, recalcar que es más conveniente implementar la seguridad durante todo el proceso de desarrollo y fabricación en lugar de actualizar los dispositivos mediante parches. En caso de no cumplirse estas medidas, las noticias sobre brechas de seguridad seguirán siendo una tónica habitual, que conllevará a prescindir de las oportunidades que ofrecen este tipo de tecnologías en lo que a calidad de vida se refiere, para poder estar seguros frente a un potencial atacante.

[1] https://www.forbes.com/sites/thomasbrewster/2017/03/07/cia-wikileaks-samsung-smart-tv-hack-security

[2] http://securityaffairs.co/wordpress/23523/hacking/philips-smarttv-susceptible-serious-hack-according-revuln-experts.html

[3] http://securityaffairs.co/wordpress/54991/malware/lg-smart-tv-ransomware.html

[4] https://www.theregister.co.uk/2017/03/26/miele_joins_internetofst_hall_of_shame/

[5] http://www.networkworld.com/article/2976270/internet-of-things/smart-refrigerator-hack-exposes-gmail-login-credentials.html

[6] https://motherboard.vice.com/en_us/article/pgwean/internet-of-things-teddy-bear-leaked-2-million-parent-and-kids-message-recordings

[7] http://uk.complex.com/life/2017/04/dildo-camera-can-be-hacked-way-too-easily

[8] https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/

[9] https://www.shodan.io


Autores del Artículo (I4S):

  • Javier Jiménez del Peso

Graduado en Ingeniería Informática y Matemáticas. Data Analyst.
Data Analyst at I4S (BBVA)I4S Innovation4Security Universidad Rey Juan Carlos

https://www.linkedin.com/in/javier-jim%C3%A9nez-del-peso-b4559a147/

  • José Ignacio Escribano Pablos

Graduado en Ingeniería del Software y Matemáticas. Data Analyst.

  • Miguel Hernández Boza.

Teleco aunque estudiante de por vida. Apasionado de la seguridad y del aprendizaje por refuerzo.

SecDev en i4S Innovation 4 Security Universidad Carlos III de Madrid

https://www.linkedin.com/in/miguel-hern%C3%A1ndez-boza-8967bb86/

Twitter: @MiguelHzBz

  • Nerea Sainz de la Maza

Ingeniera en Telecomunicaciones. Data Analyst.


Equipo-i4s-Javier-Jose-Miguel-Nerea