MUNDO DIGITAL
Cafeteras en internet y sus peligros
Con el “Internet de Cosas”, hoy en día se encuentran en el mercado una gran variedad de dispositivos de uso cotidiano que pueden conectarse a la red
Antonio García Macías/COLABORACIÓN*
Ensenada, B. C. | jagm@cicese.mx
En octubre pasado se llevó a cabo uno de los ataques de seguridad más severos en la historia del internet. Esto provocó que se vieran interrumpidos por varias horas servicios populares tales como los brindados por Twitter, Netflix, GitHub, Amazon, Spotify y otros.
Lo novedoso del caso no fue solamente la magnitud del ataque, sino el tipo de dispositivos utilizados para perpetrarlo.
Los ataques DDoS
El modelo básico con el que operan muchos servicios en el internet se llama cliente/servidor. En este modelo existen dispositivos llamados servidores que proveen servicios y otros llamados clientes que consumen o utilizan tales servicios.
Por ejemplo, en el caso del World Wide Web (WWW) existen servidores, normalmente computadoras bien equipadas, que albergan páginas y otra información que es requerida por clientes, los cuales pueden ser teléfonos celulares, tablets, laptops y otros dispositivos.
Un ataque bien conocido a este modelo de operación es el conocido como DoS por las siglas de Denial of Service, o negación de servicio. Lo que sucede en un DoS es que un cliente realiza una gran cantidad de solicitudes de servicio de forma simultánea a un mismo servidor.
Dicho servidor, al verse sobrepasado por la demanda, queda prácticamente inutilizado y no puede dar servicio a otros clientes por tratar de satisfacer las solicitudes que súbitamente le llegaron.
Ahora bien, si no se trata de sólo un cliente que realiza la ráfaga de solicitudes, sino de una multitud de clientes, se trata entonces de un DoS distribuído o DDoS.
La solución usual a estos ataques consiste en detener los clientes que han sido infectados intencionalmente para enviar las ráfagas de solicitudes y posteriormente aplicar en ellos una actualización o parche de seguridad.
El IoT o Internet de las Cosas
En un principio los dispositivos conectados al internet eran solamente computadoras fijas. Con el arribo de dispositivos móviles tales como PDAs, teléfonos celulares, laptops y tabletas, se produjo la era del cómputo móvil.
Más recientemente, se dió la tendencia de dotar de "inteligencia” a todo tipo de dispositivos al incorporarles capacidades de procesamiento de datos y de comunicación al internet. Con esto se abre la era del "Internet de Cosas” que en inglés se denomina IoT o Internet of Things.
Hoy en día se encuentran en el mercado una gran variedad de dispositivos de uso cotidiano que pueden conectarse a internet. Se puede ordenar a la cafetera de la oficina que inicie a preparar el café desde que el usuario sale de casa, simplemente con dar la orden desde el teléfono celular. Se puede monitorizar lo que sucede en casa desde la tablet en el cuarto de hotel mientras se está de vacaciones, pues las cámaras de seguridad están conectadas a Internet.
No hay problema si no se dejó programado el DVR (digital video recorder o grabadora de video) para grabar la serie favorita, pues desde la computadora en la oficina se puede enviar la orden de grabarla. Todo esto trae grandes comodidades, aunque no está exento de riesgos.
La gran infección
El problema que se presentó en octubre pasado, del cual expertos tales como Bruce Schneier dicen que se trata solamente del inicio de una tendencia, tiene que ver precisamente con DDoS y el IoT.
Existe un software maligno (malware) llamado Mirai que infecta dispositivos para que luego estos formen parte de una red a control remoto (botnet o red de robots) que puede al unísono lanzar un ataque DDoS contra algún objetivo determinado.
La gravedad del evento de octubre fue, por una parte, que los dispositivos de la botnet incluían cámaras de seguridad, DVRs y otros dispositivos del IoT.
Por otra parte, los servidores que atacaron eran en realidad una especie de controladores de tráfico llamados DNS (Domain Name Servers); estos funcionan como una especie de directorio donde se busca el nombre del servidor buscado para obtener la dirección a donde acudir. Al no haber servicio DNS, los demás servicios que se apoyan en éstos (incluyendo Amazon, Twitter y muchísimos otros) no pueden funcionar de manera adecuada.
Lo grave del caso es que el malware Mirai está disponible libremente para que cualquiera pueda utilizarlo y según los análisis forenses informáticos se trata de código muy simple. Su funcionamiento básico consiste en identificar el tipo de dispositivo, buscar en una base de datos las claves de administrador que vienen de fábrica (y que la gran mayoría de los usuarios nunca cambian) y con ello tener privilegios para dar los comandos necesarios.
Si la tendencia sigue, como se prevé, las siguientes generaciones de código serán más sofisticadas y causarán más daño. Sin embargo, hay algo quizás aún más grave: puesto que los sistemas infectados son dispositivos del IoT, no se les pueden aplicar actualizaciones o parches de seguridad como a las computadoras convencionales por tener su funcionamiento codificado en firmware.
Esto es, a diferencia de las computadoras que cargan su sistema operativo a memoria volátil reprogramable, en los dispositivos con firmware dicha memoria es fija y no se puede reescribir.
¿Será entonces la solución reemplazar tales dispositivos por otros nuevos? difícilmente, pues cuando alguien compra una cafetera, un refrigerador, una cámara de seguridad o cualquier otro aparato doméstico, se piensa en ellos como algo que se quiere utilizar muchos años, hasta que ya no funcione más.
De parte de los fabricantes de los dispositivos, la mayoría no son compañías de software tales como Apple o Microsoft que tienen equipos especializados en seguridad informática; en general se trata de fabricantes de equipo que solo se enfocan en sacar productos al mercado que den el servicio central (vigilar por video, hacer café, etc.) y donde la seguridad es deficiente o nula. Entonces, hay que estar preparados para los DDoS que vienen, pues esta situación va a tardar varios años en resolverse.
*El autor es investigador en el Departamento de Ciencias de la Computación del Cicese.
Ensenada, B. C. | jagm@cicese.mx
En octubre pasado se llevó a cabo uno de los ataques de seguridad más severos en la historia del internet. Esto provocó que se vieran interrumpidos por varias horas servicios populares tales como los brindados por Twitter, Netflix, GitHub, Amazon, Spotify y otros.
Lo novedoso del caso no fue solamente la magnitud del ataque, sino el tipo de dispositivos utilizados para perpetrarlo.
Los ataques DDoS
El modelo básico con el que operan muchos servicios en el internet se llama cliente/servidor. En este modelo existen dispositivos llamados servidores que proveen servicios y otros llamados clientes que consumen o utilizan tales servicios.
Por ejemplo, en el caso del World Wide Web (WWW) existen servidores, normalmente computadoras bien equipadas, que albergan páginas y otra información que es requerida por clientes, los cuales pueden ser teléfonos celulares, tablets, laptops y otros dispositivos.
Un ataque bien conocido a este modelo de operación es el conocido como DoS por las siglas de Denial of Service, o negación de servicio. Lo que sucede en un DoS es que un cliente realiza una gran cantidad de solicitudes de servicio de forma simultánea a un mismo servidor.
Dicho servidor, al verse sobrepasado por la demanda, queda prácticamente inutilizado y no puede dar servicio a otros clientes por tratar de satisfacer las solicitudes que súbitamente le llegaron.
Ahora bien, si no se trata de sólo un cliente que realiza la ráfaga de solicitudes, sino de una multitud de clientes, se trata entonces de un DoS distribuído o DDoS.
La solución usual a estos ataques consiste en detener los clientes que han sido infectados intencionalmente para enviar las ráfagas de solicitudes y posteriormente aplicar en ellos una actualización o parche de seguridad.
El IoT o Internet de las Cosas
En un principio los dispositivos conectados al internet eran solamente computadoras fijas. Con el arribo de dispositivos móviles tales como PDAs, teléfonos celulares, laptops y tabletas, se produjo la era del cómputo móvil.
Más recientemente, se dió la tendencia de dotar de "inteligencia” a todo tipo de dispositivos al incorporarles capacidades de procesamiento de datos y de comunicación al internet. Con esto se abre la era del "Internet de Cosas” que en inglés se denomina IoT o Internet of Things.
Hoy en día se encuentran en el mercado una gran variedad de dispositivos de uso cotidiano que pueden conectarse a internet. Se puede ordenar a la cafetera de la oficina que inicie a preparar el café desde que el usuario sale de casa, simplemente con dar la orden desde el teléfono celular. Se puede monitorizar lo que sucede en casa desde la tablet en el cuarto de hotel mientras se está de vacaciones, pues las cámaras de seguridad están conectadas a Internet.
No hay problema si no se dejó programado el DVR (digital video recorder o grabadora de video) para grabar la serie favorita, pues desde la computadora en la oficina se puede enviar la orden de grabarla. Todo esto trae grandes comodidades, aunque no está exento de riesgos.
La gran infección
El problema que se presentó en octubre pasado, del cual expertos tales como Bruce Schneier dicen que se trata solamente del inicio de una tendencia, tiene que ver precisamente con DDoS y el IoT.
Existe un software maligno (malware) llamado Mirai que infecta dispositivos para que luego estos formen parte de una red a control remoto (botnet o red de robots) que puede al unísono lanzar un ataque DDoS contra algún objetivo determinado.
La gravedad del evento de octubre fue, por una parte, que los dispositivos de la botnet incluían cámaras de seguridad, DVRs y otros dispositivos del IoT.
Por otra parte, los servidores que atacaron eran en realidad una especie de controladores de tráfico llamados DNS (Domain Name Servers); estos funcionan como una especie de directorio donde se busca el nombre del servidor buscado para obtener la dirección a donde acudir. Al no haber servicio DNS, los demás servicios que se apoyan en éstos (incluyendo Amazon, Twitter y muchísimos otros) no pueden funcionar de manera adecuada.
Lo grave del caso es que el malware Mirai está disponible libremente para que cualquiera pueda utilizarlo y según los análisis forenses informáticos se trata de código muy simple. Su funcionamiento básico consiste en identificar el tipo de dispositivo, buscar en una base de datos las claves de administrador que vienen de fábrica (y que la gran mayoría de los usuarios nunca cambian) y con ello tener privilegios para dar los comandos necesarios.
Si la tendencia sigue, como se prevé, las siguientes generaciones de código serán más sofisticadas y causarán más daño. Sin embargo, hay algo quizás aún más grave: puesto que los sistemas infectados son dispositivos del IoT, no se les pueden aplicar actualizaciones o parches de seguridad como a las computadoras convencionales por tener su funcionamiento codificado en firmware.
Esto es, a diferencia de las computadoras que cargan su sistema operativo a memoria volátil reprogramable, en los dispositivos con firmware dicha memoria es fija y no se puede reescribir.
¿Será entonces la solución reemplazar tales dispositivos por otros nuevos? difícilmente, pues cuando alguien compra una cafetera, un refrigerador, una cámara de seguridad o cualquier otro aparato doméstico, se piensa en ellos como algo que se quiere utilizar muchos años, hasta que ya no funcione más.
De parte de los fabricantes de los dispositivos, la mayoría no son compañías de software tales como Apple o Microsoft que tienen equipos especializados en seguridad informática; en general se trata de fabricantes de equipo que solo se enfocan en sacar productos al mercado que den el servicio central (vigilar por video, hacer café, etc.) y donde la seguridad es deficiente o nula. Entonces, hay que estar preparados para los DDoS que vienen, pues esta situación va a tardar varios años en resolverse.
*El autor es investigador en el Departamento de Ciencias de la Computación del Cicese.
...