La indústria de les coses a Internet ens ha fallat | eddy màx

El passat cap de setmana, Internet nord-americà es va reduir a un rastreig gràcies a un atac de denegació distribuïda de servei o DDOS. Va ser un atac interessant per dos motius. Primer, els atacants, siguin qui siguin, no van inundar un sol lloc web amb peticions de brossa, com és el MO habitual dels atacs de DDOS. En lloc d'això, van anar després del proveïdor de DNS Dyn, el que va fer que nombrosos llocs web tinguessin lloc a un rastreig o deixessin de funcionar completament. Les advertències sobre la sobrecentralització de la infraestructura DNS es van fer de sobte interessants.

El segon, i més important, és que una part important dels dispositius implicats en l'atac de DDoS eren els anomenats dispositius intel·ligents d'Internet de les coses. Normalment, els atacants difonen programari maliciós a través d’ordinadors que després seguiran el comandament de l’atacant i alhora sol·liciten informació als llocs web fins que el lloc s’aborda sota la càrrega. Però aquesta vegada, el tremolor protector de zombis digital incloïa càmeres de seguretat i encaminadors sense fil.

La tetera ho va fer

Al centre de l’atac es trobava Mirai, que no és un programari maliciós especialment exòtic. Busca els dispositius connectats a la xarxa de què sembla que siguin dispositius IoT de Linux, que aparentment afavoreixen càmeres de seguretat i encaminadors domèstics de la tecnologia Hangzhou Xiongmai. A continuació, es troba la contrasenya per defecte en una taula i s’inicia la sessió. Un cop dins, es lliura el control del dispositiu a un servidor de comandaments i control central.

Tot i que aquest atac va ser impactant en el que va aconseguir, per desgràcia no hem vist res. A la conferència de Black Hat el 2013, Craig Heffner va demostrar la capacitat de fer-se càrrec de les càmeres de seguretat connectades a la xarxa fàcilment. La seva demostració va incloure empreses de grans noms que reconeixeríeu, com ara D-Link, Linksys, Cisco, IQInvision i 3SVision. Quan se li va preguntar quins dispositius eren vulnerables a l’atac, va dir que no havia trobat cap marca que no es pogués controlar.

Per a la seva demostració, Heffner va enganyar la càmera perquè mostrés un vídeo en bucle, com en una pel·lícula clàssica. Però la substància real de la seva xerrada era molt més greu. Dispositius IoT com càmeres de seguretat, bullidors de tè, nevera i, sí, fins i tot els enrutadors sense fils són només petits ordinadors connectats a Internet. Si els atacants volen dirigir-se específicament a una persona o a una empresa, poden atacar aquests dispositius mal defensats i utilitzar-los com a cap de platja per explorar la resta de la xarxa de la víctima. I perquè són ordinadors minúsculs, es poden concebre amb facilitat l'execució del codi que desitgi l'atacant.

Penseu-hi així: podeu comprar les portes més fortes amb els millors panys impecables per protegir la vostra casa, però un lladre encara pot entrar per les finestres.

IoT és diferent

A la indústria de la seguretat, ens agrada culpar a la gent, no als ordinadors. Si la gent hagués estat més alerta, potser haurien agafat l’error Heartbleed abans que fins i tot la presentessin. Una dita popular és que el major punt de fracàs en qualsevol sistema de seguretat és entre l’ordinador i la cadira. Per exemple: el pirateig del compte de Gmail, de la presidenta de la campanya de Hillary Clinton, que va introduir-nos a la recepta del risotto, entre altres coses, va començar amb una estafa de phishing.

Però en el cas de la seguretat IoT, els consumidors no es poden fer responsables de la mateixa manera. Com a propietari del cotxe, per exemple, heu de tenir precaució durant la conducció i proporcionar un manteniment raonable. Al seu torn, l'empresa d'automòbils li ha de proporcionar un producte que realment no us matarà.

A mesura que la nostra societat va canviar, també ho van fer les expectatives dels consumidors. Els defensors dels consumidors assenyalen que alguns cotxes no eren "segurs a qualsevol velocitat". I com una criatura en evolució, els cotxes van brotar nous apèndixs: cinturons de seguretat, airbags i característiques menys evidents com zones desbordades i materials especialment dissenyats per tal de mantenir els consumidors raonablement segurs en un món canviant.

El mateix passa amb la tecnologia de consum. La proliferació de programari maliciós i els perills que apareixen a qualsevol dispositiu que només es connecta a Internet, han empès els fabricants a tenir un paper més actiu en la protecció dels consumidors. Windows, per exemple, ara s’envia amb antivirus instal·lat i mantingut per Microsoft. L’empresa també emet pegats de forma regular perquè els reptes que tenen els consumidors són massa complexos perquè puguin afrontar-los pel seu compte.

Quan els telèfons intel·ligents van començar a enlairar-se, els fabricants i desenvolupadors van aprendre de les proves dels anys de PC. Tot i que la seguretat mòbil ha tingut alguns cops en el camí, ha estat una passarel·la en comparació amb la història del vostre ordinador. No hem tingut aquest tipus d'infecció generalitzada als telèfons intel·ligents que vam veure amb Conficker, i esperem que no ho faci mai.

La història de IoT va representar un curs diferent, potser un que utilitzava un peix d'or com a navegador. En lloc de controlar l'accés al dispositiu i utilitzar les millors pràctiques apreses en connectar milers de milions d'ordinadors i telèfons al llarg de dècades, els fabricants van llançar al mercat productes barats. Equips que han estat dissenyats, en alguns casos, per a no ser atesos, actualitzats ni pegats mai. I fins i tot si es podrien abordar problemes, és indubtable que no sigui raonable esperar que els individus tractin els dispositius d’estalvi de treball de la mateixa manera que ho fan els ordinadors. La gran majoria dels consumidors assumeixen, i amb raó, que si un dispositiu no té una pantalla ni un mètode d’introducció d’alguns mètodes, no està pensat per ser atès per ells.

Això no devia passar

La part més frustrant del recent atac de DDoS és que els fabricants de IoT només van necessitar mirar els 30 anys de tecnologia dels consumidors per veure l'escriptura proverbial a la paret. I si no ho poguessin fer, podrien haver estat atents a les advertències dels investigadors en seguretat (hackers corporatius i aficionats per igual). Aquestes persones han explicat a qualsevol que escolti com posar una quantitat de milions de dispositius a Internet sense tenir en compte com es farà servir és una mala idea. El 2014, Dan Geer va obrir la conferència de Black Hat dient que el IoT ja està sobre nosaltres i que pot comportar problemes.

Malgrat els millors esforços per mantenir-me cínic, IoT se sent inevitable i convincent. La ciència-ficció ens ha promès parlant d'ordinadors i aparells futuristes des de fa dècades, i potser és per això que la previsió de Gartner que hi haurà 6.400 milions de dispositius connectats a Internet fins al 2020 semblen factibles. Aquests dispositius ja són a casa nostra: caixes de streaming, consoles de jocs, encaminadors sense fil. Als ulls dels atacants i els atacs automatitzats, només hi ha més adreces IP a explotar.

A mesura que ens avançem en les vacances i ens avançem en una nova generació de dispositius IoT, posem una seguretat que està pensada per ser entesa pels usuaris en primer lloc. Si el 2020 el millor consell que tinc que oferir a la gent és desconnectar els seus dispositius intel·ligents, aquesta indústria no mereix la seva reputació d’innovació ni tan sols d’intel·ligència.