{"id":6056,"date":"2019-07-04T15:46:27","date_gmt":"2019-07-04T20:46:27","guid":{"rendered":"http:\/\/www.syspertec.com.co\/web\/?p=6056"},"modified":"2019-07-04T15:46:39","modified_gmt":"2019-07-04T20:46:39","slug":"kaspersky-ayuda-a-eliminar-vulnerabilidades-criticas-en-controlador-de-casa-inteligente","status":"publish","type":"post","link":"https:\/\/syspertec.com.co\/web\/kaspersky-ayuda-a-eliminar-vulnerabilidades-criticas-en-controlador-de-casa-inteligente\/","title":{"rendered":"Kaspersky ayuda a eliminar vulnerabilidades cr\u00edticas en controlador de casa inteligente"},"content":{"rendered":"\n

Los investigadores de Kaspersky han identificado varias vulnerabilidades cr\u00edticas en un dispositivo de control para el ecosistema de casas inteligentes. Estas incluyen errores en la infraestructura de la nube y la posible ejecuci\u00f3n a distancia de c\u00f3digo que permitir\u00eda a terceros obtener acceso de \u2018superusuario\u2019 al controlador, as\u00ed como manipular la infraestructura del hogar inteligente de la forma que prefieran. Las conclusiones fueron informadas al proveedor, Fibaro, quien de inmediato se ocup\u00f3 de ellas.<\/p>\n\n\n\n

Han transcurrido varios a\u00f1os desde que se investig\u00f3 por primera vez la seguridad del Internet de las cosas (IoT) y, a medida que su uso contin\u00faa expandi\u00e9ndose y evolucionando, la importancia de dicha investigaci\u00f3n permanece: con nuevos productos y soluciones surgen nuevos vectores de amenazas que ponen en peligro la seguridad de los usuarios. Un empleado de Kaspersky desafi\u00f3 a los investigadores de la compa\u00f1\u00eda a examinar el sistema inteligente de su hogar, concedi\u00e9ndoles acceso al controlador de su casa inteligente. Se escogi\u00f3 el controlador porque conecta y supervisa las operaciones generales en el hogar conectado, y al comprometerlo permitir\u00eda al ciberatacante penetrar en todo el ecosistema de la casa para realizar cualquier cosa, desde espionaje y robo, hasta sabotaje f\u00edsico.<\/p>\n\n\n\n

La etapa inicial de la investigaci\u00f3n, que consisti\u00f3 en recopilar inteligencia, llev\u00f3 a los expertos a identificar varios posibles vectores de ataque: a trav\u00e9s del protocolo de comunicaciones inal\u00e1mbricas Z-Wave, ampliamente utilizado para la automatizaci\u00f3n del hogar; a trav\u00e9s de la interfaz web del panel de administraci\u00f3n; y a trav\u00e9s de la infraestructura de la nube. Este \u00faltimo result\u00f3 el m\u00e1s eficaz para el ataque: un examen de los m\u00e9todos utilizados para procesar las solicitudes del dispositivo revel\u00f3 una vulnerabilidad en el proceso de autorizaci\u00f3n y la posibilidad de ejecuci\u00f3n del c\u00f3digo a distancia.<\/p>\n\n\n\n

Combinados, permitir\u00edan que terceros obtengan acceso a todas las copias de seguridad que se han subido a la nube desde todos los dispositivos de control o home centers de Fibaro, y subir copias de seguridad infectadas a la nube y luego bajarlas a un controlador en particular, a pesar de no tener derechos en el sistema.<\/p>\n\n\n\n

Para completar el experimento, los expertos de Kaspersky implementaron un ataque de prueba en el controlador. Para ello, prepararon una copia de seguridad espec\u00edfica con una secuencia de \u00f3rdenes desarrollada por separado, protegida con una contrase\u00f1a. Luego enviaron un correo electr\u00f3nico y un SMS al propietario del dispositivo a trav\u00e9s de la nube, en los que le instaban a actualizar el firmware del controlador. Como le fue solicitado, la \u2018v\u00edctima\u2019 acept\u00f3 y baj\u00f3 la copia de seguridad infectada. Esto permiti\u00f3 a los investigadores obtener derechos de superusuario en el controlador de la casa inteligente, y as\u00ed manipular el ecosistema conectado. Para demostrar el \u00e9xito de su intrusi\u00f3n en el sistema, los investigadores cambiaron la melod\u00eda en el reloj despertador; al d\u00eda siguiente, el empleado de Kaspersky se despert\u00f3 con m\u00fasica con bajo y bater\u00eda a volumen alto.<\/p>\n\n\n\n

“A diferencia de nosotros, es poco probable que un verdadero atacante con acceso al dispositivo de control se limite a una broma con el reloj despertador. Una de las tareas principales del dispositivo que estudiamos es la integraci\u00f3n de todas las \u2018cosas inteligentes\u2019 de manera que el propietario de la casa pueda gestionarlas desde un solo home center. Un detalle importante es que nuestra evaluaci\u00f3n se enfoc\u00f3 en un sistema de implementaci\u00f3n activa; anteriormente, la mayor parte de la investigaci\u00f3n se llev\u00f3 a cabo en condiciones de laboratorio. La investigaci\u00f3n ha demostrado que, a pesar de un creciente inter\u00e9s por la seguridad del IoT, todav\u00eda hay problemas por resolver. A\u00fan m\u00e1s importante, los dispositivos que estudiamos se producen en masa y se implementan en redes activas de casas inteligentes. Agradecemos a Fibaro por su actitud responsable ante los problemas y por hacer que la casa de nuestro colega sea mucho m\u00e1s segura de lo que era antes de la investigaci\u00f3n”, coment\u00f3 Pavel Cheremushkin, investigador de seguridad de Kaspersky ICS CERT.<\/p>\n\n\n\n

Para mantener los dispositivos seguros, aconsejamos a los usuarios:<\/p>\n\n\n\n