Pasar al contenido principal

Se encuentra usted aquí

Noticias

Qué pasó cuando un solo hombre puso a prueba todo Internet

07/05/2013 10:10
Read in
Un experimento científico casero que tanteó a miles de millones de dispositivos conectados a Internet, revela que miles de sistemas industriales y empresariales ofrecen acceso remoto a cualquiera.
0
Votar
0 Comentarios


POR TOM SIMONITE | TRADUCIDO POR LÍA MOYA (OPINNO)

 

Probablemente no hayas oído hablar de HD Moore pero hasta hace un mes, una pila de ordenadores recalentados que ocupaban su cuarto de invitados, contactaban tres veces al día con todos los dispositivos conectados a Internet del mundo, puede que incluso alguno que tengas en casa. "Tengo muchos equipos de aire acondicionado para asegurarme de que mi casa no sale ardiendo", afirma Moore, que es director de investigación en la empresa de seguridad informática Rapid7. En febrero del año pasado decidió llevar a cabo un censo personal de todos los dispositivos conectados a Internet como hobby. "Este no es mi trabajo, es lo que hago para divertirme", afirma.


De momento, Moore ha puesto esa diversión en espera. "Ha provocado unas cuantas quejas, correos de odio y llamadas de las agencias de seguridad", explica. Pero los datos recogidos han revelado algunos problemas graves de seguridad y expuesto a algunos negocios y sistemas industriales vulnerables que se usan para controlarlo todo, desde los semáforos hasta la infraestructura eléctrica.


El censo de Moore consistía en enviar mensajes sencillos automatizados a cada una de las 3.700 millones de direcciones IP asignadas a los aparatos conectados a Internet en todo el mundo (Google, en comparación, recoge la información pública que ofrecen los sitios web). Gran parte de los dos terabytes (2.000 gigabytes) de respuestas que recibió Moore de 310 millones de IPs indicaban que provenían de aparatos vulnerables a fallos conocidos o que estaban configurados de tal forma que cualquier podía hacerse con su control.

Mapa de la investigación de Moore


En mayo, Moore publicó los resultados sobre un segmento especialmente preocupante de esos dispositivos vulnerables: aquellos que parecen ser de empresas y sistemas industriales. Más de 114.000 de esas conexiones de control aparecían como conectadas a Internet y con fallos de seguridad conocidos. A muchos de ellas se podía acceder usando las contraseñas instaladas por defecto en los programas y 13.000 ofrecían acceso directo a través de un comando sin necesidad siquiera de usar una contraseña.


Moore afirma que esas cuentas vulnerables ofrecen a los atacantes oportunidades significativas, incluyendo la de reiniciar los servidores y sistemas informáticos de las empresas, acceder a los registros de aparatos médicos y de datos de consumidores e incluso conseguir acceder a sistemas de control industrial en fábricas o en la infraestructura eléctrica. Los últimos hallazgos de Moore se ven apoyados por una serie de datos parecida publicada por un hacker anónimo en abril, recogida comprometiendo 420.000 piezas de hardware de red.


Las conexiones que buscaba Moore se conocen como servidores serie, usados para conectar a Internet aparatos que no tienen esa funcionalidad incorporada. "Los servidores serie funcionan como pegamento entre sistemas arcaicos y el mundo en red", explica Moore. "Están exponiendo a muchas organizaciones a posibles ataques". Moore no sabe si los fallos que ha descubierto ya están siendo explotados, pero ha hecho públicos los detalles sobre cómo las empresas pueden escanear sus sistemas en busca de los problemas que ha descubierto.

Servidores inseguros


Joel Young, director tecnológico de Digi International, fabricante de muchos de los servidores serie inseguros que halló Moore, agradeció la investigación, afirmando que había ayudado a su empresa a entender cómo estaba usando la gente sus productos. "Algunos clientes que compran e instalan nuestros productos no han seguido una política o práctica de seguridad adecuada, afirma Young. "Tenemos que hacer una labor educativa más proactiva sobre seguridad para nuestros clientes".


Young explica que su empresa vende un servicio en nube que puede dar a sus productos una conexión segura, privada, fuera del Internet público. Sin embargo, también explica que Digi seguirá vendiendo productos con contraseñas por defecto porque facilita la instalación inicial y hace que sea más probable que los clientes instalen sus propias contraseñas. "No he encontrado una forma mejor de hacerlo", sostiene.


Billy Rios, investigador en seguridad que trabaja en sistemas de control industriales en la start-up de seguridad Cylance, afirma que el proyecto de Moore proporciona cifras muy valiosas para cuantificar la escala de un problema conocido por los expertos como él, pero que las empresas en situación de riesgo no saben valorar adecuadamente.


Rios explica que, en su experiencia, los sistemas usados por instalaciones más "críticas", como las de infraestructura energética, tienen las mismas probabilidades de ser vulnerables a un ataque que aquellos usados para labores como controlar las puertas en una pequeña oficina. "Están usando los mismos sistemas", afirma.


Retirar los servidores serie del Internet público para que se tenga que acceder a ellos a través de una conexión privada podría prevenir muchos de los ataques más fáciles, afirma Rios, pero los atacantes aún podrían usar varias técnicas para robar las credenciales necesarias para acceder.


El nuevo trabajo suma información a otros hallazgos significativos producidos por el curioso hobby de Moore. Unos resultados que publicó en enero demuestran que alrededor de 50 millones de impresoras, consolas de videojuegos, routers y discos de archivo en red están conectados a Internet y son fáciles de comprometer debido a fallos conocidos en un protocolo denominado Universal Plug and Play (UPnP). Este protocolo permite a los ordenadores encontrar las impresoras de forma automática, pero también viene incorporado en algunos aparatos de seguridad, routers de banda ancha y sistemas de almacenamiento de datos y podría estar poniendo en riesgo información valiosa.


Los datos recogidos por la encuesta de Moore también han ayudado a sus compañeros de Rapid7 a identificar cómo las agencias policiales y de inteligencia usaron un software llamado FinFisher para espiar a activistas políticos. También ha servido para desenmascarar la estructura de control de una larga campaña llamada Red October que se infiltró en numerosos sistemas gubernamentales europeos.


Moore cree que la industria de la seguridad está pasando por alto algunos problemas graves y básicos de seguridad al centrarse principalmente en los ordenadores usados por los empleados de la empresa. "Me ha quedado muy claro que tenemos problemas mucho más gordos", afirma Moore. "Existen problemas fundamentales sobre cómo usamos Internet hoy". Quiere conseguir que más personas trabajen en arreglar las puertas traseras que están poniendo en peligro a las empresas.


Sin embargo, Moore no tiene planes de volver a poner a prueba todo Internet. Las abultadas facturas eléctricas y de Internet e incidentes como que el Equipo de Respuesta Informática de Emergencia del gobierno chino pidiera a las autoridades de Estados Unidos que impidieran que Moore "hackeara todas sus cosas" le han convencido de que ha llegado el momento de encontrar un hobby nuevo. Sin embargo, con montones de datos aún por analizar, probablemente aún le queden cosas por revelar sobre el estado real de la seguridad en línea, afirma Moore: "Estamos sentados sobre montañas de nuevas vulnerabilidades".