La "S" de IoT es de Seguridad
Esta semana le toca al IoT, cada vez tenemos más y más dispositivos conectados a la red, y cada vez son más pequeños y variopintos. El título de la entrada es un pequeño chiste, no hay "S" en IoT, igual que parece ser que en IoT no hay mucha seguridad.
Hoy en día nadie se sorprenderá de encontrar en una casa interruptores inteligentes, bombillas wifi, robots aspiradores y hasta cafeteras conectadas.
¿Y quién gestiona la seguridad de todo esto?
Las vulnerabilidades aparecen a diario entre nosotros, incluso en sistemas empresariales bien mantenidos y de fuertes empresas del sector. No es difícil comprender la cantidad de agujeros que se están descuidando con la oleada de dispositivos IoT que estamos sufriendo recientemente.
Un ejemplo:
https://limitedresults.com/2019/01/pwn-the-lifx-mini-white/
Aunque esta vulnerabilidad ya ha sido corregida por parte del fabricante y para explotarla era necesario tener acceso físico al dispositivo, es interesante ver como este investigador es capaz de encontrar hasta 3 vulnerabilidades en una bombilla conectada LIFX.
En un tiempo relativamente corto se identifican 3 vulnerabilidades:
- Las credenciales de la red donde se conecta la bombilla se almacenan en plano en el firmware del dispositivo.
- El sistema integrado en la bombilla no consta de ningún tipo de seguridad, no hay arranque seguro configurado ni cifrado, ni anulación del puerto JTAG.
- Se extraen tanto las claves privadas RSA como el certificado raíz en plano.
Estos son solo algunos de los ejemplos de los “descuidos” en seguridad que el “boom” de la IoT está suponiendo.
Y esto solo es el comienzo… ¡Hasta la próxima!
