Un ejército de zombies agazapado en la Internet de las Cosas
¿Qué ocurriría si los piratas hackearan cientos de miles de dispositivos simples y autónomos conectados a la Red? Tuvimos la respuesta esta semana
No me preocupa que la maldad humana parezca no tener límites. Me preocupa que sea tan industriosa. Habrán oído hablar de la Internet de las Cosas (IoT, por sus siglas en inglés), uno de los nuevos hechizos tecno, y uno de los más prometedores. En pocas palabras, se refiere a dispositivos sencillos, muchos de uso hogareño, conectados a la Red. Cámaras de seguridad, routers, lavarropas, heladeras, aires acondicionados, incluso cepillos de dientes, balanzas y cafeteras. Es un paso inevitable y excitante: que no ya las computadoras y los móviles estén online, sino prácticamente cualquier cosa con algo de electrónica. E incluso algunas que hoy no tienen ni medio transistor, pero que podrían volverse inteligentes en el futuro. Los zapatos por ejemplo. O las persianas de tu casa.
Desafortunadamente, como ocurre cada vez que aparece una tecnología potencialmente disruptiva, tendemos a pasar por alto su lado oscuro. A las advertencias que varios analistas venimos haciendo desde hace al menos un par de años, vino a sumarse estos días una amenaza concreta y abrumadora. Dicho simple, bandas de piratas informáticos están interviniendo decenas de miles de estos dispositivos de la Internet de las Cosas. Una vez comprometidos, pueden usarlos como un ejército de zombies para ejecutar un Ataque Distribuido de Denegación de Servicio (DDoS, por sus siglas en iniglés) contra sitios Web.
La técnica, de larga data en Internet, ha escalado a números prácticamente incomprensibles. La semana última, como informé aquí, el sitio de Brian Krebs sufrió oleadas de 620 gigabits por segundo (620.000 millones de bits por segundo; Gbps); era el ataque más grande que habíamos visto en la historia de la Red. Pero el récord le duró poco; unos días después, la misma banda se abalanzó sobre el proveedor de hosting francés OVH con un ataque a 990 Gbps. ¿Cómo lograron esa cifra demencial? Aparte de usar técnicas que permiten amplificar el volumen de los ataques, hackearon más de 150.000 cámaras IP y otros dispositivos de la Internet de las Cosas. ¿Por qué utilizaron este método?
La respuesta simple es: porque pudieron. Y pudieron porque, como ocurrió al principio con las computadoras personales, la Web y la movilidad, por citar tres hitos, nos encandilamos con la promesa de estas tecnologías y no pensamos en los riesgos de seguridad. Además, claro, siempre es más barato no ocuparse de la seguridad.
Las primeras PC estaban por completo expuestas a los virus. Todavía no existía Internet para particulares, pero los ataques llegaban en la forma de diskettes y archivos infectados. Luego, cuando nos conectamos, el delgado blindaje que habíamos conseguido, bajo la forma de antivirus, cedió ante el embate de gusanos como el LoveLetter (2000) y el Conficker (2008). Cuando las pérdidas económicas superaron las que podría causar un huracán, las compañías empezaron a hacer las cosas bien.
Pero pronto descubriríamos nuevos flancos expuestos. Por ejemplo, hace escasos 5 años, Facebook, Twitter y Hotmail, entre otros, sólo encriptaban el inicio de sesión. Eso podía ser más o menos seguro en un entorno de redes cableadas. Pero con puntos Wi-Fi abiertos y notebooks y smartphones, el caldo de cultivo quedó a punto para otra crisis. En 2011, el programador Eric Butler demostró, mediante una extensión para Firefox, que bastaba un doble clic para robarse una cuenta de Facebook o Twitter; esa extensión fue descargada más de 1 millón de veces. Sólo entonces estas compañías reaccionaron cifrando toda la sesión.
El mismo patrón, que podría titularse La seguridad es lo último de lo que nos ocupamos, sigue ahora la Internet de las Cosas.
Su protección frente a ataques es muchas veces (demasiadas veces) entre volátil y nula. Una gran cantidad de esos dispositivos no tienen establecida una contraseña o quedan con la de fábrica (que el delincuente, por supuesto, conoce). En no pocas ocasiones tienen activada la administración remota. Carecen de un reaseguro ante ataques de fuerza bruta (Twitter no lo tuvo sino hasta después del desastroso ataque de diciembre de 2009). Sus versiones de software pueden estar desactualizadas. Los errores de configuración, que dejan las puertas abiertas a los piratas, son más bien la regla que la excepción. Pero hay algo que ennegrece más el escenario: los dispositivos IoT necesariamente son muy numerosos y en general no interactuamos con ellos. Mientras haya Wi-Fi en la casa nadie se va a dar cuenta de que quizás el router está invadido. En una notebook tal vez observaríamos algún síntoma, no así en el router. O en la cámara. O en la cafetera. ¿Crema, azúcar y un toque de malware?
All together now
Como casi todo en tecnología, los ataques de denegación de servicio tienen muchos recovecos y bemoles. No entraré en el detalle, porque en este caso no es relevante. Un par de ejemplos históricos servirán para comprender la lógica de la mayoría de los DDoS (no todos). Recordarán lo que le pasó a Twitter cuando murió Michael Jackson. Exacto. Se cayó y apareció la ballenita. O lo que ocurrió con todos los sitios de noticias cuando Francisco fue elegido papa. Eso mismo. Estaban inaccesibles o tardaban demasiado en cargar. ¿Por qué ocurre esto? Porque los sitios reciben tal cantidad de visitas simultáneamente que agotan su ancho de banda. De allí su nombre. La página aparece fuera de servicio y esto ocurre porque cientos de miles, incluso varios millones de personas están solicitando ingresar al sitio. Es involuntario, claro, porque el público no tiene la intención de voltear los servidores.
Esto mismo puede conseguirse usando computadoras comprometidas por medio de un tipo de malware conocido genéricamente como botnet y, de nuevo, echando mano de un número de técnicas. Por ejemplo, es posible usar ciertos servicios normales de la Red para amplificar el volumen del ataque; bien conocidos son NTP (Network Time Protocol, que se usa para sincronizar relojes mediante Internet) y DNS (el servicio de nombres de dominio, esencial para resolver cualquier dirección de la Red).
No más pormenores técnicos, prometido. ¿Dónde entra la Internet de las Cosas? En un renglón que parece muy difícil de ver o de entender: cuando decimos que algo esinteligente significa que es una computadora conectada a la Red. Podrá ser pequeña y con un poder de cálculo limitado, pero sigue siendo una computadora conectada a Internet. Son como hormigas. Una sola no asusta a nadie. Pero ahora son legión. Y la cosa recién empieza. Cinco años atrás, Cisco predijo que en 2020 habrá 50.000 millones de dispositivos IoT. Son muchas hormigas, digamos.
Si con algo más de 150.000 dispositivos intervenidos los vándalos lograron una inundación de casi un terabit por segundo, es una señal bastante contundente de que, si queremos que la IoT sea recordada más por sus beneficios que por haberse convertido en una plaga descontrolada, es hora de dar ese salto cualitativo de seguridad que en su momento alcanzó a las computadoras, la Web y la movilidad. Que, dicho sea de paso, todavía están lejos de ser invulnerables.
Desafortunadamente, como ocurre cada vez que aparece una tecnología potencialmente disruptiva, tendemos a pasar por alto su lado oscuro. A las advertencias que varios analistas venimos haciendo desde hace al menos un par de años, vino a sumarse estos días una amenaza concreta y abrumadora. Dicho simple, bandas de piratas informáticos están interviniendo decenas de miles de estos dispositivos de la Internet de las Cosas. Una vez comprometidos, pueden usarlos como un ejército de zombies para ejecutar un Ataque Distribuido de Denegación de Servicio (DDoS, por sus siglas en iniglés) contra sitios Web.
La técnica, de larga data en Internet, ha escalado a números prácticamente incomprensibles. La semana última, como informé aquí, el sitio de Brian Krebs sufrió oleadas de 620 gigabits por segundo (620.000 millones de bits por segundo; Gbps); era el ataque más grande que habíamos visto en la historia de la Red. Pero el récord le duró poco; unos días después, la misma banda se abalanzó sobre el proveedor de hosting francés OVH con un ataque a 990 Gbps. ¿Cómo lograron esa cifra demencial? Aparte de usar técnicas que permiten amplificar el volumen de los ataques, hackearon más de 150.000 cámaras IP y otros dispositivos de la Internet de las Cosas. ¿Por qué utilizaron este método?
La respuesta simple es: porque pudieron. Y pudieron porque, como ocurrió al principio con las computadoras personales, la Web y la movilidad, por citar tres hitos, nos encandilamos con la promesa de estas tecnologías y no pensamos en los riesgos de seguridad. Además, claro, siempre es más barato no ocuparse de la seguridad.
Las primeras PC estaban por completo expuestas a los virus. Todavía no existía Internet para particulares, pero los ataques llegaban en la forma de diskettes y archivos infectados. Luego, cuando nos conectamos, el delgado blindaje que habíamos conseguido, bajo la forma de antivirus, cedió ante el embate de gusanos como el LoveLetter (2000) y el Conficker (2008). Cuando las pérdidas económicas superaron las que podría causar un huracán, las compañías empezaron a hacer las cosas bien.
Pero pronto descubriríamos nuevos flancos expuestos. Por ejemplo, hace escasos 5 años, Facebook, Twitter y Hotmail, entre otros, sólo encriptaban el inicio de sesión. Eso podía ser más o menos seguro en un entorno de redes cableadas. Pero con puntos Wi-Fi abiertos y notebooks y smartphones, el caldo de cultivo quedó a punto para otra crisis. En 2011, el programador Eric Butler demostró, mediante una extensión para Firefox, que bastaba un doble clic para robarse una cuenta de Facebook o Twitter; esa extensión fue descargada más de 1 millón de veces. Sólo entonces estas compañías reaccionaron cifrando toda la sesión.
El mismo patrón, que podría titularse La seguridad es lo último de lo que nos ocupamos, sigue ahora la Internet de las Cosas.
Su protección frente a ataques es muchas veces (demasiadas veces) entre volátil y nula. Una gran cantidad de esos dispositivos no tienen establecida una contraseña o quedan con la de fábrica (que el delincuente, por supuesto, conoce). En no pocas ocasiones tienen activada la administración remota. Carecen de un reaseguro ante ataques de fuerza bruta (Twitter no lo tuvo sino hasta después del desastroso ataque de diciembre de 2009). Sus versiones de software pueden estar desactualizadas. Los errores de configuración, que dejan las puertas abiertas a los piratas, son más bien la regla que la excepción. Pero hay algo que ennegrece más el escenario: los dispositivos IoT necesariamente son muy numerosos y en general no interactuamos con ellos. Mientras haya Wi-Fi en la casa nadie se va a dar cuenta de que quizás el router está invadido. En una notebook tal vez observaríamos algún síntoma, no así en el router. O en la cámara. O en la cafetera. ¿Crema, azúcar y un toque de malware?
All together now
Como casi todo en tecnología, los ataques de denegación de servicio tienen muchos recovecos y bemoles. No entraré en el detalle, porque en este caso no es relevante. Un par de ejemplos históricos servirán para comprender la lógica de la mayoría de los DDoS (no todos). Recordarán lo que le pasó a Twitter cuando murió Michael Jackson. Exacto. Se cayó y apareció la ballenita. O lo que ocurrió con todos los sitios de noticias cuando Francisco fue elegido papa. Eso mismo. Estaban inaccesibles o tardaban demasiado en cargar. ¿Por qué ocurre esto? Porque los sitios reciben tal cantidad de visitas simultáneamente que agotan su ancho de banda. De allí su nombre. La página aparece fuera de servicio y esto ocurre porque cientos de miles, incluso varios millones de personas están solicitando ingresar al sitio. Es involuntario, claro, porque el público no tiene la intención de voltear los servidores.
Esto mismo puede conseguirse usando computadoras comprometidas por medio de un tipo de malware conocido genéricamente como botnet y, de nuevo, echando mano de un número de técnicas. Por ejemplo, es posible usar ciertos servicios normales de la Red para amplificar el volumen del ataque; bien conocidos son NTP (Network Time Protocol, que se usa para sincronizar relojes mediante Internet) y DNS (el servicio de nombres de dominio, esencial para resolver cualquier dirección de la Red).
No más pormenores técnicos, prometido. ¿Dónde entra la Internet de las Cosas? En un renglón que parece muy difícil de ver o de entender: cuando decimos que algo esinteligente significa que es una computadora conectada a la Red. Podrá ser pequeña y con un poder de cálculo limitado, pero sigue siendo una computadora conectada a Internet. Son como hormigas. Una sola no asusta a nadie. Pero ahora son legión. Y la cosa recién empieza. Cinco años atrás, Cisco predijo que en 2020 habrá 50.000 millones de dispositivos IoT. Son muchas hormigas, digamos.
Si con algo más de 150.000 dispositivos intervenidos los vándalos lograron una inundación de casi un terabit por segundo, es una señal bastante contundente de que, si queremos que la IoT sea recordada más por sus beneficios que por haberse convertido en una plaga descontrolada, es hora de dar ese salto cualitativo de seguridad que en su momento alcanzó a las computadoras, la Web y la movilidad. Que, dicho sea de paso, todavía están lejos de ser invulnerables.
No hay comentarios.:
Publicar un comentario
Nota: sólo los miembros de este blog pueden publicar comentarios.