‘Capture’ sus dispositivos IoT y mejore su seguridad

Los ciberataques en dispositivos IoT no han mostrado signos de desaceleración a medida que se conocen más y más vulnerabilidades.

Si bien la mayoría de estos ataques ocurren debido a configuraciones incorrectas de los dispositivos o contraseñas débiles, los investigadores de seguridad están preocupados por el uso extensivo de bibliotecas de terceros (colecciones de código que los proveedores pueden usar en el software de sus dispositivos) en lugar de escribir código desde cero. Su pensamiento es: si existen vulnerabilidades de seguridad en estas bibliotecas, todos los proveedores que las utilicen también se verían afectados. En otras palabras, una gran cantidad de dispositivos de IoT pueden verse afectados por vulnerabilidades en bibliotecas de uso común.

«Las bibliotecas vulnerables conducen a dispositivos vulnerables, que amenazan la seguridad general de los hogares de los usuarios», dice Han Zhang, Ph.D. de CyLab. estudiante del Departamento de Informática (CSD).

En el Simposio de seguridad de USENIX de esta semana, Zhang presentó un nuevo estudio que muestra cuán generalizado es este problema. Zhang y sus coautores analizaron 122 firmware de IoT diferentes para 27 dispositivos domésticos inteligentes diferentes, lanzados a lo largo de ocho años. Sus objetivos eran saber qué tan generalizado es el uso de bibliotecas comunes en todos los proveedores de dispositivos, si esas bibliotecas se actualizan para parchear vulnerabilidades y si hubo retrasos significativos en la actualización de esas bibliotecas parcheadas por los proveedores en su propio firmware de dispositivo.

Resulta que el problema es bastante generalizado.

«Descubrimos que los proveedores actualizan las bibliotecas con muy poca frecuencia y utilizan versiones obsoletas, y a menudo vulnerables, la mayor parte del tiempo», dice Zhang.

Los investigadores descubrieron que algunas bibliotecas tenían cientos de días de retraso en la aplicación de parches de seguridad críticos que se pusieron a disposición del público. Zhang dice que depender de proveedores individuales de IoT para actualizar rápidamente las bibliotecas que utilizan es problemático; requiere demasiado esfuerzo pero ofrece muy poco a cambio.

«Pero si no se actualizan», dice Han, «… las bibliotecas vulnerables suponen una gran amenaza para el entorno de IoT doméstico».

Para ayudar a mitigar el desafío de las bibliotecas mal administradas, el equipo propuso un nuevo sistema, «Capture», que permite que los dispositivos de una red local, como una red WiFi doméstica única, aprovechen un concentrador centralizado con bibliotecas que se mantienen actualizadas. Con Capture, dicen los investigadores, la colección de dispositivos inteligentes de una casa siempre estaría funcionando usando bibliotecas actualizadas y seguras.

Los investigadores probaron su sistema y demostraron que varios dispositivos de IoT de ejemplo se pueden modificar con éxito para usar Capture con un cambio mínimo en el rendimiento de los dispositivos.

«Capture puede proporcionar protecciones de seguridad adicionales que actualmente no existen en los entornos domésticos de IoT para prevenir atacantes locales y de Internet», dice Matt Fredrikson de CyLab, profesor de CSD y del Instituto de Investigación de Software (ISR), así como coautor del estudio. .

Los usuarios de dispositivos domésticos inteligentes no solo se beneficiarían del uso de Capture, dice Zhang, sino que los propios proveedores de dispositivos pueden estar incentivados para usarlo porque descarga el mantenimiento de seguridad en el que a menudo fallan de todos modos.

Los investigadores reconocen algunas limitaciones importantes del sistema, como el hecho de que Capture crea un único punto de falla. Estas limitaciones son áreas de trabajo futuro.

«A medida que continuamos implementando una amplia variedad de dispositivos inteligentes en nuestros hogares y oficinas, encontrar formas de garantizar la seguridad y asegurar a los usuarios sobre sus prácticas de privacidad será crucial para la confianza del consumidor y la adopción generalizada», dice Yuvraj Agarwal, profesor de CyLab. en ISR y coautor del estudio.

El código de Capture es de código abierto y está disponible en Github.