TecTop
Crédito: Unsplash/CC0 Dominio público
Cada vez son más los dispositivos de los que nos rodeamos a diario conectados a Internet. Esto los hace no solo inteligentes, sino también vulnerables a ciberataques y actos delictivos.
En poco tiempo, es posible que tengamos refrigeradores inteligentes que nos ayuden a realizar un seguimiento de los alimentos que están a punto de caducar y cuándo comprarlos. ¿Cómo podría ser esto dañino? ¿A quién le interesaría saber la fecha de caducidad de su leche o controlar su inventario de alimentos?
Cuando lo piensa, los objetos cotidianos en un hogar inteligente moderno procesan una gran cantidad de datos que probablemente no desee compartir con todos y cada uno.
Tu termostato, por ejemplo, podría darte pistas sobre cuándo estás fuera de casa. Su equipo de fitness a menudo almacena información sobre su salud y la de su familia.
Y como demostró recientemente un desarrollador de software estadounidense, su altavoz inteligente puede tener agujeros de seguridad que permitan espiar sus conversaciones privadas.
En las manos equivocadas, esta información puede ser mal utilizada para todo, desde robo hasta robo de identidad y extorsión. Los dispositivos inteligentes están llegando cada vez más a las grandes empresas e instituciones gubernamentales, una tendencia que no hace que la situación sea menos grave.
La automatización del hacking ético parece más prometedora
El trabajo de descubrir agujeros de seguridad en los sistemas informáticos lo llevan a cabo hoy en día en gran medida de forma manual los llamados probadores de penetración o piratas informáticos éticos. Este es un trabajo costoso y que requiere mucho tiempo, y los resultados dependen completamente de la experiencia del probador individual.
Muchas personas, por lo tanto, han querido automatizar el proceso. Este objetivo ha resultado ser una tarea mucho más difícil de lo imaginado, especialmente en relación con los dispositivos inteligentes.
Investigadores de NTNU en Gjøvik publicaron recientemente un artículo en la revista Sensores. Además de informar sobre su progreso en la automatización de las pruebas de seguridad en dispositivos inteligentes, los investigadores también revelaron que los dispositivos críticos en el transporte marítimo todavía se fabrican con agujeros de seguridad bien conocidos.
Multitud de dispositivos inteligentes complican las cosas
En principio, las pruebas de seguridad de los dispositivos inteligentes no difieren de las pruebas de cualquier otro sistema informático. El problema con los dispositivos inteligentes es su gran cantidad de aplicaciones diferentes. Las tecnologías pueden variar considerablemente y, a menudo, tienen áreas de uso muy diferentes.
«Se ha creado un altavoz inteligente con tareas completamente diferentes en mente que un termostato inteligente. Sus vulnerabilidades pueden estar vinculadas a sus propias funciones, sensores u otros componentes completamente únicos que un termostato inteligente no tiene», dice Basel Katt, profesor asociado. en el Departamento de Seguridad de la Información y Tecnología de la Comunicación de la NTNU en Gjøvik.
«Los dispositivos inteligentes usan muchos protocolos diferentes», dice el investigador, «y tienen muchos conjuntos de reglas específicas para comunicarse entre los sistemas informáticos».
Por lo tanto, las herramientas que se han desarrollado para probar automáticamente la seguridad hasta ahora han tenido un uso limitado en dispositivos inteligentes. En su mayoría, se han utilizado para tareas muy específicas, generalmente solo como parte de un proceso manual, y no han funcionado tan bien como los probadores humanos.
Los investigadores de NTNU han desarrollado un sistema que se basa en varias herramientas existentes y las combina en ataques de simulación coordinados en dispositivos inteligentes.
Han desarrollado un agente de software independiente basado en trabajo previo por Fartein Lemjan Færøy, posdoctorado Muhammad Mudassar Yamin y Katt.
Un agente de software independiente es un programa informático que reacciona a los cambios y eventos en el entorno en el que se encuentra, con total independencia de las instrucciones directas de los humanos. En cambio, actúa de acuerdo con un modelo de decisión predeterminado. El modelo en cuestión en este caso fue desarrollado por Yamin y Katt para especificar el comportamiento de un agente software, especialmente en rangos cibernéticos.
Gama cibernética: para entrenamiento
Expliquemos: un rango cibernético es un campo de entrenamiento virtual que brinda a los usuarios y sistemas la oportunidad de probarse a sí mismos contra ataques informáticos simulados en condiciones controladas, similar a un campo de entrenamiento militar.
Katt explica que un sistema de prueba automatizado podría cubrir varios roles en un rango cibernético y potencialmente hacer que tales ejercicios consuman menos tiempo y recursos.
Además, cree que dicho sistema podría ser de gran utilidad tanto para desarrollar y producir nuevos dispositivos inteligentes, como para la enseñanza y la investigación.
«El sistema de prueba puede demostrar diferentes formas de piratería y cómo se pueden explotar las vulnerabilidades», dice Katt. «También se puede usar para mostrar a los estudiantes las consecuencias de varias vulnerabilidades».
Poner el dispositivo fuera de juego
Los investigadores describen en su artículo técnico cómo prueban su sistema de prueba automatizado en una unidad AIS. AIS significa «sistema de identificación automática». Esta es una tecnología ampliamente utilizada en el transporte marítimo que comunica información importante sobre los barcos a la Administración Costera de Noruega y otros barcos y puertos cercanos.
Muchas embarcaciones de recreo noruegas están equipadas con transmisores AIS, y la tecnología se requiere a bordo de embarcaciones más grandes, como yates, cruceros y cargueros. Los transmisores también deben estar operativos en todo momento.
«Descubrir que el sistema de prueba automatizado podría desactivar con relativa facilidad un sistema AIS costoso y ampliamente utilizado fue un gran descubrimiento en sí mismo», dice Katt.
El nivel de gravedad aumentó considerablemente cuando los investigadores descubrieron que la conexión también podía ser «falsificada».
La suplantación de identidad es cuando una persona o un programa informático se hace pasar por otra persona mediante el uso de datos falsificados. En un contexto marítimo, esto podría tomar la forma de que alguien envíe señales de GPS falsas a través del sistema AIS. Los peores escenarios podrían llevar a encallar o colisionar con otros barcos o puertos.
El fabricante del producto AIS en cuestión probablemente podría haber detectado y rectificado la debilidad hace mucho tiempo si hubiera tenido acceso a un sistema de prueba similar durante la fase de desarrollo y producción.
Todavía un camino por recorrer
A pesar de los resultados prometedores, Katt enfatiza que el trabajo de automatización de la piratería ética en dispositivos inteligentes está lejos de terminar.
«Aún se necesita un progreso significativo en el trabajo con el intercambio de información a través de diferentes protocolos, para desarrollar un sistema completamente funcional que pueda descubrir agujeros de seguridad en dispositivos inteligentes con una mínima intervención humana», dice Katt.
Más información:
Fartein Færøy et al, Verificación y ejecución automáticas de ataques cibernéticos en dispositivos IoT, Sensores (2023). DOI: 10.3390/s23020733
Citación: Cuando tu casa difunde chismes sobre ti (2 de mayo de 2023) recuperado el 2 de mayo de 2023 de https://techxplore.com/news/2023-05-house-gossip.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
