IoT Energy Green– ¿Se están fabricando estos productos de forma segura?

Siempre tuve las ganas de algún día, ver todas las cosas conectadas a Internet, hoy este sueño se esta haciendo realidad, cada día sale un nuevo producto que se puede conectar a Internet y la variedad de lo que podemos encontrar esta creciendo a pasos agigantados.

Esto me llevo por curiosidad a enfocarme en los productos de recolección energética y verificar si se programan con seguridad, no hay muchos artículos que hablen sobre este tema y mucho menos podemos encontrar en español.

 Bueno vamos ver de lo que estoy hablando:

 Lo primero que me dedique a resolver en esta mini investigación es buscar que productos IoT dedicados a la energía, podrían conectarse a Internet. Como pueden ver, la pregunta se resuelve de manera muy fácil, ya que solo se necesita un buscador.

 La primera búsqueda fue sobre paneles solares conectados a Internet, lo primero que apareció y me llamo la atención es un producto de marca Sunny.

Ya teniendo el producto, solo quedaba buscarlo en Shodan:

https://www.shodan.io/search?query=Sunny+WebBox

Quede muy impresionado con la búsqueda, ya que aparecieron más de 8.000 dispositivos con esas características.

Luego busque su manual, para ver como funcionaba y de que forma se configuraba.

Manual: http://files.sma.de/dl/4253/SWebBox-BA-US-en-34.pdf

Después de estudiar el equipo, me dispuse a ingresar a un equipo y ver cual es su interfaz:

Vemos que el equipo por lo menos tiene un control de acceso, pero de todas formas entrega información que no debería como la cantidad de energía que almacena. Otra cosa que me llamo la atención es que solo pide una contraseña, esto ayuda a que un atacante pueda hacer un ataque de fuerza bruta y además no bloquea los intentos fallidos lo que es muy malo.

 El siguiente paso fue ver si aun tenía la clave por defecto, como buen estudiante leí el manual y averigüe que la clave por defecto es “sma”.

Como menciono en otros post, los fabricantes del producto piensan que el usuario se va a preocupar de su seguridad y va a cambiar la clave del equipo, según mi experiencia esto casi nunca sucede. Como concejo les digo que cuando fabriquen algo, obliguen, si eso dije, obliguen al usuario a cambiar la contraseña antes de usar el equipo, con esto solucionaríamos gran parte de los problemas en Internet.

Otra búsqueda que realice fue la siguiente:

https://www.shodan.io/search?query=Server%3A+SOLAR+controls+product+server

Buscando encontré este equipo q me llamo la atención, ya que inmediatamente me mostró toda la información que tenia, sin pedirme una autenticación, a esto yo llamo como realizar un software sin pensar en seguridad.

Energía Eólica

De pasar a mirar la energía solar quise verificar la energía eólica realizando y encontré este producto:

 

No dejo la búsqueda en shodan por que es muy fácil llegar a ella, pero cabe mencionar que pasa nuevamente, el mismo problema que veo en la mitad de los productos IoT. Se confían en que nadie va encontrar el sistema por que no conocen la IP, en mi experiencia como profesional, muchas veces me dijeron, Seba, no va a pasar nada, si solamente nosotros conocemos la dirección de la maquina. Aprovecho de decirles a los que leen este Blog, que ese es el argumento mas malo que he escuchado en mi trayectoria como profesional y si realmente se quiere proteger una aplicación tenemos que recurrir a metodologías y buenas practicas, no a la seguridad por oscuridad.

 

Aprovecho de dejar algunas metodologías IoT Security:

OWASP IoT: https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project

FIWARE: http://catalogue.fiware.org/chapter/security

Ante dudas, felicitaciones o quejas mi correo es: cyslabs@gmail.com

Saludos Cordiales.