IoT SmartHouse – Alguien entro e mi casa desde Internet.
El otro día navegando por Internet y ahora que tengo mucho tiempo libre, me propuse averiguar como va todo lo relacionado a las casas inteligentes (Domotica) y como esta su seguridad. No tarde mucho en encontrar cosas interesantes que les mostrare después de una reflexión.
Soy un convencido de que cada vez que se intenta innovar en algo, nunca esta la preocupación en la seguridad del software, solo esta el interés de que funcione y ojalas sea rápido por que necesito vender.
Algunos se preguntaran cuando lean el artículo y descubran conmigo los fallos de seguridad, como es posible que todavía pasen este tipo cosas en la informática. Mi respuesta es muy simple, los clientes no pedimos seguridad ya que el precio varía considerablemente
No hasta hace mucho, en mi país Chile, no era importante el uso del cinturón de seguridad, en estos momentos es ley y nadie lo discute (todos sabemos que usar cinturón es por nuestro bien), con este hecho intento explicar, que es muy necesario que nuestro poder ejecutivo, legislativo y judicial, tomen con importancia este tema y creen leyes acorde al tiempo en que estamos viviendo. Ya que los próximos años van a ocurrir robos, daños a propiedad publico/privado, terrorismo y me atrevo a decir hasta muertes, desde la Internet. Aprovecho también de expresar mi descontento con la ley que tenemos actualmente de delitos informáticos, que tiene solo 4 artículos y a mi gusto, están mal redactados, pueden ver la ley en el siguiente link http://delitosinformaticos.com/legislacion/chile.shtml
Por otra parte, cuando un fabricante piensa en un producto, da por hecho de que el usuario final va a ser un experto en seguridad y las medidas de protección las tendrá que tomar el, a esto le llamo tirar transferencia de responsabilidad o dicho en el buen chileno “tirar la pelota”.
Bueno vamos a las Pruebas de concepto.
Lo primero que se me ocurrió realizar para buscar casas o cosas conectadas a Internet, es utilizar Shodan como herramienta primaria.
Sitio: https://www.shodan.io
Manual Shodan: https://www.defcon.org/images/defcon-18/dc-18-presentations/Schearer/DEFCON-18-Schearer-SHODAN.pdf
Mis búsquedas fueron enfocadas a productos SmartHouse y encontré un fabricante llamado INSTEON que vende varios productos.
En Shodan la búsqueda seria de la siguiente manera:
https://www.shodan.io/search?query=INSTEON
Como se aprecia en la imagen, existen mas de 5.000 productos conectados a Internet, obviamente no todos son vulnerables, pero si alguna de las primeras versiones.
Busque, busque y busque hasta que encontré una serie de estos productos que tenia varias fallas de seguridad. Lo primero que me llamo la atención que el producto no tiene autenticación, simplemente entre a la casa de una persona y podía hacer lo que el programa me permitiera.
Accediendo al termostato
Apagar y prender electrodomésticos
Falta de autorización en la configuración del equipo, se puede modificar a gusto el dispositivo sin pedir permiso a nadie.
Y para mi lo mas difícil de creer es que daba la posibilidad de subir un nuevo firmware.
Algunos no tan informáticos se preguntaran, que implicancias tendría que el dispositivo permita esta funcionalidad. Mi respuesta es que puedes hacer lo que tú quieras, un ejemplo seria que lo secuestren por algún ransomware, dejo un articulo que habla sobre aquello.
No contento con lo encontrado en mi búsqueda y encontré otras cosas que valen la pena mencionar.
Encontré acuarios conectados a Internet
https://www.shodan.io/search?query=NetBotz
Encontré Termóstato
https://www.shodan.io/search?query=title%3A%22ICY+Clever+Thermostat%22
https://www.shodan.io/search?query=title%3A%22Heatmiser+Wifi+Thermostat%22
Acá encontré un investigador que ya hablo de esto:http://cybergibbons.com/security-2/heatmiser-wifi-thermostat-vulnerabilities/
Y por ultimo diversos sistemas de proyectos conocidos que incentivan al Internet de las cosas.
Raspbian: es un sistema operativo basado en Debian y optimizado para la Raspberry Pi https://www.shodan.io/search?query=Raspbian
Webiopi: Este es un proyecto para Raspberry Pi Internet of Things Toolkit
https://www.shodan.io/search?query=Server%3A+WebIOPi
Hallazgos
Casas inteligentes
Otra casa:
Sistema de Garaje
Otro mas:
Medidores de temperatura
Medidores de Energía
Por ultimo para los que quedaron preocupados, les digo que existen varios proyectos que intentan dar una orientación a como se debe hacer la seguridad en IoT
OWASP IoT: https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project
FIWARE: http://catalogue.fiware.org/chapter/security
Ante dudas , felicitaciones o quejas mi correo es: cyslabs@gmail.com
Saludos Cordiales.