IoT SmartHouse – Alguien entro a mi casa desde Internet.

Minientrada

IoT SmartHouse – Alguien entro e mi casa desde Internet.

iot-security-thumb

El otro día navegando por Internet y ahora que tengo mucho tiempo libre, me propuse averiguar como va todo lo relacionado a las casas inteligentes (Domotica) y como esta su seguridad. No tarde mucho en encontrar cosas interesantes que les mostrare después de una reflexión.

Soy un convencido de que cada vez que se intenta innovar en algo, nunca esta la preocupación en la seguridad del software, solo esta el interés de que funcione y ojalas sea rápido por que necesito vender.

Algunos se preguntaran cuando lean el artículo y descubran conmigo los fallos de seguridad, como es posible que todavía pasen este tipo cosas en la informática. Mi respuesta es muy simple, los clientes no pedimos seguridad ya que el precio varía considerablemente

No hasta hace mucho, en mi país Chile, no era importante el uso del cinturón de seguridad, en estos momentos es ley y nadie lo discute (todos sabemos que usar cinturón es por nuestro bien), con este hecho intento explicar, que es muy necesario que nuestro poder ejecutivo, legislativo y judicial,  tomen con importancia este tema y creen leyes acorde al tiempo en que estamos viviendo. Ya que los próximos años van a ocurrir robos, daños a propiedad publico/privado, terrorismo y me atrevo a decir hasta muertes, desde la Internet. Aprovecho también de expresar mi descontento con la ley que tenemos actualmente de delitos informáticos, que tiene solo 4 artículos y a mi gusto, están mal redactados, pueden ver la ley en el siguiente link http://delitosinformaticos.com/legislacion/chile.shtml

Por otra parte, cuando un fabricante piensa en un producto, da por hecho de que el usuario final va a ser un experto en seguridad y las medidas de protección las tendrá que tomar el, a esto le llamo tirar transferencia de responsabilidad o dicho en el buen chileno “tirar la pelota”.

 

Bueno vamos a las Pruebas de concepto.

 

Lo primero que se me ocurrió realizar para buscar casas o cosas conectadas a Internet, es utilizar Shodan como herramienta primaria.

 Sitio: https://www.shodan.io

Manual Shodan: https://www.defcon.org/images/defcon-18/dc-18-presentations/Schearer/DEFCON-18-Schearer-SHODAN.pdf

 Mis búsquedas fueron enfocadas a productos SmartHouse y encontré un fabricante llamado INSTEON que vende varios productos.

40

En Shodan la búsqueda seria de la siguiente manera:

https://www.shodan.io/search?query=INSTEON

41

Como se aprecia en la imagen, existen mas de 5.000 productos conectados a Internet, obviamente no todos son vulnerables, pero si alguna de las primeras versiones.

Busque, busque y busque hasta que encontré una serie de estos productos que tenia varias fallas de seguridad. Lo primero que me llamo la atención que el producto no tiene autenticación, simplemente entre a la casa de una persona y podía hacer lo que el programa me permitiera.

42

Accediendo al termostato

43

Apagar y prender electrodomésticos

44

Falta de autorización en la configuración del equipo, se puede modificar a gusto el dispositivo sin pedir permiso a nadie.

45

Y para mi lo mas difícil de creer es que daba la posibilidad de subir un nuevo firmware.

46

Algunos no tan informáticos se preguntaran, que implicancias tendría que el dispositivo permita esta funcionalidad. Mi respuesta es que puedes hacer lo que tú quieras, un ejemplo seria que lo secuestren por algún ransomware, dejo un articulo que habla sobre aquello.

47.JPG

http://www.computerworld.com/article/3105001/security/hackers-demonstrated-first-ransomware-for-iot-thermostats-at-def-con.html

No contento con lo encontrado en mi búsqueda y encontré otras cosas que valen la pena mencionar.

Encontré acuarios conectados a Internet

https://www.shodan.io/search?query=NetBotz

48.JPG

Encontré Termóstato

https://www.shodan.io/search?query=title%3A%22ICY+Clever+Thermostat%22

49.JPG

https://www.shodan.io/search?query=title%3A%22Heatmiser+Wifi+Thermostat%22

50

Acá encontré un investigador que ya hablo de esto:http://cybergibbons.com/security-2/heatmiser-wifi-thermostat-vulnerabilities/

 

Y por ultimo diversos sistemas de proyectos conocidos que incentivan al Internet de las cosas.

Raspbian: es un sistema  operativo basado en Debian y optimizado para la Raspberry Pi  https://www.shodan.io/search?query=Raspbian

 Webiopi: Este es un proyecto para Raspberry Pi Internet of Things Toolkit

https://www.shodan.io/search?query=Server%3A+WebIOPi

 

Hallazgos

Casas inteligentes

51.JPG

Otra casa:

52

Sistema de Garaje

53

Otro mas:

54

Medidores de temperatura

55

Medidores de Energía

57

 

Por ultimo para los que quedaron preocupados, les digo que existen varios proyectos que intentan dar una orientación a como se debe hacer la seguridad en IoT

OWASP IoT: https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project

FIWARE: http://catalogue.fiware.org/chapter/security

Ante dudas , felicitaciones o quejas mi correo es: cyslabs@gmail.com

Saludos Cordiales.

Deja un comentario