Internet of Things (IoT) y Riesgos de su Evolucion

Actualmente, es difícil leer cualquier periódico o sitio web de tecnología que no haga referencia al Internet de las cosas (IoT), desde los fabricantes de automóviles a empresas de electrodomésticos. A pesar de toda la fanfarria, la IoT es un avance real y viable para conectar diferentes dispositivos y datos dispersos.

Es un concepto un poco abstracto pero que ha estado ganando bastante popularidad en los últimos años. La idea que intenta representar queda bastante bien ilustrada por su nombre, cosas cotidianas que se conectan al Internet, pero en realidad se trata de mucho más que eso.

Para entender de qué va el Internet de las cosas debemos también comprender que sus fundamentos no son en lo absoluto nuevos. Desde hace unos 30 años que se viene trabajando con la idea de hacer un poco más interactivos todos los objetos de uso cotidiano. Ideas como el hogar inteligente, también conocido como la casa del mañana, han evolucionado antes de que nos demos cuenta en el hogar conectado para entrar al Internet de las cosas.

El Internet de las cosas potencia objetos que antiguamente se conectaban mediante circuito cerrado, como comunicadores, cámaras, sensores, y demás, y les permite comunicarse globalmente mediante el uso del internet.

Si tuviéramos que dar una definición del Internet de las cosas probablemente lo mejor sería decir que se trata de una red que interconecta objetos físicos valiéndose del Internet. Los mentados objetos se valen de sistemas embebidos, o lo que es lo mismo, hardware especializado que le permite no solo la conectividad al Internet, sino que además programa eventos específicos en función de las tareas que le sean dictadas remotamente.

¿Cómo funciona el Internet de las cosas?

¿Qué es y cómo funciona el Internet de las cosas?

No hay un tipo específico de objetos conectados al Internet de las cosas. En lugar de eso se les puede clasificar como objetos que funcionan como sensores y objetos que realizan acciones activas. Claro, los hay que cumplen ambas funciones de manera simultánea.

En cualquier caso el principio es el mismo y la clave es la operación remota. Cada uno de los objetos conectados al Internet tiene una IP especifica y mediante esa IP puede ser accedido pare recibir instrucciones. Así mismo, puede contactar con un servidor externo y enviar los datos que recoja.

Se supone que este entramado será para bien. Combinada con lo que se conoce como Datos A Gran Escala (Big Data, en inglés), la IoT ayudará a pronosticar mejor el tiempo, a prevenir y luchar contra las enfermedades, a reducir nuestro apocalíptico gasto energético y a doblegar el descontrolado tránsito urbano. Tendrá un rol en alertar sobre catástrofes naturales y cooperará con la seguridad pública, la educación, el comercio, la economía y las finanzas. No es chiste.

Inevitable

¿Qué es y cómo funciona el Internet de las cosas?

Pero hay algo más, mucho más importante. La Internet de las Cosas es inevitable. No se trata de una moda o un invento divertido. Es el siguiente paso lógico en la evolución de las tecnologías del cómputo y las comunicaciones digitales. Como los robots o la inteligencia artificial, la Internet de las Cosas no es opcional. Al ritmo que vamos, es una de las tecnologías con mayor potencial disruptivo y de creación de riqueza de la historia reciente. Que las cosas se vuelvan inteligentes y hablen entre ellas y con centros de datos.

Una mala decisión

El primero tiene que ver con la autonomía que les concederemos a las cosas conectadas. Pero, para abreviar, no queremos, de momento, que la IoT haga cosas sin preguntar. Concederle esta autonomía debería ser un proceso lento, en entornos muy controlados y con regulaciones razonables y prudentes.

Creo que hackearon tu cafetera

El segundo riesgo está relacionado con la burda y brutal inseguridad informática en la que vivimos inmersos. Dicho simple, un atacante podría aprovechar una falla de seguridad en una cosa inteligente y obligarla a hacer algo disparatado. Con un cepillo de dientes no hay demasiado de qué preocuparse. Muy diferente sería si se tratara de una tostadora de pan o una caldera. Supongamos que logro hackear el aire acondicionado de mi vecino, con quien me llevo mal y acaba de irse un mes de vacaciones. Supongamos que le pongo el aire a 16 todo el mes, 24 horas por día. Supongamos que, ya que estoy, como la vulnerabilidad del aire acondicionado está también presente en el sistema operativo del lavarropas, ejecuto 15 lavados por día, con secado por calor. Pobre hombre, cuando regrese, descubrirá que no le alcanzan los salarios de todo el año para pagar la cuenta de la luz.

Esta es la razón por la que el Instituto de Ingeniería Eléctrica y Electrónica (IEEE) se preguntaba estos días si acaso la IoT no necesitará un laboratorio independiente de certificación, equivalente al UL, pero relacionado con la seguridad informática.

Pese a lo que se cree, las vulnerabilidades críticas no son la excepción, son la regla. Todos los días se anuncian varias fallas de seguridad en dispositivos un millón de veces más cruciales que una tostadora. Routers de Internet, servidores Web, servidores de autenticación, bibliotecas de lenguajes de programación que afectan a decenas de miles de aplicaciones, y así.

Hace poco, lograron tomar el control de un auto inteligente de forma remota y el conductor (un voluntario, redactor de la revista Wired) terminó asustado y en la banquina. Por este motivo, el fabricante, Fiat Chrysler, debió retirar del mercado 1,4 millón de vehículos de sus marcas para revisar su software.

Eh aqui el video de la toma de control del vehiculo (En Ingles):


Charlie Miller, ingeniero de seguridad de Twitter, y Chris Valasek, ingeniero de la consultora de seguridad IOActive, fueron los dos atacantes que consiguieron convertirse en dueños y señores de un Jeep Cherokee de 2014, y que aparentemente pueden replicar el experimento en otros vehículos de Fiat Chrysler.

El experimento comenzó con ambos hackers conectados a una conexión inalámbrica a más de 15 kilómetros de la autopista por la que circulaba el conductor de Wired, que no sabía qué acciones tenían previstas los expertos en seguridad informática.

Dadas las condiciones de seguridad informáticas actuales, el caldo de cultivo que se cocinaría con la IoT es alarmante. No importa el sistema operativo, no importa la aplicación, todo lo digital es vulnerable a ataques. Si además de recolectar y transmitir la información, la Internet de las Cosas obtiene permiso para hacer algo, entonces un ataque sobre objetos peligrosos (un auto, por caso) podría costar vidas. Es una de las conclusiones del IEEE.

Te estamos observando

El tercer riesgo lesiona el corazón mismo de la privacidad. Hace justo un año Samsung tuvo un par de semanas agitadas cuando se descubrió que sus televisores inteligentes estaban oyendo todo el tiempo lo que ocurría alrededor y podían enviarlo a terceros sin autorización . Luego se descubrió que, en algunos casos, las conversaciones registradas por sus smart TV se transmitían sin cifrar por Internet . Críticas similares recibió el Echo, de Amazon. Si me lo preguntan, cualquier cosa que admita comandos de voz abre todo un nuevo flanco en el castigado frente de la privacidad. Porque, como dije, no hace falta que el fabricante cometa algún error de implementación. Alcanza con que el dispositivo sea invadido por un pirata. Windows, Linux (y por lo tanto Android) y OS X tienen vulnerabilidades que vienen durando años. Linux en particular es uno de los sistemas preferidos para embember en objetos inteligentes, y esa no siempre es una buena noticia.

Serán capaces de ver lo que hacemos y, por añadidura, tendrán la capacidad -ya la tienen- de crear patrones de comportamiento. Es un asunto serio que todavía no tiene solución. Si queremos hablarles a nuestros objetos, entonces deben ser capaces de oír. Si queremos que el sensor de humo o el de presencia nos avisen por Internet de que algo pasa en la casa, entonces deben detectar movimiento y calor.

En conclusión, nos esperan tiempos interesantes. Las máquinas están volviéndose cada vez más inteligentes, aunque todavía les falta cobrar conciencia de sí y de su entorno. ¿Se convertirá la IoT en los ojos y los oídos de una mente cibernética global, como en la ciencia ficción? Tal vez, pero mucho antes de eso, en mi opinión, hay asuntos más terrenales y cercanos por resolver. Mientras aprendemos los límites y las regulaciones que le caben a las cosas que están aprendiendo a ver, oír, percibir, procesar información y comunicarse, me parece que el primer paso es entender qué es la IoT, para evitar que, de nuevo, como ha ocurrido con docenas de buenas ideas, compremos sólo el lado brillante y nos olvidemos de que, si hay luz, entonces, inevitablemente, hay sombra.

Shadow77

#HackNic

Herramienta de detección DDoS con características de aprendizaje automático.

Learn2ban es una herramienta de detección DDoS que posee aprendizaje automático. Con el fin de anotar los registros de entrada, Learn2ban utiliza el sistema de filtrado de expresiones regulares fail2ban para marcar direcciones IP como maliciosas o legítima. Las reglas de expresiones regulares para aplicar pueden ser añadidos a la base de datos learn2ban en la tabla regex_filter.

Con el fin de clasificar las direcciones IP como legítimo o maliciosa Learn2ban tiene en cuenta el siguiente conjunto de características derivadas de los datos de registro HTTP.
Estas características se implementan en Learn2ban/src/features:

  • average_request_interval, esta función considera el comportamiento de un solicitante en términos del número de solicitudes dentro de un intervalo de tiempo dado. Esta es esencialmente la frecuencia con la que un solicitante intenta acceder a un equipo dado. Tiene en cuenta las peticiones en su conjunto, no sólo en términos de una sola página.
  • cycling_user_agent, un ataque DDoS común de redes de bots es cambiar de agente de usuario en varias ocasiones durante un ataque. Esta estrategia puede ser muy eficaz incluso contra las reglas de expresiones regulares más generalizadas. En el contexto de un usuario humano real, o incluso un bot, la rotación de agente de usuario es altamente aberrante.
  • html_to_image_ratio, Esta función considera el tipo de contenido que se está solicitando. Se considera  si un solicitante sólo se recupera contenido HTML, pero no hay datos auxiliares tales como imágenes, CSS o archivos JavaScript.
  • variance_request_interval, Mientras que muchos de los ataques DDoS utilizan un enfoque muy simplista como la fuerza bruta, algunos han incorporado un enfoque ligeramente más sofisticado al hacer explosión de solicitudes con el fin de evitar ser bloqueado por las reglas simples que permiten sólo un cierto número de solicitudes dentro de un marco de tiempo.
  • payload_size_average, esta característica se ve en el tamaño del contenido que un solicitante está solicitando.
  • HTTP_response_code_rate, Se estudia la tasa de respuesta HTTP, mirando sobre todo para los códigos de error que pueden indicar un ataque a la cache de almacenamiento.
  • request_depth, los usuarios del sitio normales con frecuencia suelen navegar más allá de la página principal de un sitio determinado. Los usuarios humanos interaccionan con un sitio web esto nos hace diferenciarlos de una red de bots.
  • request_depth_std, Como un complemento para solicitar profundidad, esta función considera la desviación estándar de la solicitud de un bot.
  • session_length, Esta característica también aclara el comportamiento general teniendo en cuenta la interacción del solicitante con una vista dada en términos de tiempo de la sesión.
  • percentage_consecutive_requests, Para aclarar aún más la interacción del solicitante con un sitio dado, que además, cuenta cómo muchas de las peticiones realizadas fueron consecutivas como otra ventana a la frecuencia.

Learn2ban está diseñado para funcionar en un modo experimental para permitir a los usuarios crear múltiples variaciones de los modelos, en función de su formación de datos y analizar fácilmente la eficacia y precisión de estos modelos. El usuario debe introducir los nombres de archivo de registro en la tabla de registros, asignar las expresiones regulares que identifican los robots en el registro. Luego diseñar un experimento en la tabla experimentos y asignarle un registro.

Más información y descarga de Learn2ban:
https://github.com/equalitie/learn2ban

Shadow77
#HackNic

Navegador basado en Mozilla Firefox ideal para realizar test de penetración.

PenQ es un navegador para Linux ideal para realizar test de penetración, construido sobre la base del navegador Mozilla Firefox. Viene pre-configurado con herramientas de seguridad para: rastreo, búsquedas avanzadas, fingerprinting, navegación anónima, escaneo de servidor web, fuzzing y generación de informes. PenQ no es sólo una mezcla de complementos para el navegador Mozilla Firefox viene pre-configurado con algunas herramientas muy potentes de código abierto en Java/Python y línea de comandos.

PenQ está configurado para ejecutarse en distribuciones basadas en Debian, incluyendo Ubuntu y distribuciones derivadas, también en los sistemas operativos de test de penetración tales como BackTrack y Kali. PenQ permite a los pentesters el acceso a los servicios y las herramientas del sistema necesarias directamente desde el navegador, el ahorro de tiempo al realizar pruebas es mucho más rápido. Las herramientas incorporadas en el rango de navegación anónima y supervisión del sistema, permiten tomar notas y programar tareas.

También proporciona documentación mediante la vinculación de guía de pruebas de OWASP, una vasta fuente de conocimientos relacionados con los test de penetración. PenQ puede ser utilizado para probar los OWASP Top 10 de los riesgos, para proteger las aplicaciones web contra vulnerabilidades.

Las herramientas incluidas son: OWASP ZAP, OWASP WebScarab, OWASP WebSlayer, Nikto Web Server Scanner, Wfuzz Web Application Fuzzer, Tor, OWASP Penetration Testing Checklist. 

Y también estés Add-ons de Mozilla: anonymoX, Awesome Screenshot, ChatZilla, CipherFox, Clear Console, Cookies Manager+, Cookie Monster, CryptoFox, Email Extractor, Firebug, FireFlow, FireFTP, FireSSH, Greasemonkey, Groundspeed, HackBar, HackSearch, Header Spy, HttpFox, HttpRequester, Java Deobfuscator, Library Detector, LinkSidebar, Proxy Selector, Proxy Tool, RefControl, RESTClient, Session Manager, SQL Inject Me, SQLite Manager, TrashMail.net, User Agent Switcher, Wappalyzer, Web Developer, Xinha Here! y XSS Me.

Más información y descarga de PenQs:
https://github.com/QBurst/PenQs

Shadow77
#HackNic


siguenos en facebook