Search Results for: IoT

IoT en la industria 4.0 – Nuestros datos ¿colaboración o aprovechamiento?

25 de febrero de 2019 Por

El pasado 7 de febrero se celebró en Madrid un encuentro en el Observatorio Vodafone de la Empresa en el que expertos en cloud, inteligencia artificial, robótica y transformación digital dieron una visión sobre cómo afrontar los retos de la industria 4.0. Ya en anteriores artículos de Joan Balbastre acerca de la industria 4.0, podíamos ver qué caracteriza esta revolución industrial y sus principios de diseño básicos. En estos artículos, se nombran hasta seis diferentes principios y uno de ellos, nos permite centrarnos en este texto: la orientación al servicio. Esta orientación resultó ser el eje fundamental de todo el evento.

Bien es cierto que, ante las fuertes competencias entre empresas de diferentes sectores, la optimización de los productos o servicios prestados se ha convertido en prioridad. Existen muchas maneras de mejorar una empresa o producto. En los últimos años, la recopilación de información ha pasado a ser uno de los pilares fundamentales en los que se basa la revolución de la industria 4.0. Los datos recopilados de los consumidores permiten a las empresas realizar diferentes acciones como el mantenimiento preventivo, aseguramiento de la calidad, gestión de defectos en tiempo real, gestión de operaciones, etc. Un claro ejemplo del cambio que están sufriendo las empresas de la industria es el caso de Quality Espresso, que ha pasado de producir únicamente un producto, diseñando, produciendo y comercializando cafeteras, a la prestación de un servicio añadido gracias a la recopilación de información. Las máquinas de café de Quality Espresso no solo permiten tener conectividad con diferentes dispositivos, sino que también son capaces de recabar información estadística para la empresa, a fin de mejorar los productos o incluso influir en el diseño de nuevos, tal y como se indicó en el evento.

[Read more…]

Análisis de Linux.IotReaper

6 de noviembre de 2017 Por

Hace un par de días conocimos la existencia de una nueva amenaza IoT considerablemente más elaborada que cualquiera de las detectadas hasta la fecha (http://blog.netlab.360.com/iot_reaper-a-rappid-spreading-new-iot-botnet-en/), dicha botnet ha sido bautizada por Netlab 360 como IotReaper. Así pues, desde el laboratorio de malware de S2 Grupo hemos obtenido y analizado algunas de las muestras relacionadas.

Infraestructura

La infraestructura de la red es bastante similar a la de la botnet Mirai, siendo formada ésta por cuatro elementos:

  • Servidor Report: Encargado de recolectar la información remitida por los bots.
  • Servidor Downloader: Encargado de proporcionar las samples del malware vía HTTP. La presencia de elemento permite la continua incorporación de actualizaciones sin necesidad de dejar en desuso versiones anteriores del malware.
  • Servidor C2: Encargado de remitir las órdenes de denegación de servicio.
  • Bot: Dispositivo IoT infectado por la botnet IotReaper.

[Read more…]

Defendiendo nuestros dispositivos IoT

12 de julio de 2017 Por

Mucho se ha hablado últimamente de los ataques en IoT, pero muy poco de cómo defenderse. Así pues, me puse a investigar un poco sobre las medidas de las que disponemos los Makers a la hora de incrementar la seguridad en nuestros dispositivos conectados a Internet.

A estas alturas de la partida todos sabemos que Arduino se ha impuesto como la plataforma de hardware libre por excelencia y navegando un poco por su web oficial puede verse que hace relativamente poco tiempo han lanzado al mercado una nueva placa denominada MKR1000, entre cuyas especificaciones técnicas me llamó especialmente la atención un punto que decía ECC508 CryptoAuthentication.

Placa Arduino MKR1000

Placa Arduino MKR1000

Pues bien, si indagamos un poco más descubrimos que Arduino ha integrado el chip ATECC508A de Atmel, el cual nos dota con las bondades del algoritmo de Curva Elíptica Diffie–Hellman en nuestros dispositivos IoT. Es un buen principio, pero… ¿qué más tiene Atmel preparado para la seguridad? Además del cifrado asimétrico cubierto por la familia de dispositivos basados en ECC, encontramos los dispositivos basados en SHA y en AES. Es cuestión de elegir la familia que mejor se adapte a las necesidades de nuestro proyecto.

Vamos a estudiar un poco que características tiene cada una de las familias.

[Read more…]

EternalBlue vía IoT (PoC)

25 de mayo de 2017 Por

Introducción

No cabe duda de que el mundo está en estado de alerta tras los últimos acontecimientos relacionados con la infección masiva del Ransomware WannaCry2.0, y la adición de características de gusano a una variante de ransomware nos lleva directamente a una nueva era para la ciberseguridad. Sin embargo, muchas veces las medidas que se toman son simplemente parches para la contención inmediata de la amenaza, sin llevar a cabo aquellas que subsanen la vulnerabilidad de forma total.

En el siguiente post se especifica el modo de unir los dos ataques de las amenazas más conocidas, las cuales han tenido incidencia a nivel mundial durante estos últimos meses. Por un lado, la vulnerabilidad en los dispositivos IoT, y por el otro el CVE-17-0144 asignado al exploit EternalBlue.
[Read more…]

La CCI rusa (XIII): el ecosistema de inteligencia. Patriotic hackers

23 de marzo de 2017 Por

El concepto de hacker patriótico puede entenderse como el atacante, en el ámbito ciber, cuyas actividades apoyan de una u otra forma a su país en un conflicto real, dirigidas contra el enemigo del estado ([1]). Junto a China, Rusia ha sido quizás uno de los países que más ha potenciado a estos colectivos, activos desde hace años en conflictos como el de Kosovo (1999), Estonia (2007) o Georgia (2008); en España, si ha existido algo similar alguna vez y en cualquier caso no state sponsored, podría ligarse a pequeñas acciones en la red contra el entorno etarra tras el asesinato de Miguel Ángel Blanco (1997), quizás a caballo entre el hacktivismo y los patriotic hacker (esto daría para un interesante debate), pero en cualquier caso muy alejado de las actividades de grupos patrióticos en otros conflictos o países.

En Rusia han sido identificados diferentes grupos que podríamos denominar afines al Kremlin (desde Chaos Hackers Crew, en 1999, hasta Cyber Berkut, activo en el conflicto con Ucrania) y a sus acciones, grupos que han focalizado sus actividades en defacements y, en especial, en ataques DDoS contra objetivos que han sido considerados contrarios a los intereses rusos. De cada una de las operaciones de estos grupos hay literatura y más literatura; un excelente resumen de las más notorias puede encontrarse en [8]. Ya en 1994, en la Primera Guerra Chechena, algunos grupos patrióticos usaron la entonces incipiente web para actividades de propaganda y operaciones psicológicas (PSYOP), en ese momento con victoria chechena, victoria que cambiaría de bando tiempo después (1999) en la Segunda Guerra Chechena ([3]). Años más tarde, en 2007, Rusia lanza una ofensiva ciber contra Estonia que detiene la operación de la banca online de los principales bancos estonios, bloquea el acceso a medios de comunicación e interrumpe comunicaciones de los servicios de emergencia ([4]); pero no hay muertos ni heridos en ninguno de los bandos, a diferencia de lo que sucede poco más tarde (2008) en Georgia, donde se produce una ofensiva híbrida -el primer caso conocido en la historia- compuesta por ciberataques y una invasión armada, conflicto en el que surgen diferentes grupos que animan a atacar -en especial, mediante DDoS a los sitios web que apoyan al bando contrario. Estos ataques de denegación era diferentes de los lanzados contra Estonia: no sólo se basaban en la inyección de grandes volúmenes de tráfico o peticiones contra el objetivo, sino que además empleaban técnicas más sofisticadas, como el uso de determinadas instrucciones SQL para introducir carga adicional en dicho objetivo, amplificando así el impacto causado.

Más o menos a la par que a Georgia le llega el turno a Lituania, también en 2008 y, como en Estonia, en respuesta a decisiones políticas que no gustan a sus vecinos rusos; en este caso el gobierno lituano decide retirar los símbolos comunistas asociados a la antigua URSS, lo que provoca ataques de denegación de servicio y defacements de páginas web para ubicar en ellas la hoz y el martillo. Unos meses después de las acciones en Lituania, comienzan ataques contra Kyrgyzstan, ya en 2009 y de nuevo tras decisiones políticas que no gustan a los rusos, ahora relativas al uso de una base aérea del país por parte de los estadounidenses, clave para el despliegue americano en Afganistán. En este caso se trata de ataques DDoS contra los principales ISP del país, que degradaron más todavía las ya precarias infraestructuras kirguisas, con origen en direccionamientos rusos pero, según algunos expertos, con muchas más dudas en la atribución que otros ataques del mismo tipo sufridos anteriormente por otros países. También en 2009 Kazakhstan, otra ex República Soviética -y por tanto de interés prioritario para la inteligencia rusa- sufre ataques DDoS tras unas declaraciones de su Presidente en las que criticaba a Rusia.

Por último, ya en 2014, Ucrania se convierte en otro ejemplo de guerra híbrida, tal y como sucedió en Georgia años atrás, y en una excelente muestra del concepto ruso de guerra de información, con ataques no solo DDos sino, en especial, de desinformación a través de redes sociales: VKontakte, supuestamente bajo control de los servicios rusos (ya hablamos de la relación de estos con empresas, tecnológicas o no), es la red social más usada en Ucrania, lo que ofrece una oportunidad inmejorable para poner en práctica esa desinformación ([6]). Por diferentes motivos, entre ellos la propia duración del conflicto, Ucrania es un excelente ejemplo del rol de los hackers patrióticos por parte de ambos bandos (Cyber Berkut por el lado ruso y RUH8 por el ucraniano), apoyando intervenciones militares tradicionales, poniendo en práctica guerra de información, operaciones psicológicas, DDoS, ataques a infraestructuras críticas…

La presencia y operaciones de los patriotic hackers rusos parece indiscutible; la duda es conocer la relación de estos grupos y sus acciones con el Kremlin y con sus servicios, si existe, y el grado de control que pueda tener el gobierno ruso sobre los mismos… e incluso su relación con otros actores de interés para la inteligencia rusa, como el crimen organizado, del que hablaremos en el próximo post de la serie. Acciones como las ejecutadas contra servidores ucranianos en 2014 por parte de Cyber Berkut mostraron unas TTP muy similares a las empleadas con anterioridad en Estonia o Georgia, lo que vincularía estas acciones no solo a grupos correctamente organizados, sino también induciría a pensar una posible vinculación con el Kremlin, a raíz de la hipotética atribución de estas últimas acciones con el gobierno ruso ([2]). En [9] se realiza un interesante análisis de la relación entre los hackers patrióticos, el cibercrimen y los servicios de inteligencia rusos durante el conflicto armado con Georgia, en 2008; adicionalmente, también en las tensas relaciones entre Rusia y Georgia se genera otra hipotética prueba, al menos especialmente curiosa, de la vinculación entre ataques, hackers patrióticos y servicios rusos: en 2011 el CERT gubernamental georgiano ([7]), ante un caso de ciberespionaje supuestamente ruso, decide comprometer voluntariamente un equipo con el malware usado por los atacantes, poner un fichero señuelo en el mismo y a su vez troyanizar dicho archivo con un software de control remoto. Cuando el atacante exfiltró el honeypot, el CERT pudo tomar el control de su equipo, grabando vídeos de sus actividades, realizando capturas a partir de su webcam y analizando su disco duro, en el que se encontraron correos electrónicos supuestamente entre un controlador -dicen las malas lenguas de algunos analistas que del FSB, quién sabe…- y el atacante, intercambiando información de objetivos y necesidades de información e instrucciones de cómo usar el código dañino

Con independencia de las relaciones de los servicios rusos con grupos de hackers patrióticos, la infiltración o el grado de control sobre los mismos, lo que sí es cierto es que en determinados casos el FSB ha evitado, de forma pública, ejercer sus funciones policiales para perseguir actividades a priori delictivas de los hackers patrióticos rusos: en 2002, estudiantes de Tomsk lanzaron un ataque de denegación de servicio contra el portal Kavkaz-Tsentr, que hospedaba información sobre Chechenia molesta para los rusos; la oficina local del FSB publicó una nota de prensa en la que se refería a estas acciones de los atacantes como una legítima “expresión de su posición como ciudadanos, digna de respeto” ([5]). Y lo que sí es indiscutible es que tras decisiones de un gobierno soberano que pueden ser contrarias a los intereses del gobierno ruso o simplemente a su opinión, dicho gobierno sufre ataques más o menos severos -en función de la importancia de dicha decisión- contra sus infraestructuras tecnológicas, al menos en zonas especialmente relevantes para la inteligencia y el gobierno rusos como son las ex Repúblicas Soviéticas; por supuesto, ataques que es difícil ligar de manera fehaciente al gobierno ruso o a hackers patrióticos de este país, pero que se producen en cualquier caso.

Para acabar, un detalle: los hackers patrióticos rusos no solo han ejecutado acciones contra terceros países, sino que también han operado dentro de la RUNet; uno de los casos más conocidos es el de Hell, actuando contra movimientos liberales rusos: opositores al gobierno, periodistas, bloggers… y del que (o de los que) han circulado indicios de su vinculación con el FSB (recordemos, inteligencia interior), en concreto con el CIS de este servicio. En 2015 se juzga y condena en Alemania a Sergei Maksimov, supuestamente Hell, por falsificación, acoso y robo de información; aunque se enfrenta a tres años de cárcel, la condena impuesta es mínima. ¿Era Maksimov realmente Hell? ¿Existían vinculaciones entre esta identidad y el FSB? ¿Era Hell parte del propio FSB, de la unidad 64829 de este servicio? Ni lo sabemos, ni probablemente nunca lo sepamos, como quizás tampoco sepamos si Nashi, una organización patriótica juvenil nacida al amparo del Kremlin -esto sí que lo sabemos, es público- organizó ataques DDoS no sólo contra Estonia en 2007, sino también contra medios de comunicación rusos contrarios a las políticas de Putin, e igualmente intentó reclutar a periodistas y bloggers para conseguir su apoyo en actividades contrarias a los opositores al gobierno ruso… al menos eso dicen los correos robados por Anonymous -presuntamente, como siempre- a Kristina Potupchik, portavoz de Nashi en su momento y, más tarde, “ascendida” a responsable de proyectos en Internet del Kremlin (esto también es público).

Referencias
[1] Johan Sigholm. Non-State Actors in Cyberspace Operations. In Cyber Warfare (Ed. Jouko Vankka). National Defence University, Department of Military Technology. Series 1. Number 34. Helsinki, Finland, 2013.
[2] ThreatConnect. Belling the BEAR. Octubre, 2016. https://www.threatconnect.com/blog/russia-hacks-bellingcat-mh17-investigation/
[3] Kenneth Geers. Cyberspace and the changing nature of warfare. SC Magazine. Julio, 2008.
[4] David E. McNabb. Vladimir Putin and Russian Imperial Revival. CRC Press, 2015.
[5] Athina Karatzogianni (ed.). Violence and War in Culture and the Media: Five Disciplinary Lenses. Routledge, 2013.
[6] Andrew Foxall. Putin’s Cyberwar: Russia’s Statecraft in the Fifth Domain. Russia Studies Centre Policy Paper, no. 9. Mayo, 2016.
[7] CERT-Georgia. Cyber Espionage against Georgian Government. CERT-Georgia. 2011.
[8] William C. Ashmore. Impact of Alleged Russian Cyber Attacks. In Baltic Security and Defence Review. Volume 11. 2009.
[9] Jeffrey Carr. Project Grey Goose Phase II Report: The evolving state of cyber warfare. Greylogic, 2009.

Imagen cortesía de Zavtra.RU

DDoS Mirai: IoT contra Internet

24 de octubre de 2016 Por

Este post ha sido escrito en colaboración con Joan Soriano.

Y finalmente ocurrió. La red de dispositivos IoT que se llevaba expandiendo desde mediados de Agosto mediante la difusión del malware Linux Mirai, fijó el pasado viernes su objetivo en DynDNS, proveedor de soluciones DNS y, tal y como se ha comprobado, uno de los eslabones más críticos en la cadena de funcionamiento de Internet.

Así lo confirmó el pasado viernes el proveedor de servicios Level 3 Communications, el cual estaba monitorizando los ataques y cree que el 10% de las cámaras DVR y otros dispositivos infectados por Mirai estuvieron involucrados en los ataques del viernes que provocó la caída de sitios web tan conocidos como Whatsapp, Twitter, Paypal, Netflix o Github. [Read more…]

Seguridad, la asignatura pendiente de los IoT

26 de enero de 2016 Por

network-782707_640Comienzo el día leyendo este genial artículo en Ars Technica. Genial, por la cantidad de información, fuentes y detalles que aporta sobre la situación actual de la seguridad en dispositivos IoT y de las iniciativas que se están poniendo en marcha para intentar mejorarla.
El artículo lleva como imagen de acompañamiento la foto de un niño durmiendo plácidamente en su cuna (y su título deja claro que la foto no la han hecho ni sus padres ni cualquier otro familiar con la intención de compartirla con los lectores, cosa que ya no es tan genial). La foto se ha hecho desde la webcam que sus padres han instalado en su dormitorio para ver a su hijo, pero la jugada no les ha salido bien porque ahora hay más gente que puede verle también.

[Read more…]

No te pierdas la primera biotransacción bitcoin de la historia

17 de noviembre de 2015 Por

biotSí, se puede robar una cartera, pero nadie puede robarte la mano” o “No vamos a tener carteras llenas de pedazos de plástico en 20 años”. Así de contundente lo afirma Juan José Tara Ortiz, un ingeniero de sistemas em
bebidos en Arduino que ha desarrollado el hardware para grabar, escribir y leer la información del chip RFID que se ha implantado en su propia mano Patric Lanhed.

Sí, tal y como has leído, un desarrollador de software sueco de la empresa DigitasLBI en Malmö se ha implantado en su propia mano un chip RFID que le facilita mover dinero entre sus cuentas bancarias además de poder hacer compras online.

[Read more…]

Idiota del mes

19 de febrero de 2009 Por

Sin ánimo de querer inagurar una nueva sección, la de “Idiota del mes”, aquí a su izquierda les presento a D. Sol Trujillo, CEO de Telstra y flamante poseedor, hasta que se la robaron —no está claro si a él o a un asistente suyo— hace unas horas (asumo que no la perdió ni se la dejó en un taxi, ni que se la vendió a la competencia de Microsoft, porque eso —sobre todo esto último— sería mucho peor), de un prototipo de HTC Touch Diamond2 (o Pro2, no está claro) con un prototipo de Windows Mobile 6.5. Tal y como lo expresa ALT1040, “un teléfono que aún no se vende con un sistema operativo que aún no está disponible en el mercado“. Para que se hagan una idea de la importancia del bicho en cuestión (aunque seguramente ya se la hacen), en el último Mobile World Congress no se dejó que nadie tocase el dispositivo para no exponer más información de la necesaria de su funcionamiento. Y ahora va este hombre y lo pierde.

Claro que a pesar de ello, Microsoft dice que está tranquilo. Tranquilo como un flan, imagino, ¿qué otra cosa van a decir? Rezando estarán para que lo haya robado un “simple” carterista por casualidad y no alguien de la competencia.

Por cierto, ¿se imaginan a alguien comprando este trasto en un chiringuito cualquiera de Barcelona por 50 euros?

PD: Si a alguien le preocupa lo de “idiota”, estoy seguro de que eso es lo más suave que le han dicho en las últimas horas…

Para este jueves, la encuesta de la semana es la siguiente:

[poll id=”5″]

Y el resultado de la anterior es la siguiente:

[poll id=”4″]

Seguridad diseñada por idiotas (profundos)

5 de noviembre de 2007 Por

Hace unos meses, después de la contratación de un servicio de “privacidad” para mi dominio personal (ya hablé de ello aquí), tuve un pequeño problema con el usuario y clave que me había sido asignado para la gestión del servicio, que imposibilitaba cualquier tipo de gestión, valga la redundancia. Después de obtener varias respuestas cíclicas y estériles, que sin duda estaban sacadas de algún procedimiento diseñado por idiotas (profundos), la empresa en cuestión me pide que mande un fax con mi fotografía sacada de algún documento oficial. Así que ante la falta de alternativas, ni corto ni perezoso, les mando una fotografía en blanco y negro, a lo que me contestan con lo siguiente:

Hello,

We are not able to distinguish the identity of the person pictured on the photo id we received. Our legal department requires a clear, readable copy of government-issued photo identification in order for us to make any changes to an account.

[…]

[Read more…]