Cuando las tecnologías de vigilancia inseguras se vuelcan en tu contra
La investigación se presentó por primera vez en DefCon 2014. Su publicación es un aporte de Kaspersky Lab a Securing Smart Cities – una iniciativa global sin fines de lucro para resolver los problemas de seguridad informática actuales y futuros de las ciudades inteligentes mediante la colaboración entre compañías, gobiernos, medios de comunicación, organizaciones sin fines de lucro e individuos de todo el mundo.
Tomas Kinsey, de Exigent Systems Inc., contribuyó a este informe.
Una noche, estaba con un colega cuando se nos ocurrió la brillante idea de treparnos a una fuente pública en medio de una ciudad. De pronto, una voz etérea descendió de los cielos: “POR FAVOR BÁJENSE DE LA FUENTE”. Quedamos atónitos, hasta que nos percatamos de que varias cámaras de seguridad – con altavoces y todo – nos apuntaban desde varios postes de luz. Era la primera vez que nos sentíamos tan vigilados, así que decidimos investigar cómo funcionan estos sistemas.
No es ninguna novedad que los departamentos de la policía y los gobiernos hayan estado vigilando a los ciudadanos por años con cámaras de seguridad en varias ciudades del mundo. Hoy en día, la mayoría de nosotros lo acepta como un intercambio que estamos dispuestos a hacer: sacrificamos nuestra privacidad con la esperanza de que esta medida ayude a mantenernos a salvo de los criminales y terroristas. Pero también esperamos que nuestros datos privados, en este caso, los videos de nuestra vida pública, se manejen con responsabilidad y seguridad para que esta vigilancia no acabe causando más daño que bien.
En nuestra investigación, descubrimos varias ciudades que usan tecnologías inalámbricas en sus cámaras de seguridad e infraestructuras, en vez de hacer las conexiones tradicionales mediante cables. Este cambio ahorra costes y tiempo a las autoridades de la ciudad.
Por desgracia, el problema es que las tecnologías inalámbricas no son tan seguras como deberían. Como estamos conscientes de la seguridad, nos percatamos de inmediato de que manejar datos de esta manera podría dejar los sistemas vulnerables a ataques, por lo que comenzamos a averiguar si estos sistemas estaban implementados de tal modo que protegían nuestros datos o si podían manipularse con facilidad con fines maliciosos.
Aunque las tecnologías inalámbricas en sí mismas pueden ser vulnerables, existen muchas mejoras adicionales que se pueden implementar para aumentar su seguridad a un nivel adecuado. Lo ideal es que haya varios niveles de seguridad para que, si un hacker logra superar un obstáculo, a continuación tenga que enfrentarse a otro todavía más difícil. Pero este no fue el caso.
Investigación
Nuestra investigación comenzó en un ámbito físico: viajamos a varias partes de la ciudad averiguando en qué consistía el hardware y encontramos la primera señal de que la ciudad no había puesto suficiente esfuerzo en la administración de sus propios sistemas.
Figura 1: el sistema de seguridad
Como muestra la imagen, el sistema de seguridad estaba configurado de una forma muy descuidada. Las unidades que manejarán nuestros datos no se han escondido para nada; algunas hasta mostraban el nombre y modelo del hardware, datos necesarios para identificar los dispositivos e iniciar la investigación.
¿Por qué es tan importante esconder las etiquetas y rotulaciones del hardware? Un ejemplo servirá para ilustrar la gravedad del asunto. Cuando un servidor necesita asegurarse, un factor importantísimo para prevenir que se lo explote es que el binario del servidor no esté al alcance del público. La razón es que, si un investigador consigue acceder al binario, puede utilizar ingeniería inversa y estudiarlo para encontrar errores y vulnerabilidades. Es muy raro que se descubra una vulnerabilidad sin haber visto el código que implementa el servicio. Es por esto que el hecho de que la rotulación esté a la vista parece un error intrascendente, pero en realidad tiene un efecto masivo.
Volviendo a la red de cámaras: si un hacker lograse romper la seguridad inalámbrica de estos sistemas (que sólo implementan las protecciones WEP o WPA estándar), hasta este punto sólo podría ver protocolos desconocidos, encabezamientos y paquetes inalámbricos que no hacen referencia al sistema al que pertenecen. En nuestro análisis, al principio no teníamos idea de cuál era el programa que generaba estos paquetes, ya que es un sistema privado. Sin tener el código a nuestra disposición, habría sido casi imposible revertir el protocolo que usan, que en realidad es la única forma de examinar la red como es debido. En este punto, nuestro trabajo ya estaba hecho.
Habiendo obtenido el hardware, nos dimos cuenta de que, a pesar de que la forma en lo colocaron dejaba mucho que desear, éste no era el verdadero problema. La red de nodos en malla era en realidad una solución muy compleja y bien ejecutada, con módulos integrados que aseguran las comunicaciones más allá de la seguridad estándar de la tecnología inalámbrica. Sólo se necesitaba a alguien con suficientes conocimientos para que implemente esta tecnología y se asegure de que esté bien configurada. Pero, por desgracia, después de inspeccionar muchos de los paquetes, nos dimos cuenta de que estos módulos de cifrado no se habían configurado ni implementado para nada. Se estaban enviando datos legibles mediante la red, poniéndolos al alcance de cualquier observador que pueda poner sus manos en ellos. No teníamos que superar ningún cifrado, por lo que todo era cuestión de recrear nuestra propia versión de este programa para manipular los datos que transfería.
Una comparación rápida de cómo funciona una red en malla para transportar transmisiones de video te ayudará a comprender las cosas que descubrimos que nos sirvieron para manipular el sistema. En una red Wi-Fi tradicional, cada dispositivo está conectado a un router que funciona como punto central. Para enviar un sector de un dato a otra parte de la red, debes enviarlo a esa dirección y viajará mediante el router hacia el dispositivo conectado. Esto funciona bien en mucha proximidad pero, para poder comunicarse a larga distancia, la red de cámaras usó topología y protocolos que no vamos a nombrar en este artículo.
Figura 2: topología tradicional de una red inalámbrica doméstica. Los clientes pueden ser cualquier dispositivo conectado a Internet
En general, estar en cualquier red inalámbrica, como por ejemplo una red inalámbrica doméstica, permite que cualquier persona conectada pueda lanzar ataques de mediador (man-in-the-middle) usando métodos como el envenenamiento de ARP. Esto, en esencia, hace que el usuario pueda alterar cualquier dato que se haya enviado desde y para el router.
Figura 3: un atacante le dice al usuario que es el router, y le dice al router que es el usuario. Así es como intercepta el tráfico de y para el servidor web
En general, estar en cualquier red inalámbrica, como por ejemplo una red inalámbrica doméstica, permite que cualquier persona conectada pueda lanzar ataques de mediador (man-in-the-middle) usando métodos como el envenenamiento de ARP. Esto, en esencia, hace que el usuario pueda alterar cualquier dato que se haya enviado desde y para el router. Por la naturaleza del programa en malla, este método estándar no sería muy valioso si se lo intenta en un modo vainilla. En esencia, cada nodo en la red mallada sólo puede tener una línea directa de visión a alguno de los muchos nodos de la red. Para enviar un paquete a un dispositivo que no está dentro de su rango, el paquete debe viajar desde el punto de origen, pasando por varios otros nodos para por fin llegar al nodo de destino. El sistema del vendedor de hardware implementa un algoritmo “pathfinding” para encontrar rutas que permitan transportar los datos de forma eficiente y mediante la ruta más confiable hacia destino. El algoritmo es muy similar a aquel que se usa en videojuegos para determinar la ruta que un personaje va a tomar para llegar a su destino, evitando obstáculos.
Figura 4: el algoritmo Pathfinding encuentra rutas para que los personajes viajen en base a variables tales como la dificultad del terreno
El algoritmo pathfinding que se usa en las cámaras depende de ciertas variables, pero las más importantes son la fuerza de la señal entre un nodo y el siguiente y la cantidad de nodos por los que viaja para llegar a su destino final.
Es justo esto lo que aprovechamos. Cuando mentimos a los otros nodos diciéndoles que teníamos una línea directa hacia la estación de policías simulada y que nos comportaríamos como un nodo enviando paquetes, las cámaras más próximas comenzaron a reenviarnos sus paquetes de forma directa por la implementación A*. Esto permite un clásico ataque de mediador, “man-in-the-middle”, pero esta vez hacia una gran cantidad de transmisiones de video. Una buena analogía con el juego RTS de arriba podría ser la de construir un puente sobre un lago para que todos puedan seguir el camino en vez de tener que bordear la orilla.
Figura 5: el paquete se origina en un Nodo A, viaja mediante los nodos B y C para llegar a su destino (simulación de estación de policías). Mientras tanto, todos los otros nodos viajan por una ruta diferente y no pueden interceptarse cuando se espía una sola ubicación
¿Qué implica esto?
No estamos en el negocio del hacking, sólo queríamos crear una prueba de concepto para demostrar que este tipo de ataques es posible, para exponer que existe una vulnerabilidad y, por último, para alertar a las autoridades sobre una vulnerabilidad que debe arreglarse. Por eso mismo, nuestra investigación se realizó en nuestro pequeño laboratorio privado, replicando los sistemas que la policía pone en efecto y sin dañar su red en ninguna manera.
Si los hackers maliciosos explotaran los problemas que acabamos de mostrar, se podrían desatar muchas situaciones peligrosas al mejor estilo de Hollywood. La capacidad de lanzar ataques man-in-the-middle a los datos del video está a sólo un paso de reemplazar las imágenes reales del video por otras pregrabadas. En este caso, una de las posibilidades es que los cibercriminales hagan creer al departamento de policía que está ocurriendo un crimen en una parte de la ciudad para que se envíen oficiales a ese sector. Esto dejaría abiertas la oportunidad para que se cometa un crimen en otra región de la ciudad que no tenga oficiales disponibles. Esta es sólo una forma en la que alguien podría usar estos sistemas con malas intenciones y aprovechar la vulnerabilidad para cometer crímenes con mucha mayor eficacia. Pero, por desgracia, ésta no es una película de Hollywood. Es una funcionalidad que pudimos replicar en nuestro laboratorio.
Confiamos nuestros datos privados a las autoridades pertinentes, pero si estas autoridades no dedican suficiente tiempo y recursos para manejar estos datos de forma responsable, es preferible dejar de lado esta tecnología por completo. Por fortuna, la ciudad que investigamos se preocupó cuando le alertamos sobre el problema y ha tomado iniciativas para mejorar la seguridad.
La triste realidad es que en estos días todo está conectado, y mientras se implementan nuevas tecnologías para modernizar las más antiguas, también se introducen nuevas vulnerabilidades. Dejando de lado los sistemas de vigilancia que analizamos hoy, existen muchos más sistemas que son, y serán, vulnerables a diferentes ataques. Es una carrera constante entre los “chicos buenos”, que prueban la seguridad, contra los “chicos malos”, que pueden usar las vulnerabilidades con malas intenciones. Nuestra labor es continuar con esta lucha para hacer de éste un mundo más seguro.
Conclusiones
Se deben tomar en cuenta las siguientes consideraciones para hacer que una red de malla tenga un grado razonable de seguridad:
- Aunque todavía puede ser atacado, un cifrado WPA con contraseña fuerte es un requisito mínimo para evitar que el sistema sea un blanco fácil.
- Esconder los filtros SSID y MAC también mantendrá a raya a los hackers menos hábiles.
- Esconder todas las etiquetas de los equipos ayuda a controlar a los atacantes que no tienen esta información.
- Asegurar los datos de video con criptografía de llaves públicas hará casi imposible que se manipulen los datos de video.
¿Nos ponen los sistemas de vigilancia públicos en riesgo de ciberataques?