Miles de dispositivos comparten llaves privadas conocidas para HTTPS
Millones de dispositivos que se conectan a Internet diariamente, desde routers caseros hasta equipos industriales, siguen compartiendo llaves privadas bien conocidas para cifrar sus comunicaciones, según la investigación de SEC Consult.
SEC Consult dijeron, en laactualización de su estudio de 2015 sobre seguridad en sistemas embebidos, que la práctica de reutilizar claves ampliamente conocidas sigue llevándose a cabo sin disminuir.
Los dispositivos y gadgets, básicamente, continúan intercambiando llaves privadas en servidores HTTPS y SSH. No es difícil extraer estas llaves de sitios web con trucos y usarlas para espiar conexiones cifradas e interferir con el equipo: por ejemplo, interceptar una conexión hacia un panel de control basado en web, descifrarla y alterar las configuraciones. Debido a tantos productos y modelos que comparten las mismas claves, es posible atacar miles de cajas de una sola vez.
Stefan Viehböck, consultor de SEC Consult, escaneó la Internet pública y encontró que la práctica de utilizar llaves privadas conocidas ha incrementado en los últimos nueve meses, el número de dispositivos vulnerables ronda los 4.5 millones de aplicaciones de red, dispositivos del Internet de las cosas y sistemas embebidos alrededor del mundo. Eso es más de 40 por ciento de incremento, o bien, 1.3 millones desde noviembre pasado, de acuerdo con datos de SEC Consult.
Mientras que las causas podrían variar, SEC Consult ha dicho que frecuentemente se heredan de proveedores que no se preocupan por cambiar las configuraciones en sus componentes de hardware, y en muchos casos, dejan las llaves predeterminadas de certificados tal cual dentro de los kits de desarrollo de software.
“Hay muchas explicaciones para este tipo de desarrollo”. La poca habilidad de los proveedores para proveer parches contra vulnerabilidades de seguridad, entre las que se incluyen pero no se restringen únicamente a productos legacy/EoL podría ser un factor significante. Incluso cuando los parches están disponibles, es raro que los sistemas embebidos sean actualizados”, dijo SEC Consult. “La configuración insuficiente del firewall desde el lado de la WAN (por parte de los usuarios pero también por los proveedores de servicios de Internet en los casos de equipamiento de administración local) y la tendencia a tener productos habilitados para Internet de las cosas es un factor que también influye”.
La solución más reciente, dice SEC Consult, sería forzar a cada dispositivo a tener una llave de seguridad única para transmisión de datos. En la mayoría de los casos, esta responsabilidad caería en los proveedores para mejorar sus esfuerzos de seguridad tanto antes como después de que se libere el hardware.
Adicionalmente, los investigadores recomiendan a los proveedores de servicios usar una conexión VLAN para realizar soporte remoto a los dispositivos y limitar la forma en la que una conexión puede establecerse con hardware que los proveedores de servicios de Internet ofrecen a sus clientes.
Para los usuarios que están más vulnerables a las fallidas prácticas de seguridad, SEC Consult hace notar que hay algo que se puede hacer: “Los usuarios finales deberían cambiar las llaves de host SSH y los certificados X.509 del dispositivo por unos específicos para cada dispositivo”.
“No siempre es posible pues no todos los productos permiten este cambio de configuración o bien, los usuarios no tienen permisos para hacerlo. Los cambios técnicos que se requieren no es algo que se pueda esperar de un usuario casero.
Fuente: http://www.seguridad.unam.mx/
Fecha de consulta: 12 Septiembre 2016
