Millones de dispositivos usan en Internet la misma clave “privada”

La consultora europea SEC Consult ha estado investigando durante los últimos años dispositivos embebidos a Internet. Los dispositivos embebidos son lo que podemos llamar la gama alta del Internet de las Cosas, o en otras palabras: pequeños ordenadores, baratos, que están dentro de aparatos domésticos y que debido a su precio la seguridad no es una de sus prioridades.

SEC Consult ha examinado miles de dispositivos como pasarelas de Internet, routers, modems, cámaras IP, teléfonos VoIP y muchos otros dispositivos de más de 70 fabricantes.

Los investigadores tomaron dos enfoques:

• Analizar el firmware del dispositivo en busca de contenido relacionado con el cifrado (muchos de estos dispositivos están basados en Linux, por lo que el firmware y su código son supuestamente públicos).
• Realizar escaneados en Internet para examinar los dispositivos que ya están conectados. No se trata de hackear sino de investigar servicios que están abiertos a todos en Internet.

Una de los aspectos en que centraron su investigación fue en examinar las claves cifradas para los protocolos SSH y TLS. SSH se suele emplear para conectarse remotamente o copiar ficheros, mientras que TLS se utiliza para asegurar el tráfico en Internet usando HTTPS.

Ambos protocolos usan una clave pública cifrada, es decir se basan en una clave pública, y una clave privada, que es la única manera de abrir la información que estaba cerrada con la clave pública.

Lo más importante en este tipo de protocolos es que la clave privada se mantenga privada. Hablando en términos generales, la clave privada es solo para ti, para asegurar que tu tráfico no sea accesible para nadie más.

Si alguien accede a tu clave privada estarás en peligro porque pueden crear un sitio falso y hacerse pasar por el verdadero sin que salte ninguna alarma. O pueden interceptar tu tráfico.

Dada la importancia de la clave privada, lo normal sería que los fabricantes se tomarán este tema muy en serio: un dispositivo, una única clave generada aleatoriamente en la fábrica o al conectarse por primera vez.

Sin embargo SEC Consult encontró algunas estadísticas muy preocupantes:

• 3,2 millones de dispositivos estaban usando una clave de sólo 150 diferentes claves TLS privadas
• 0,9 millones de dispositivos estaban usando una clave de sólo 80 diferentes claves SSH privadas

Y lo que es incluso peor, mucho de esos dispositivos se supone que no deberían ser accesibles vía Internet.

¿Qué hacer?

Si desarrollas firmware para este tipo de dispositivos:

• No compartas ni reutilices las claves privadas.
• No actives el control remoto por defecto.
• No permitas que se active un dispositivo nuevo hasta que se hayan creado las correspondientes contraseñas. En otras palabras, olvida las contraseñas por defecto.

Si eres un usuario de estos dispositivos:

• Establece contraseñas robustas antes de conectar el dispositivo a Internet.
• Comprueba la configuración de acceso remoto.
• Regenera las claves cifradas.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: