Black Hat 2017: Hacking de firmware, la próxima frontera

Los dispositivos conectados que hoy nos invaden tienen el sistema operativo, las interfaces de hardware y las aplicaciones orientadas al usuario integradas en un único elemento llamado firmware. Pero si engañas al firmware, tendrás acceso a todo el sistema. La semana pasada, en Black Hat, hubo mucha gente hablando de eso.

Últimamente, estos sistemas están siendo comprometidos por completo para su uso en todo tipo de ataques, como manejo de botnets, ataques de redirección o amplificación; además, se convierten en puntos desde los que ejecutar nuevos ataques.

Pero con el enfoque de muchos vendedores respecto al hardware (básicamente, implementarlo y olvidarse de él, especialmente los fabricantes de IoT), el ciclo de parches es impredecible en el mejor de los casos… y posiblemente inexistente.

Eso da lugar a que aquellos con malas intenciones empaquen “actualizaciones” de firmware para tu dispositivo, que pueden tener código malicioso incluido pero se comportan como esperarías. Así que estarías actualizando la forma de ser atacado.

Hay herramientas para verificar que el firmware que descargues es legítimo, pero a menudo este es el trabajo del experto de TI, no de los millones de personas que confían en los resultados de búsqueda para elegir un sitio de descarga y luego obtienen más de lo que esperaban.

¿No estás de acuerdo? Pregúntale a tus amigos cómo validar el firmware de un router utilizando un checksum proporcionado por un proveedor. Si estás aquí en Black Hat, tal vez lo sepas, pero el otro 99% de los usuarios no sabría qué hacer.

El firmware está empezando a hacer funcionar todo, ya que relegamos las tareas diarias como la seguridad de la casa, las alarmas, las cámaras de seguridad y funciones similares a estos dispositivos.

Así que no solo tendríamos que verificar la legitimidad del firmware, sino que también deberíamos hacerlo para cada uno de los nuevos gadgets que usemos. Eso simplemente no sucederá de una manera práctica.

Y probablemente tus amigos no lo harán, pero si te piden consejos, lo mejor que puedes ofrecer es actualizaciones de firmware en primer lugar, y ayudarles a averiguar cómo actualizar sus dispositivos.

El siguiente paso es convencerlos de que solo descarguen el firmware del sitio web del fabricante. Hay muchos sitios de descarga falsos que agrupan el programa con junkware y optimizan los términos de búsqueda. Así, aparecen con prioridad en los rankings que figuran más arriba que el sitio del fabricante, agregando cosas como el software de gestión de descargas a los archivos que realmente necesitas.

Quizá tus amigos nunca aprendan a ensamblar código o escarbar en los bits y bytes, pero tendrán que empezar a poner la seguridad del firmware como prioridad.

Mientras tanto, en Black Hat se presentaron nuevas herramientas para romper el firmware. A medida que se vuelvan más ampliamente disponibles y se apliquen a nuevos dispositivos, serán más efectivas.

Además, dado que muchos ejemplos utilizan un sistema operativo relativamente estable como fundamento, si se explota alguna vulnerabilidad contra el propio sistema operativo, toda la pila de firmware se vuelve inestable.

Afortunadamente, hay vendedores de hardware que están ocupados creando controles de seguridad para dar fe de la autenticidad de cualquier firmware que se cargue en el dispositivo, incrustando una especie de “firma” para las versiones aceptables que están autorizadas a ejecutarse.

Es un paso positivo, y uno que continuará aumentando en popularidad mientras el firmware cubre el mundo de los nuevos dispositivos diminutos. Mientras tanto, necesitas tener un plan.

Fuente: welivesecurity.com/la-es/

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s