Las ciudades inteligentes están expuestas a amenazas bien conocidas
Impulsados por la falsa alarma que hizo temer por sus vidas a los residentes de Hawái a principios de este año, los investigadores de IBM X-Force Red y Threatcare decidieron probar varios dispositivos de ciudades inteligentes y finalmente encontraron 17 vulnerabilidades de día cero, algunas de las cuales podrían ser explotadas para crear caos potencialmente mortal.
"Mientras estábamos preparados para profundizar en la búsqueda de vulnerabilidades, nuestras pruebas iniciales arrojaron algunos de los problemas de seguridad más comunes, como contraseñas predeterminadas, omisión de autenticación e inyecciones de SQL, lo que nos permite ver que las ciudades inteligentes ya están expuestas a amenazas de la vieja escuela que no debería formar parte de ningún entorno inteligente", compartió Daniel Crowley, director de investigación de IBM X-Force Red.
"Después de encontrar las vulnerabilidades y los exploits desarrollados para probar sus viabilidades en un escenario de ataque, nuestro equipo encontró docenas (y, en algunos casos, cientos) de dispositivos de cada proveedor expuestos al acceso remoto en Internet. Todo lo que hicimos fue usar motores de búsqueda comunes como Shodan o Censys, que son accesibles para cualquiera que use una computadora".
Las vulnerabilidades
Los investigadores probaron cuatro soluciones de tres fabricantes:
- Meshlium de Libelium (Libelium es un fabricante de hardware para redes de sensores inalámbricos)
- i.LON 100/i.LON SmartServer e i.LON 600 de Echelon (Echelon se especializa en IoT industrial, aplicaciones integradas y de construcción y dispositivos de fabricación como controles de iluminación en red)
- V2I (vehículo a infraestructura) Hub v2.5.1 por Battelle, y
- V2I Hub v3.0 de Battelle (Battelle es una organización sin fines de lucro que desarrolla y comercializa tecnología).
"Los dispositivos que probamos se dividen en tres categorías: sistemas de transporte inteligentes, gestión de desastres e Internet de las cosas industriales (IoT). Se comunican a través de Wi-Fi, 4G celular, ZigBee y otros protocolos y plataformas de comunicación. Los datos generados por estos sistemas y sus sensores se alimentan en interfaces que nos dicen cosas sobre el estado de nuestras ciudades, como que el nivel del agua en la presa es demasiado alto, los niveles de radiación cerca de la planta de energía nuclear son seguros o el tráfico en la carretera no está tan mal hoy ", explicó Crowley.
Se encontró que Meshlium tenía cuatro fallas críticas de inyección previa, las ofertas de Echelon tenían dos fallas de autenticación, credenciales predeterminadas, contraseñas de texto plano y comunicaciones no cifradas, y las soluciones de Battelle tenían una cuenta administrativa codificada, fallas de inyección SQL, una API predeterminada clave, un error de derivación de autenticación de APU y más.
Algunos de estos defectos podrían explotarse fácilmente para crear "ataques de pánico" y poner en peligro la vida de los ciudadanos.
"Los atacantes podrían manipular las respuestas del sensor del nivel del agua para informar inundaciones en un área donde no las hay, creando pánico, evacuaciones y desestabilización. Por el contrario, los atacantes podrían silenciar los sensores de inundación para evitar la advertencia de un evento de inundación real, ya sea causado por medios naturales o en combinación con la destrucción de una presa o depósito de agua", explicó Crowley.
Los atacantes también pueden crear caos general a través de falsas alarmas de construcción, alarmas de emergencia al alterar los sistemas de control de tráfico, etcétera.
Mejor seguridad
Los investigadores han compartido sus hallazgos con los fabricantes, quienes fueron muy receptivos y ya han eliminado las soluciones. También han notificado a los propietarios de los dispositivos vulnerables que encontraron en línea.
Las ciudades inteligentes son el futuro, pero la industria necesita volver a examinar los marcos de estos sistemas para diseñarlos y probarlos teniendo en cuenta la seguridad desde el principio, señaló Crowley.
Sus consejos para proteger los sistemas de ciudades inteligentes incluyen implementar restricciones de direcciones IP para las conexiones; utilizando herramientas de escaneo de aplicaciones para identificar fallas simples; implementando prácticas seguras de contraseña y clave de API, aprovechando las herramientas de SIEM para identificar el tráfico sospechoso; y contratar “atacantes” para probar los sistemas en busca de vulnerabilidades de software y hardware.