/ Opinión

Capítulo 8: Mi casa es un Zombie ¿Por culpa de quién?

Estos días llegue a casa tan cansado que ya no pude escribir así que hoy domingo toca escribir y que mejor inspiración para hacerlo que el gran ataque cibernético a la Empresa Dyn.

Creo que ya prácticamente todos los blogs de seguridad del mundo hablaron de lo que paso y de la importancia de los DNS en este mundillo de direcciones IP desconocidas, imaginen entrar al dominio de su banco y que el servidor DNS los lleve a una pagina en donde robaran su dinero, ¿interesante verdad?

Pues ahora vamos a ver algo que en mi opinión es también muy interesante y es que según las investigaciones esto fue por la inseguridad en el Internet de la Cosas, cosas que cada vez utilizamos con mas frecuencia y que van desde cámaras de seguridad, bombillas de luz, neveras, estufas y todo lo que nos imaginemos.

Una botnet hecha en casa

El problema con todos estos dispositivos conectados a la red de redes es que no son seguros en su mayoría y es que a estas alturas en mi opinión deberíamos aprender lo básico de seguridad antes de querer hacer algo que este conectado a Internet, no podemos primero conectarlo y luego esperar a ver que pasa cuando ya vimos que es lo que pasa, se convierte en un Zombie.

Un Zombie que a su vez creara otros si es que puede ya que por lo general en estos tipos de redes toda la casa se encuentra conectada, esto me quita las ganas de convertir mi casa en "inteligente" o al menos me hace dudar si estamos preparados para crear cosas de este tipo.

Es imposible hacerlo bien pero al menos tenemos que intentarlo.

Decir que algo es 100% seguro es mentir ya que siempre habrá alguna forma de burlar la seguridad de los dispositivos pero al menos deberíamos intentarlo, saber las formas conocidas que hay para atacar a los dispositivos y dejarlos preparados para que se enfrenten a estos ataques.

Pero también ir un poco más allá y dejarlos preparados para el futuro, por ejemplo al menos hagamos que se puedan actualizar con facilidad y poder tomar medidas más fácilmente, la gente que usa lo que hacemos generalmente no sabe de seguridad y no sabe de actualizaciones o de parches, si tu como empresa corriges algo en tu software no solo basta subirlo a tu sitio web en el área de soporte y esperar a que los usuarios descarguen la nueva versión y la instalen en sus dispositivos como sucede con la mayoría de Routers.

Tenemos que esforzarnos más en ese aspecto y como desarrolladores pensar en el futuro y en lo que pueda pasar, de otra forma solo seremos creadores de un futuro incierto y con un montón de dispositivos que terminaran como las abejas robot de Black Mirror.

Antes de ser Makers deberíamos ser Hackers

La cultura Maker esta muy de moda y todos queremos formar comunidades donde la gente viene y hace cosas, ya sean cosas que están contactadas a internet o no aunque generalmente por la moda de hacer cosas inteligentes todo lo queremos conectar a la red y controlarlo desde nuestro Smartphone.

El problema surge cuando empezamos a desarrollar cosas conectadas pero no sabemos de seguridad, apenas estamos aprendido a controlar ese Arduino o esa Rasberry Pi que estamos usando y no sabemos las consecuencias que pueda llevar al mundo o a nuestra seguridad el poner en la red un dispositivo desprotegido.

¿Entonces que hacemos?

Creo que estamos en un punto en el que apenas empezamos a ver las consecuencias de saltarnos un primer paso, "saber de seguridad" lo pongo entre comillas por que si no sabemos o no queremos aprender al menos deberíamos de contratar a una empresa o persona que si sepa y que nos oriente con los principios de desarrollo pensando en la seguridad y luego en el funcionamiento.

¿Pero donde aprendo?

En Latinoamerica es una muy buena pregunta ya que en las universidades tampoco saben, pocos países empiezan a poner en sus programas educativos el Hacking Ético, pero no olvidemos que Internet es la mejor universidad del mundo y que si buscamos encontraremos miles de recursos gratis y otros mas que tienen un costo, costo que a mi parecer vale total mente la pena como la certificación CISA o CEH, en español también encontramos grandes obras para aprender como los libros de 0xWord.

Lo que importa es que queramos aprender y lo demás seguro se resuelve de una u otra forma, lo que si deberíamos evitar es poner en el mercado dispositivos que pongan en peligro la seguridad de nuestros clientes y de todo Internet como ya vimos estos últimos días.

Hablemos de empresas locales

Tomando en cuenta que las cámaras de seguridad se pueden convertir en un complemento para el internet de las cosas y que se supone deberían resguardar nuestro negocio u hogar voy a mencionar un tema del que tengo mucho tiempo viendo como se omite.

La mayoría de empresas locales dedicadas a la industria de seguridad no tienen ni idea de seguridad online y es muy irónico, dedicarte a la seguridad y no saber sobre ella.
Por ejemplo me ha tocado ver empresas de seguridad vehicular que el acceso a sus sistemas es por IP directa sin Firewalls y sin nada, es mas sin SSL, esto me toco vivirlo y aun sigue así ya que la inversión se les hizo mucho.

Pero otra cosa que me preocupa sobre las empresas que según cuidan de nosotros es que usan esos DVR y Cámaras chinas que no tienen ni marca ni centro de soporte ni nada, esta es la razón por la que nunca contratare un servicio de alarma, al menos no de esos que se anuncian en mi ciudad, prefiero tener un buen sistema que aunque me cueste el doble me de la seguridad de saber que tengo respaldo.

Si así están las empresas de seguridad no quiero saber como están las empresas de que no se dedican a eso, que seguro que están en la misma situación o en una peor.

Por hoy es todo.
Saludos, Jesús Verduzco (El Yisus)