Los certificados de seguridad que caducan pueden comenzar a apagar dispositivos IoT


La actualización de los certificados SSL raíz de CA requiere la actualización del firmware en dispositivos de transmisión, dispositivos inteligentes, enrutadores, cámaras y más.

Botón verde SSL con bloqueo en un teclado, concepto de Internet seguro

Botón verde SSL con bloqueo en un teclado, concepto de Net seguro

Getty Photos / iStockphoto

Un experto en seguridad predice problemas futuros para los fabricantes de dispositivos IoT y los clientes debido a los certificados SSL raíz caducados. Terry Dunlap, es el director de seguridad y cofundador de ReFirm Labs, una compañía que se especializa en análisis de seguridad de firmware.

Dunlap y los especialistas en ciberseguridad están rastreando el impacto de los certificados SSL raíz de la Autoridad de certificación (CA) que caducan en dispositivos inteligentes, incluidos televisores inteligentes, refrigeradores, bombillas y otros dispositivos IoT. Esto incluye los dispositivos IoT conectados a redes corporativas, incluidos enrutadores, cámaras de movie y teléfonos VoIP. En mayo, varios canales de Roku se oscureció debido a un certificado caducado.

Dunlap descubrió que muchos dispositivos se envían con certificados que ya caducaron.

«No solo abarrota el firmware, sino que para los atacantes sofisticados, hay formas de usar certificados caducados para hacer un ataque de hombre en el medio», dijo.

VER: Política de mejores prácticas del certificado SSL (TechRepublic Quality)

Una CA es una autoridad de certificación, una organización que certifica el S en HTTPS, incluidos Enable&#39s Encrypt, Sectigo, DigiCert y Comodo. La infraestructura de clave pública se utiliza para autenticar usuarios y dispositivos en línea. Hay un mínimo de tres enlaces en una cadena de certificados, incluido el certificado de CA raíz que está incrustado en el navegador o el sistema operativo, y un certificado de CA intermedio y un certificado de entidad last, ambos proporcionados por un servidor. La CA raíz está incrustada en el dispositivo del cliente, y las actualizaciones deben realizarse en el dispositivo a través de una actualización de software package.

El desafío con los dispositivos «inteligentes» es que no se actualizan con tanta frecuencia como otros dispositivos como teléfonos y computadoras portátiles, y no existe un sistema automatizado para entregar estas actualizaciones. El otro elemento en la ecuación es que estos dispositivos como enchufes, bombillas y cámaras tienen bajos márgenes de ganancia y una corta vida útil. Muchos fabricantes no priorizan la seguridad hasta después de una violación o un problema.

«No están preocupados por la seguridad hasta después del hecho, y hay una falta de atención a las prácticas de codificación segura y también un problema de handle de calidad», dijo.

El consejo de Dunlap para los consumidores es aprender cómo actualizar el firmware de sus dispositivos IoT y buscar actualizaciones como lo hace con su enrutador doméstico.

«Tengo que ir constantemente al sitio net de la empresa, iniciar sesión en la página de administración de mi navegador y rezar para que no rompa el enrutador en el proceso», dijo.

No anticipa un apagón whole del servicio de estos dispositivos IoT, pero que habrá una interrupción significativa que abrumará a los centros de atención al cliente.

Para los fabricantes de dispositivos, a veces el problema con los certificados caducados proviene del firmware escrito por proveedores externos.

«Si confía en algún componente externo para su dispositivo, como un chip Wi-Fi, el proveedor le dará el componente de hardware y un blog de código», dijo. «No tiene acceso al código fuente que entra en la imagen del firmware que se graba en su dispositivo».

La plataforma centrífuga de ReFirm analiza el firmware antes de que un dispositivo llegue al mercado para realizar ingeniería inversa del código y buscar debilidades y riesgos de seguridad, incluidos los certificados de seguridad vencidos.

«Podemos identificar el código que tiene el mayor riesgo de ser explotado por un atacante», dijo.

Dunlap describió cómo ReFirm trabajó con un fabricante de automóviles para analizar el firmware de un proveedor. El dispositivo inalámbrico en revisión period un dispositivo de diagnóstico utilizado por técnicos de servicio que se conectaba al tablero de un automóvil para leer los códigos del motor.

«Descubrimos que el proveedor de nivel 1 había dejado su clave de firma privada en el firmware», dijo. «Modificamos el firmware, y el automóvil lo aceptó para que cuando un conductor encendiera la señal de giro a la derecha, se activara la izquierda».

Dunlap dijo que su compañía está viendo más interés por parte de consultores de seguridad y pregunta sobre las pruebas de penetración.

«O las firmas consultoras están siendo proactivas y ofrecen evaluaciones de IoT o sus clientes lo están planteando como una preocupación», dijo.

ReFirm Labs tiene un número significativo de clientes en el sector de las telecomunicaciones, incluidas las empresas que producen equipos para redes de primeros auxilios.

Ver también



Enlace a la noticia first