Blog del CCI

sábado, 23 de marzo de 2013

Internet Census 2012. Un toque de atención


El objetivo de este proyecto de investigación, cuyos resultados acaban de ser publicados,  fue realizar un mapa de la utilización del direccionamiento IPv4 de forma global. Este proyecto ha causado polémica, porque tan interesante como sus resultados es el método que han utilizado para su realización, ya que los investigadores se han servido de dispositivos conectados a Internet que son accesibles con credenciales débiles. Han aprovechado los recursos de dichos dispositivos para realizar tareas diferentes a sus tareas legítimas. En este caso realizar escaneos del direccionamiento IPv4 de Internet de manera  distribuida.

Durante el proyecto, los investigadores identificaron más de un millón de dispositivos que podían ser administrados desde Internet y ejecutaron código en más de 400000. Aunque el código estaba hecho de forma que no interfiriera con el funcionamiento de los sistemas, y su objetivo fuese la investigación, la forma de llevarlo a cabo es ilegal. Sin embargo, si los investigadores han conseguido, con relativamente poco esfuerzo y sin necesidad de explotar vulnerabilidades software o hardware, la creación de una botnet de tamaño considerable. Cualquiera, con intenciones no tan altruistas, podría ser capaz de hacerlo, de hecho, durante el despliegue de su red, los investigadores identificaron miles de máquinas infectadas con el botnet Aidra que utiliza técnicas similares para su propagación. El informe del proyecto no proporciona demasiados datos sobre los sistemas comprometidas, tan sólo que son sistemas basados en Linux accesibles mediante telnet con credenciales débiles (root:root, admin:admin), sin embargo, sí que indica que entre esos sistemas hay decenas de miles de sistemas de control industrial.

Se puede disculpar que el usuario de un decodificador de TV no se preocupe de que el equipo esté accesible desde Internet, sin embargo, en ningún caso esto debería permitirse en sistemas de control encargados de gestionar sistemas físicos con capacidad de causar gran impacto en su entorno. Aunque el problema es el mismo en ambos ejemplos (negligencia del administrador del sistema) y su causa, probablemente, también (desconocimiento de las consecuencias), los efectos potenciales son evidentemente diferentes.

Debemos actuar ya para evitar que malas prácticas como la explotada en esta investigación comprometan la seguridad de sistemas importantes y con capacidad de causar daños desastrosos. Para esto, el primer paso debe ser la formación y la concienciación, pues sólo difundiendo los problemas podremos empezar a hacerles frente.






No hay comentarios :

Publicar un comentario en la entrada