Imagínese comprar una cámara de vigilancia habilitada para Internet, un dispositivo de almacenamiento conectado a la red o un artilugio de automatización del hogar, solo para descubrir que en secreto y constantemente llama a casa a una vasta red peer-to-peer (P2P) administrada por el fabricante chino del hardware. Ahora imagine que el equipo geek que compró en realidad no le permite bloquear esta comunicación P2P sin una experiencia seria en redes o una cirugía de hardware que pocos usuarios intentarían.
La FI9286P, una cámara Foscam que incluye comunicación P2P por defecto.
Este es el escenario de pesadilla de «Internet de las cosas» (IoT) para cualquier administrador de sistemas: las cámaras IP que compró para proteger su espacio físico de repente se convierten en una vasta red en la nube diseñada para compartir sus imágenes y videos a lo largo y ancho. ¿La mejor parte? Todo es plug-and-play, ¡no es necesario configurarlo!
Me di cuenta por primera vez de este extraño experimento sobre cómo no hacer IoT la semana pasada cuando un lector envió un enlace a un largo hilo de discusión en el foro de soporte para Foscam, una empresa china que fabrica y vende cámaras de seguridad. El hilo fue iniciado por un usuario de Foscam que notó que su cámara IP estaba llamando ruidosamente e incesantemente a más de una docena de hosts en línea en casi la misma cantidad de países.
Resulta que esta cámara Focscam fue uno de varios modelos más nuevos que fabrica la compañía que viene con capacidades de red peer-to-peer incorporadas. Este hecho no se explica exactamente al usuario (aunque algunos de los modelos publicados diga «P2P» en el nombre del producto, Otros no lo hacen).
Pero el mayor problema con estas cámaras basadas en P2P es que, si bien la interfaz de usuario de la cámara tiene una configuración para deshabilitar el tráfico P2P (está habilitada de manera predeterminada), Foscam admite que deshabilitar la opción P2P en realidad no hace nada para evitar que el dispositivo busque otros hosts P2P en línea (vea la captura de pantalla a continuación).
Esto es preocupante porque la función P2P integrada en las cámaras Foscam P2P está diseñada para atravesar cortafuegos y no se puede apagar sin aplicar una actualización de firmware más un parche adicional que la compañía solo lanzó después de repetidas súplicas de los usuarios en su foro de soporte.
Sí, esta configuración no funciona. P2P todavía está habilitado incluso después de desmarcar la casilla.
Uno de los muchos hosts que los usuarios de Foscam informaron haber visto en sus registros de firewall fue plataformaiotc.comun dominio registrado a nombre de una empresa de comunicaciones china A través de Tek Co., Ltd. Resulta que este dominio ha aparecido en los registros del cortafuegos para una serie de otros curiosos que se preocuparon por observar más de cerca lo que su almacenamiento conectado a la red y los juguetes de automatización del hogar estaban haciendo en su red.
En enero de 2015, un escritor colaborador de Threat Tracking Centro de tormentas de Internet SANS escribió en IoT: el auge de las máquinas que encontró el mismo dominio iotcplatform.com mencionado en el tráfico de red generado por un Maginon SmartPlug que había comprado (los enchufes inteligentes son receptáculos de alimentación en los que se conectan luces y otros aparatos que quizás desee controlar de forma remota).
¿Qué es la Plataforma IOTC? Según ThroughTek, es un servicio desarrollado para establecer comunicaciones P2P entre dispositivos.
“Leí la documentación proporcionada con el dispositivo, así como todas las páginas del sitio web y no se menciona este servicio”, escribió. Javier Mertens, un manejador de incidentes y bloguero de SANS. «Los fabricantes deben incluir alguna documentación técnica sobre los requisitos de la red (por ejemplo, para descargar actualizaciones de firmware)».
En otro caso de mayo de 2015, este bloguero notó un tráfico de comunicaciones similar que emana de un dispositivo de grabadora de video digital (DVR) que se vende junto con cámaras de vigilancia habilitadas para Internet fabricadas por una compañía llamada Cisne.
Asimismo, las publicaciones desde diciembre de 2014 sobre el QNAP El foro de usuarios de almacenamiento conectado a la red (NAS) indica que algunos clientes de QNAP descubrieron un tráfico misterioso en iotcplatform.com y otras solicitudes de direcciones de Internet que también se encontraron en el tráfico de Swann y Smart Plug.
¿Qué tienen todas estas cosas en común? Una visita a las listas Web de ThroughTek varios “casos de estudio” para sus productosincluidos Swann, QNAP y una empresa de automatización del hogar con sede en Taiwán llamada abocom.
ThroughTek no respondió a las solicitudes de comentarios. Un comunicado de prensa de ThroughTek de octubre de 2015 anunció que la red P2P de la compañía, a la que llama Red Kalay — había crecido para admitir más de siete millones de dispositivos conectados y 100 millones de “conexiones IoT”.
Me comuniqué con Foscam para comprender mejor la relación de la empresa con ThroughTek y para saber cuántos dispositivos Foscam se envían ahora con la tecnología P2P integrada y siempre activa de ThroughTek. Foscam se negó a decir cuántos modelos diferentes incluían la tecnología P2P, pero son al menos una docena según mi recuento de los modelos mencionados en Foscam. manual de usuario y Hilo de discusión.
Representante de atención al cliente Foscam david qu escribió en respuesta a las solicitudes de comentarios que «ThroughTek nos brinda un servicio de soporte técnico P2P». También dijo que las cámaras P2P simplemente mantienen una conexión de «latido» con el servidor P2P de Foscam para verificar el estado de la conexión con los servidores, y que no se almacenarán datos de la cámara en los servidores de la empresa.
«Los detalles sobre cómo funciona la función P2P, que serán útiles para comprender por qué la cámara necesita comunicarse con los servidores P2P», explicó Qu. «Nuestra empresa implementa muchos servidores en algunas regiones del mundo global». Qu explicó además:
1. Cuando la cámara está encendida y conectada a Internet, la cámara iniciará sesión en nuestro servidor P2P principal con la respuesta más rápida y obtendrá la dirección IP de otro servidor con poca carga e iniciará sesión en él. Entonces la cámara no se conectará al servidor P2P principal.
2. Cuando inicie sesión en la cámara a través de P2P con la aplicación Foscam, la aplicación también iniciará sesión en nuestro servidor P2P principal con la respuesta más rápida y obtendrá la dirección IP del servidor al que se conecta la cámara.
3. La aplicación le pedirá al servidor que cree un túnel independiente entre la aplicación y la cámara. Los datos y el video se transferirán directamente entre ellos y no pasarán por el servidor. Si el servidor no puede crear el túnel, el servidor reenviará los datos y el video y todos estarán encriptados.
4. Finalmente, la cámara mantendrá una conexión de latido con nuestro servidor P2P para verificar el estado de la conexión con los servidores para que la aplicación pueda visitar la cámara directamente a través del servidor. Solo cuando la cámara se apague/encienda o cambie de red, replicará los pasos anteriores”.
Como señalé en una columna reciente IoT Reality: Smart Devices, Dumb Defaults, el problema con tantos dispositivos IoT no es necesariamente que estén mal concebidos, es que su configuración predeterminada a menudo ignora las preocupaciones de seguridad y/o privacidad. No entiendo por qué una marca tan conocida como Foscam permitiría comunicaciones P2P en un producto que se usa principalmente para monitorear y proteger hogares y oficinas.
Aparentemente no estoy solo en mi desconcierto. Nicolás Tejedorinvestigador sénior en redes y seguridad para la Instituto Internacional de Ciencias de la Computación (ICSI), calificó la función P2P integrada como «una idea increíblemente mala».
“Abre a todos los usuarios de Foscam no solo a los ataques a sus propias cámaras (que pueden ser muy sensibles), sino que una explotación de la cámara también permite más intrusiones en la red doméstica”, dijo Weaver.
“Dada la actitud aparentemente arrogante y la falta casi segura de actualizaciones automáticas, es casi seguro que estos dispositivos se pueden explotar de forma remota”, agregó. “No es de extrañar que el Director de Inteligencia Nacional, James Clapper, esté preocupado por el Internet de las Cosas, cuántos funcionarios gubernamentales tienen o pueden instalar espías potenciales como este en sus hogares sin saberlo”.
Si tiene curiosidad acerca de un dispositivo IoT que compró y qué podría hacer después de conectarlo a una red, la información está ahí si sabe cómo y dónde buscar. Esta publicación de Lifehacker explica algunas de las herramientas básicas de software y los pasos que incluso un novato puede seguir para obtener más información sobre lo que sucede en una red local.
Relacionado:
Esta es la razón por la que todos eligen a un investigador privado para la verificación de antecedentes
¿Quién teme a más spam y estafas? – Krebs sobre seguridad
Microsoft advierte sobre Internet Explorer 0day – Krebs sobre seguridad
