Seguridad ‘hogareña’

El tema de la seguridad ‘hogareña’ (hogar en sentido amplio, dispositivos que interactúan diariamente con nosotros fuera del ámbito profesional: sensores, aparatos, coches, …). Por eso me hizo tanta gracia ver que una empresa de seguridad al uso lanzaba un informe sobre el tema: [PDF] Caution: Malware Ahead y merce ser recordado por aquí.
Está fundamentalmente orientado a los coches y los sistemas integrados que se basan en ordenadores más o menos potentes y sus programas.

Ya hemos comentado, como decía, algunos artículos sobre el tema:

El coche, el mp3 y cosas malas que pueden suceder.
Coches e informática
Ataques a los sistemas de arranque sin llave en coches.
¿pueden atacar tu coche?.
y algún otro. Y, ya sin coches:
La intimidad y los dispositivos inalámbricos
Humanos y virus informáticos
Los electrodomésticos y la seguridad.

Bueno. Ya dije que era un tema que me llama la atención. Hay más enlaces pero no los pongo aquí.

Juguetes de vigilancia

Hace algún tiempo hablábamos de Los electrodomésticos y la seguridad. Toda parte tiene su contraparte y allí veíamos como algunas cámaras y elementos de comunicación podían jugar en nuestra contra. En Toy robots can guard your home nos cuentan de un proyecto que utiliza esos juguetes para que nos sirvan como elementos de vigilancia: Robodance es la web donde se describe el proyecto.

El coche, el mp3 y cosas malas que pueden suceder

Me daba un poco de pereza hablar de esto. Sobre todo porque ya hemos hablado otras veces y lo único novedoso es el aparatito que afecta a la seguridad del vehículo. Pero tampoco quiero dejarlo pasar, así que puede hacer una buena entrada de viernes: With hacking, music can take control of your car:

But their most interesting attack focused on the car stereo. By adding extra code to a digital music file, they were able to turn a song burned to CD into a Trojan horse. When played on the car’s stereo, this song could alter the firmware of the car’s stereo system, giving attackers an entry point to change other components on the car. This type of attack could be spread on file-sharing networks without arousing suspicion, they believe. “It’s hard to think of something more innocuous than a song,” said Stefan Savage, a professor at the University of California.

Esto es, añadiendo código a un fichero de música consiguieron alterar el ‘firmware’ del sistema de sonido del coche, obteniendo acceso a modificar otras componentes del coche.

Se pueden ver más enlaces sobre estos temas en, por ejemplo, Ataques a los sistemas de arranque sin llave en coches.

La intimidad y los dispositivos inalámbricos

No termina de quedarme claro el tipo de sensores que comentan en el artículo (creo que por estos lares no son tan frecuentes) pero me pareció interesante el artículo [PDF] Protecting your Daily In-Home Activity Information from a. Wireless Snooping Attack: se trata de analizar el tráfico de los sensores de presencia y de otros tipos que podemos tener instalados en los hogares para espiar y averiguar patrones de conducta de los habitantes desde el exterior: cuándo duermen, cuándo están en determinadas habitaciones, cuántos son, dónde está cada tipo de habitación (cocina, dormitorio, …) …
El método se basa en escuchar a los sensores (cuya información puede estar cifrada, pero que no están contínuamente transmitiendo) y determinar, en función de su actividad, la actividad de las personas que viven en la casa. Los interesados, puede que encuentren más cómoda la presentación en [PPT] Protecting your Daily In-Home Activity Information from a. Wireless Snooping Attack porque hay más gráficos y va más directamente a los resultados.

Seguiríamos en la línea de los ataques a tecnología doméstica, para la que todavía no se está prestando suficiente atención por parte de los que la intalan en los hogares (ver algo más en Más ataques a coches y en sus enlaces).

Humanos y virus informáticos

Es un tema que habíamos comentado de pasada. En Primer humano “infectado” por un virus de computadora nos hablan del caso de Mark Gasson, que se implantó un chip de identificación por radio frecuencia (RFID) y lo infectó con un virus de ordenador, como cuentan en Could humans be infected by computer viruses?.
A partir de allí elucubran con la posibilidad de transmitir el virus a otros dispositivos.
En esta línea de infecciones hipotéticas pero complicadas, comentamos en su día aquello de Infecciones en red.

Naturalmente, el principio de la Navaja de Occam nos dice que hay formas más fáciles de causar perjuicios, pero recordemos que la cantidad de dispositivos programables que hay a nuestro alrededor sin demasiada seguridad es grande (y creciendo) como veíamos, por ejemplo, en ¿Pueden atacar tu coche?.

Los electrodomésticos y la seguridad

Estoy exagerando con lo de los electrodomésticos, pero todo se andará.
Habitualmente, cuando se habla de seguridad de se piensa en la ‘reliability’ (confiabilidad) más que en la ‘safety’ (seguridad contra cosas ‘malas’).

En A Spotlight on Security and Privacy Risks with Future Household Robots: Attacks and Lessons (pdf) se hace un resumen de lo que se podía hacer con unos cuantos robots de esos de juguete (RoboSapien V2, Rovio, y Spykee) desde el punto de vista de atacar nuestra intimidad e incluso nuestra seguridad: los robots pueden coger cosas, ver y transmitir imágenes, ser controlados remótamente con sistemas de comunicación poco protegidos …. Como casi siempre, los fabricantes se han preocupado de la funcionalidad, pero no tanto de que esa funcionalidad sea accesible sólo para el legítimo propietario. En FAQ: Protecting the Security and Privacy of Users with Household Robots hay una descripción menos ‘dura’ que la del artículo y, tal vez, en un formato más conveniente.

Por otra parte, en Pacemakers and Implantable Cardiac Defibrillators: Software Radio Attacks and Zero-Power Defenses (pdf) donde se habla de cómo es posible hacer ingeniería inversa del protocolo de comunicación del aparato en cuestión (marcapasos) y la unidad de control, de manera que un atacante podría enviar órdenes al aparato desde una distancia suficientemente próxima que, naturalmente, podrían tener consecuencias desagradables.