Reportes: A medida que la IoT crece, también lo hacen las amenazas al DNS

0
43

La Internet de las cosas (IoT, por sus siglas en inglés) se está convirtiendo en una amenaza más significativa para el Sistema de Nombres de Dominio a través de redes de bots de IoT más grandes, los efectos adversos involuntarios de las actualizaciones de software de IoT y el desarrollo continuo de software para la gestión de bots.

La Corporación de Asignación de Nombres y Números de Internet (ICANN, por sus siglas en inglés) y los investigadores de seguridad X-Force de IBM han publicado recientemente informes en los que se describe la interacción entre el DNS y la IoT que incluyen advertencias sobre la presión que las botnets de IoT ejercerán sobre la disponibilidad de los sistemas DNS.

El Comité Asesor de Seguridad y Estabilidad (SSAC) de la ICANN escribió en un informe que «un número significativo de dispositivos de IoT probablemente estarán habilitados para IP y utilizarán el DNS para localizar los servicios remotos que necesitan para realizar sus funciones. Como resultado, el DNS seguirá desempeñando el mismo papel crucial para la IoT que tiene para las aplicaciones tradicionales, que permiten a los usuarios humanos interactuar con los servicios y el contenido», declaró la ICANN. «El papel del DNS podría ser aún más crucial desde el punto de vista de la seguridad y la estabilidad, ya que los dispositivos de IoT interactúan con el entorno físico de las personas».

La IoT representa tanto una oportunidad como un riesgo para el DNS, declaró ICANN. «Es una oportunidad, porque el DNS proporciona funciones y datos que pueden ayudar a que la IoT sea más segura, estable y transparente, lo que es fundamental dada la interacción de la IoT con el mundo físico. Es un riesgo porque varios estudios de medición sugieren que los dispositivos de IoT pueden tensionar el DNS, por ejemplo, debido a los complejos ataques DDoS llevados a cabo por redes de bots que crecen a cientos de miles o, en el futuro, a millones de dispositivos de IóT infectados en cuestión de horas», señaló la ICANN.

Ataques DDoS involuntarios
Un riesgo es que la IoT pueda imponer nuevas cargas al DNS. «Por ejemplo, una actualización de software para un dispositivo de IoT popular habilitado para IP que haga que el dispositivo utilice el DNS con mayor frecuencia (por ejemplo, buscar regularmente nombres de dominio aleatorios para comprobar la disponibilidad de la red), podría acentuar el DNS en redes individuales cuando millones de dispositivos instalan automáticamente la actualización al mismo tiempo», anotó la ICANN.

Aunque se trata de un error de programación desde la perspectiva de los dispositivos individuales, podría dar lugar a un vector de ataque significativo desde la perspectiva de los operadores de infraestructuras DNS. Incidentes como éste ya han ocurrido a pequeña escala, pero pueden ocurrir con más frecuencia en el futuro, debido al crecimiento de dispositivos heterogéneos de IoT de fabricantes que equipan sus dispositivos de IoT con controladores que utilizan el DNS, indicó la ICANN.

Redes de bots masivamente grandes amenazan a las nubes

El informe también sugería que la escala de las redes de bots de IoT podría pasar de cientos de miles de dispositivos a millones. La botnet más conocida de la IoT es Mirai, responsable de los ataques DDoS que afectaron a entre 400 mil y 600 mil dispositivos. La red de bots de Hajime ronda los 400 mil dispositivos de IoT infectados, pero aún no ha lanzado ningún ataque DDoS. Pero a medida que la IoT crece, también lo harán las redes de bots y, como resultado, los ataques DDoS más grandes.

Los dispositivos de IoT conectados a la nube podrían poner en peligro los recursos de la nube. «Los dispositivos de IoT conectados a la arquitectura en nube podrían permitir a los adversarios de Mirai acceder a los servidores de nube. Podrían infectar un servidor con malware adicional eliminado por Mirai, o exponer todos los dispositivos IoT conectados al servidor a un mayor compromiso», escribió Charles DeBeck, analista estratégico senior de inteligencia de amenazas cibernéticas de IBM X-Force Incident Response en un informe reciente.

«A medida que las organizaciones adoptan cada vez más la arquitectura de la nube para aumentar la eficiencia y la productividad, la interrupción de un entorno de nube podría ser catastrófica».

Para las empresas que están adoptando rápidamente tanto la tecnología de IoT como la arquitectura de la nube, unos controles de seguridad insuficientes podrían exponer a la organización a un riesgo elevado, lo que exige que el comité de seguridad lleve a cabo una evaluación de riesgos actualizada, afirmó DeBeck.

Los atacantes continúan el desarrollo de malware
«Dado que esta actividad está altamente automatizada, sigue existiendo una gran posibilidad de infección a gran escala de dispositivos de IoT en el futuro», declaró DeBeck. «Además, los actores de la amenaza siguen ampliando sus objetivos para incluir nuevos tipos de dispositivos de IoT, y pueden empezar a buscar dispositivos de IoT industriales o prendas de vestir conectadas para aumentar su huella y sus beneficios».

Los malhechores de la red de bots también están desarrollando nuevas variantes de Mirai y malware de la red de bots de IoT fuera de la familia Mirai para dirigirse a los dispositivos de IoT, declaró DeBeck.

«Un grupo de actores de amenazas llamado Shaolin, por ejemplo, se ha centrado principalmente en los routers de marcas de consumo, concretamente en los routers Netgear y D-Link. Las muestras de Shaolin se remontan a diciembre del 2018, y parecen estar improvisadas a partir del código de múltiples variantes de redes de bots, incluyendo Mirai», declaró DeBeck.Algunos investigadores han sugerido que es parte de un grupo más grande de bots llamado Cayosin. Un usuario de Instagram, con el alias «unholdable», fue descubierto vendiendo acceso al malware de Cayosin a principios del 2019, publicando videos sobre cómo comprar y usar sus servicios de botnet, declaró DeBeck.

«Otra familia de malware orientada a la IoT, Gafgyt, representaba el 27% de todos los casos observados de focalización de la IoT hasta ahora en el 2019», según datos de X-Force.»Gafgyt es un recién llegado al mercado de botnets de IoT, que surgió a finales del 2017, y fue creado en parte a partir del código fuente Mirai publicado. Utiliza la fuerza bruta de contraseñas con una lista pre-generada de contraseñas para infectar dispositivos. Gafgyt se dirigió históricamente a dispositivos basados en Linux, a diferencia de Mirai, que se dirige a un conjunto más amplio de dispositivos».

Las redes de bots no son el único problema de IoT al que se enfrentan los sistemas DNS.ICANN señala que otro problema es lo que llama «programación DNS poco amigable y citó un ejemplo en el que, tras una actualización del iOS 6.0 de Apple en noviembre del 2012, la aplicación de música TuneIn comenzó a transmitir una consulta DNS por segundo para dominios de la forma quizás para comprobar regularmente la conectividad de la red.

«El operador de red móvil que observó el evento reportó alrededor de mil de estas consultas por segundo desde alrededor de 700 iPhones. El resultado fue que la caché del resolver de DNS del operador creció a cerca de cinco millones de entradas (normalmente alrededor de 400K) y su consumo de memoria aumentó a cerca de 10GB (normalmente alrededor de 4GB), lo que llevó al operador a clasificar el evento como un ataque DDoS a su resolver. El operador de red no pudo bloquear el tráfico porque los dispositivos también estaban haciendo consultas normales, y en su lugar tuvieron que esperar hasta que la nueva versión de la aplicación saliera a la luz, lo que ocurrió unas tres semanas después», escribió la ICANN.

«Por ejemplo, un cierto tipo de dispositivo de IoT, con una gran base instalada a través de muchas redes diferentes y resolvers, que muestran un comportamiento similar al de TuneIn puede causar estrés en los resolvers de DNS locales en esas redes porque llenan sus cachés y se quedan sin memoria, lo que resulta en caídas de paquetes o un aumento de la latencia de respuesta», escribió la ICANN.»Un evento similar sería un gran número de dispositivos de IoT que vuelven a estar en línea después de un corte de energía, y todos intentan localizar sus servicios remotos casi simultáneamente».

Una posible causa fundamental de la programación no amigable con el DNS es que los ingenieros de dispositivos de IoT confían en pilas de código abierto (variantes de Linux) que les ocultan los detalles de las funciones de red. Como resultado, están menos familiarizados con el funcionamiento del DNS y los efectos a escala de Internet de su programación.

Otro riesgo que la IoT presenta para el DNS es el número de resolvers abiertos en Internet.

«Los resolvers abiertos han sido mal configurados para aceptar consultas DNS de cualquier cliente en Internet, en lugar de restringir el acceso a clientes dentro del dominio al que están destinados (por ejemplo, una red ISP o una red doméstica)», declaró la ICANN.»Los atacantes pueden aprovechar estas configuraciones erróneas enviando muchas solicitudes de DNS a una solución abierta con las direcciones IP de origen de la consulta configuradas para falsificar la dirección IP de la víctima. Como resultado, el resolver enviará cualquier respuesta a la víctima en lugar de al atacante, añadiendo un factor de amplificación porque las respuestas DNS suelen ser mayores que las peticiones DNS».

El número de resolvers abiertos en Internet es del orden de millones, con algunos estimando de 23 a 25 millones de resolvers abiertos en el 2014, y Shadow server reportando más de tres millones de resolvers abiertos basados en su sistema de escaneo activo en diciembre del 2018, anotó la ICANN.

«Si bien los resolvers abiertos son un problema a largo plazo, representan un riesgo adicional para la IoT. Esto se debe a que Mirai ha demostrado que una botnet de varios robots de 100K puede lanzar ataques DDoS directos a operadores de DNS que pueden conducir a cortes de servicio a gran escala, que podrían ser decenas de veces mayores si se amplificaran a través de un conjunto de resolvers abiertos. Hay pruebas anecdóticas de que hay redes de bots de IoT, como la red de bots Reaper, son capaces de explotar los resolvers abiertos».

ICANN identificó cinco oportunidades clave para mejorar la seguridad general de la IoT-DNS:

Desarrollo de una biblioteca DNS para dispositivos de IOt que haga que las funciones de seguridad DNS (como la validación de DNSSEC) estén disponibles para aplicaciones de control de dispositivos, y que utilice datos de consulta DNS para hacer que las implementaciones de IoT sean más transparentes para los usuarios.

Formar a los profesionales de la IoT y DNS para ayudar a los jugadores de DNS, tales como registradores, a comprender las implicaciones de la prestación de servicios para nombres de dominio que actúan como backend para dispositivos de IoT, en lugar de como un medio para poner el contenido a disposición de los seres humanos; y para ayudar a los fabricantes de dispositivos de IoT a comprender cómo utilizar el DNS y cómo configurar los resolvers.

Desarrollar un sistema compartido que permita a los operadores de DNS compartir información de forma automática y continua sobre las redes de bots de IoT.

Desarrollar sistemas que permitan a los operadores de DNS compartir la capacidad de gestión de DDoS y que detengan los ataques en una fase temprana de las redes de extremo, de modo que los operadores de DNS puedan gestionar mejor los ataques DDoS de gran envergadura impulsados por la IoT.

Desarrollar un sistema que permita a los operadores de DNS medir cómo utiliza la IoT el DNS para comprender mejor cómo evolucionan los riesgos de la IoT, por ejemplo, para desarrollar una nueva política de nombres de dominio o para responder a incidentes.

Mientras tanto, X-Force de IBM recomienda estrategias de mitigación para proteger los sistemas IoT y DNS:

Investigar todos los activos de IoT de forma regular y asegurarse de que cumplen una finalidad empresarial legítima.

En el caso de las organizaciones que tienen una presencia significativa de la IoT, realizar periódicamente pruebas de penetración para confirmar la presencia de dispositivos de IoT y que cumplen las normas de seguridad.

Cambiar todas las contraseñas por defecto en los dispositivos IoT. Si no se pueden cambiar las contraseñas, separar la red de IoT y colocar controles atenuantes alrededor de estas redes de dispositivos.

Restringir el acceso público a Internet a los dispositivos de IoT colocándolos detrás de los firewalls y otras defensas de la red.

Supervisar las solicitudes de salida inesperadas de Wget o PowerShell que puedan estar intentando atraer cargas útiles maliciosas a dispositivos de IoT.

Aplicaciones seguras de IoT en todas las interacciones, desde las operaciones de los dispositivos de procesamiento de los servidores back-end hasta las comunicaciones con los dispositivos de los usuarios front-end.

Asegurar que las interacciones de los dispositivos de IoT estén encriptadas y autenticadas en todo el tablero.

Utilizar la información sobre amenazas para supervisar las tendencias actuales de las amenazas con el fin de conocer las últimas tácticas, técnicas y procedimientos que los agentes de amenazas están utilizando para poner en peligro los dispositivos de IoT.

Restringir la actividad de salida para los dispositivos de IoT que no requieren acceso externo.

Michael Cooney, NetworkWorld.com