Language
Adopte pruebas de penetración integradas para mantener seguros los dispositivos de IoT
HogarHogar > Blog > Adopte pruebas de penetración integradas para mantener seguros los dispositivos de IoT
ÚLTIMAS NOTICIAS

Adopte pruebas de penetración integradas para mantener seguros los dispositivos de IoT

Aug 07, 2023

Con la creciente adopción de IoT y dispositivos conectados, las organizaciones deben centrarse en la seguridad de sus sistemas integrados.

Si bien muchas organizaciones realizan pruebas periódicas de penetración de redes y aplicaciones, a menudo se olvidan de evaluar las vulnerabilidades de los dispositivos conectados. Las pruebas de penetración integradas analizan los dispositivos conectados, incluidos los productos de IoT, en busca de posibles debilidades.

Para ayudar a los equipos de seguridad y a las personas interesadas a realizar pruebas de penetración integradas adecuadas, Jean-Georges Valle escribió Practical Hardware Pentesting. Durante la carrera de Valle, trabajó en pruebas de penetración integradas, arquitectura de seguridad y gestión de riesgos. Actualmente se desempeña como vicepresidente senior de Kroll, una consultoría de servicios financieros y riesgos cibernéticos.

El libro, actualmente en su segunda edición, enseña a los lectores cómo aplicar técnicas ofensivas para probar dispositivos integrados en busca de vulnerabilidades y debilidades.

Si bien el objetivo es el mismo que el de la prueba de penetración de software, es una experiencia diferente para el evaluador. "Es una actividad práctica", dijo Valle. "Estás interactuando físicamente con los dispositivos: estás soldando, abriendo piezas y aplicando ingeniería inversa a un dispositivo físico".

En una entrevista, Valle habló sobre los desafíos en la seguridad de los sistemas integrados, las pruebas de penetración integradas y cómo realiza una prueba de penetración.

Consulte un extracto del Capítulo 10 que explica cómo realizar ingeniería inversa dinámica durante las pruebas de penetración integradas.

Nota del editor: la siguiente entrevista ha sido editada para mayor claridad y extensión.

¿Cuál es la mayor debilidad en lo que respecta a la seguridad de los sistemas integrados que las organizaciones deben tener en cuenta?

Jean-Georges Valle: La mayor debilidad es que los sistemas integrados nunca existen por sí solos. Siempre interactúan con algo en el back-end y con otros servicios en algún lugar de la nube. El problema a partir de ahí es que estos sistemas y dispositivos integrados generalmente se consideran totalmente confiables y no un vector de ataque.

Esta forma de pensar no es del todo cierta, lo he descubierto y lamento decirlo. Los atacantes pueden aprovechar los dispositivos y sistemas integrados como vía de ataque hacia la infraestructura de TI de una organización y partir desde allí. Debido a esta idea errónea de confianza con respecto a los dispositivos integrados, se olvidan los principios habituales de privilegio mínimo, endurecimiento, segmentación, etc. Las organizaciones pueden pasar por alto los dispositivos integrados y sus posibles vulnerabilidades. Esto los abre a vectores de ataque comunes, como la inyección de comandos, o da como resultado que los dispositivos integrados tengan acceso a secretos, como claves API, que los atacantes pueden usar para profundizar en una infraestructura de TI.

¿Ha notado el reconocimiento reciente por parte de las organizaciones sobre la mejora de la seguridad para IoT y dispositivos similares?

Valle: Un poco, pero esto se debe en gran medida a que la Unión Europea está tomando medidas enérgicas contra la seguridad de los sistemas integrados. La UE introdujo restricciones legales para este tipo de dispositivos en una propuesta de 2022 para la Ley de Resiliencia Cibernética. La ley establece líneas básicas de seguridad que los dispositivos conectados deben cumplir o no obtendrán la marca CE, lo que efectivamente significa que no se pueden vender en el Espacio Económico Europeo. Debido a la falta de incentivos de la industria para reforzar los dispositivos integrados, los reguladores tuvieron que intervenir y comenzar a tomar medidas enérgicas.

Con demasiada frecuencia, los proveedores tratan los productos digitales de manera diferente que la mayoría de las otras industrias y se niegan a aceptar cualquier responsabilidad tras incidentes de seguridad. Por ejemplo, si vas a la tienda y compras una tarta de manzana y te envenenas, el fabricante de ese alimento es responsable. En realidad, no es así como ha funcionado con los productos digitales, pero eso está cambiando desde una perspectiva regulatoria, lo cual es bueno. Ahora, si un fabricante vende un producto digital vulnerable, puede ser considerado responsable. Esto hace que los fabricantes reconsideren sus productos y se centren menos en ofrecer dispositivos conectados baratos e inseguros.

¿El objetivo de las pruebas de penetración integradas es el mismo que el de las pruebas de penetración de aplicaciones o de redes clásicas?

Valle: Sí. Es común encontrar e informar a los fabricantes sobre los problemas con sus dispositivos y ayudarlos a gestionar sus propios riesgos. Al final, el objetivo es el mismo para ayudar con la gestión de riesgos, ya sea que esté probando un automóvil, un PLC [controlador lógico programable] industrial, un producto de IoT o un sitio web. El hecho de que los dispositivos IoT no sean obviamente una computadora a primera vista porque no son una caja con LED parpadeantes no significa que no necesiten pruebas para ayudar a un fabricante u organización a asumir sus riesgos. Todavía quieren saber sobre los riesgos a los que están expuestos.

¿Cree que hoy en día las organizaciones consideran las pruebas de penetración integradas o a menudo se olvidan?

Valle: Afortunadamente, cada vez es menos una idea de último momento, especialmente para las empresas que son maduras en la gestión del ciclo de vida de su seguridad. Se dan cuenta de que corren riesgos debido a los dispositivos de IoT y de que se avecinan regulaciones, especialmente en la UE. Otros países seguirán con el tiempo y exigirán a los fabricantes, especialmente, que se aseguren de que sus dispositivos conectados no representen riesgos para la seguridad.

Históricamente, los sistemas integrados se producían con el objetivo de reducir costes y no se prestaba mucha atención a la gestión de riesgos. Los fabricantes estaban más preocupados por competir contra precios en constante caída y durante mucho tiempo no miraron sus productos a través del prisma de la seguridad y la gestión de riesgos. La seguridad ocuparía el tercer, cuarto o quinto lugar en su lista de prioridades, pero su mentalidad está empezando a cambiar. Pero no es un interruptor de encendido/apagado, por lo que lleva tiempo cambiar su forma de pensar.

¿Cuál es el aspecto más difícil de las pruebas de penetración integradas?

Valle: Cada producto y dispositivo al que te acercas es un copo de nieve; todos son diferentes. Para mí, este es al mismo tiempo el aspecto más difícil y también el más gratificante. Cuando observa las pruebas de penetración de redes y aplicaciones, tiene mucho más software común y tecnología compartida que probará y examinará. Por ejemplo, el 90% de los entornos empresariales que realice pruebas de penetración tendrán un sistema operativo Windows y utilizarán aplicaciones como Active Directory y VMware [hipervisor de escritorio].

Esto no es necesariamente cierto para los sistemas integrados. Hay muchos proveedores de IoT diferentes y todos utilizan diferentes componentes físicos en sus dispositivos para crear sus dispositivos y sistemas especializados. Esto dificulta las cosas para los probadores de penetración porque tienen que pasar por diversos ecosistemas de hardware y diferentes sistemas operativos de IoT y software personalizado.

Los probadores de penetración integrados necesitan una mentalidad específica para tener éxito. Deben sentir curiosidad por los dispositivos con los que se encuentran y estar preparados para aprender y leer mucha documentación.

Eso es lo que me gusta de las pruebas de penetración integradas porque nunca te aburres y experimentas el mismo proceso de prueba que el de las pruebas de penetración de software. Realmente necesitas tener ese espíritu de hacker y no esperar simplemente marcar casillas en una lista cuando realizas una prueba de penetración.

¿Cuáles son algunos pasos comunes a seguir al realizar pruebas de penetración integradas?

Valle: Cada experiencia de pruebas de penetración integradas es diferente. Sin embargo, tengo un enfoque típico que puedo explicar. Normalmente empiezo abriendo el dispositivo e intento identificar los diferentes componentes que utiliza y su funcionalidad. Descubriré dónde se almacenan los datos en el dispositivo y determinaré qué código se utiliza para que todo funcione. A partir de ahí, normalmente empiezo a realizar ingeniería inversa en todo el dispositivo e intento vincular las funcionalidades digitales del dispositivo a cada componente de hardware.

Las pruebas de penetración integradas requieren una buena dosis de experiencia para descubrir realmente los dispositivos conectados y descubrir esas vulnerabilidades y debilidades. Hay vectores de ataque comunes a los que los evaluadores aprenderán a apuntar con el tiempo: frutos al alcance de la mano que pueden atacar para obtener ganancias rápidas. En los dispositivos IoT, esto incluirá examinar los puertos de depuración, ver qué exponen las interfaces serie y revisar los chips utilizados en el dispositivo. A partir de ahí, los evaluadores pueden hurgar y pinchar los chips de almacenamiento.

Al fin y al cabo, los dispositivos integrados siguen siendo ordenadores y tienen las mismas funcionalidades básicas, como almacenamiento, memoria y líneas de comunicación. Los componentes pueden ser más especializados, pero el dispositivo sigue siendo una computadora.

¿Qué debe hacer una organización después de una prueba de penetración integrada?

Valle: Priorizar abordar las vulnerabilidades y debilidades descubiertas a través del test de penetración. Las organizaciones suelen tener un presupuesto limitado para abordar cuestiones de seguridad; Es aconsejable centrarse en las vulnerabilidades que están muy expuestas y son muy fáciles de resolver. Las organizaciones tienen que abordar costos de remediación y necesitan descubrir la estrategia de gestión de riesgos que mejor funcione para ellas. Realmente, es el mismo proceso por el que pasará cualquier organización después de cualquier otra prueba de penetración: se trata de gestión de riesgos.