Caracasdigital Caracasdigital

  
 RUN RUN TECNOLÓGICO
China prepara una lista negra de empresas estadounidenses

China anunció el establecimiento de una “lista de entidades no fiables”, que “dañen graveme...Leer más


Movistar estrena nueva imagen en su página web

- El nuevo diseño responde una estrategia global de la compañía de homolog...Leer más


ESET acerca consejos para evitar la sobreexposición en redes sociales

En el marco de la celebración por el día de Internet el próximo 17 de mayo, ESET analiza el uso ...Leer más


Búsqueda de talentos en Seguridad Informática + cursos de adiestramiento

Greincor Technologies C.A. (Caracas – Venezuela) se encuentra en la búsqueda de profesionales para desempeñarse...Leer más


El curioso origen del azul de Facebook motivado por un defecto de su creador

Muchos podrían proyectar que es resultado de un cuidadoso estudio de mercado, diseño, o algún ti...Leer más


Bancamiga Banco Universal impulsa alianzas a través del Pago Móvil Interbancario

Como parte de los objetivos estratégicos de la institución Bancamiga, Banco Universal impulsó la...Leer más


Un día para los profesionales y gerentes más destacados de esta área en Venezuela

Seminario “La gerencia del capital humano para el 2019” brindará herramientas útiles e innova...Leer más


Señal LTE 4G Max de Movilnet llega al Warairarrepano

La operadora Móvil del Estado elevó a 315 el número de radiobases que en la actualidad ofrecen e...Leer más


Este sábado, Arte, cine, conciertos, teatro y deporte tendrán nueva sede en Baruta

“Rompiendo Esquemas en +” será el evento que abra las puertas del nuevo “Centro Cultural.mpâ...Leer más


:::::::::::::::::::::::::::::::: Agregar Nuevo
===================Ver Todo

Opinan los Expertos

Revisión histórica de la computación en Venezuela en el siglo
Roger Merchán
Comunicador Social, egresado de la Universidad Cen

Lo que todo CIO debe conocer de su Centro de Datos
Paola Boccia
Directora Ejecutiva de Banesco Banco Universal

Lenovo y la revolución del software
Lorenzo Rubín
Sales & Operations Manager Venezuela, Bolivia, Uru

TECH: Nuestra fiel compañera
Rodolfo Carrano
Vice Presidente Comercial de Directv Venezuela

Nuevas tecnologías para proteger el Patrimonio
Alejandra Luzardo
Cofundadora de Demand Solutions, Líder y Estrateg
===================Ver Todo

Dispositivos IoT: herramientas para su análisis

 

 

Los dispositivos inteligentes, a diferencia de tecnologías previas, presentan una amplia complejidad debido a la variedad de dispositivos y software existentes en el mercado. En este sentido, las investigaciones, los análisis y las conclusiones se vuelven sumamente importantes para evitar vulnerabilidades, ataques y demás riesgos que vienen de la mano del “Internet de las Cosas”.

 

Estos dispositivos inteligentes son cada vez más comunes y ya no es extraño encontrar enchufes o luces que se controlan desde el celular, asistentes de voz o incluso los “wearable” como son los smartwatches o anteojos. Las opciones varían y se siguen sumando a la extensa lista de dispositivos IoT que interactúan con un teléfono móvil o una red hogareña por lo que son susceptibles de vulnerabilidades si no están bien configurados.

 

El Laboratorio de ESET Latinoamérica seleccionó tres herramientas que son muy útiles al momento de interceptar las comunicaciones de los dispositivos con el objetivo de analizar el tráfico pero también de poder inyectar paquetes manipulados.

 

Ubertooth

 

Una gran cantidad de dispositivos inteligentes utilizan Bluetooth para comunicarse con equipos cercanos, como teléfonos móviles o controles remotos. En este sentido, poder interceptar y analizar este tráfico puede ser de gran utilidad para encontrar fallas de seguridad o para realizar ataques de MiTM y lograr enviar mensajes o comandos remotos al equipo.

 

El proyecto Ubertooth tiene todo lo necesario para experimentar y analizar la tecnología Bluetooth, ya que permite capturar e inyectar tráfico tanto BLE (Bluetooth Low Energy) como las conexiones clásicas de Bluetooth (Basic Rate).

 

Una vez instalado el software y conectada la antena, se podrá descargar y utilizar las diferentes herramientas que se incluyen en el repositorio para facilitar el análisis de los datos interceptados. Incluso, es posible analizar los paquetes capturados utilizando Wireshark, el cual ya incluye desde su versión 1.12 el plugin para el tráfico BLE.

 

El análisis del tráfico Bluetooth no es sencillo y requiere entender muy bien el protocolo, por lo que el proyecto cuenta también con una Wikiy un foro donde se encuentra toda la documentación no solo del dispositivo sino también del funcionamiento del protocolo Bluetooth.

 

Attify Badge

 

Es una pequeña placa electrónica que permite interactuar con varios protocolos y puertos de comunicación muy utilizados en dispositivos inteligentes y permite tener acceso al hardware del dispositivo que se quiere analizar. Si se ve desde el análisis se concluye que poder conectarse directamente al hardware del equipo permite interceptar el tráfico de las comunicaciones a más bajo nivel, analizarlo o incluso modificarlo e inyectar comandos.

 

Cecilia Pastorino, especialista de seguridad informática de ESET, confirma que ”los ataques a través de JTAG y UART son los más efectivos para dispositivos IoT”, y agrega “JTAG (Joint Test Action Group) es una interfaz electrónica de cuatro o cinco pines utilizada para probar los módulos de circuitos integrados, y es muy útil también como mecanismo para depuración de aplicaciones embebidas, ya que provee una puerta trasera para acceder al sistema, por su parte UART (Universal Asynchronous Receiver-Transmitter), es el chip que controla los puertos y dispositivos serie, tomando bytes de datos y transmitiendo los bits individuales de forma secuencial. Entre otras funciones, maneja las interrupciones de los dispositivos conectados al puerto serie y convierte los datos en formato paralelo, transmitidos al bus de sistema, a datos en formato serie, para que puedan ser transmitidos a través de los puertos y viceversa”.

 

Killerbee

 

La aparición de dispositivos pequeños, con recursos limitados, ha hecho que nuevos protocolos se vuelvan cada vez más populares tal es el caso de ZigBee, un protocolo de comunicación inalámbrico muy utilizado en domótica por su bajo consumo eléctrico. Es muy común encontrarlo en luces inteligentes, sensores de temperatura, y todo tipo de dispositivos para el control del hogar.

 

Al igual que muchos otros protocolos, este también cuenta con un framework de código abierto para su análisis. Se trata del proyecto KillerBee, pensado para la explotación del protocolo ZigBee.

 

Al igual que Ubertooth, KillerBee también consta de un software instalable, principalmente desarrollado en Python, y un hardware (antena) para poder capturar el tráfico. La más común es la Atmel RZ RAVEN USB Stick, pero también pueden conseguirse otras alternativas.

 

Una vez instalado, Killerbee permite interceptar el tráfico de los protocolos inalámbricos, realizar inyección de paquetes, ataques de denegación de servicio y hasta crear exploits personalizados utilizando SCAPY. Otro punto a favor es que soporta la modalidad wardriving, lo cual permite analizar diferentes canales para encontrar redes disponibles.

 

Con respecto a esta herramienta Pastorino concluye que “Si bien este framework es un poco difícil de instalar, una vez sorteados estos obstáculos, es sencillo de utilizar y posee una interfaz amigable”.

 

Comstat Rowland

Dispositivos IoT: herramientas para su análisis
Envíe este artículo a un amigo Imprima este artículo   

Comentarios
arachni_text
2019-03-31
arachni_text



Comentar



Esta nota/artículo ha sido originalmente publicado por www.caracasdigital.com, el 21 de Marzo de 2019..

Caracas Digital no se hace responsable por los juicios de valor emitidos por sus colaboradores y columnistas de opinión y análisis.

Aceptamos colaboraciones previa evaluación por nuestro equipo editorial, estamos abiertos a todo tipo o corriente de opiniones, siempre y cuando a nuestro juicio estén dentro de valores éticos y morales razonables.

Usted puede reproducir, reimprimir, y divulgar este artículo a través de los medios audiovisuales e Internet, siempre que identifique a la fuente original, http://www.caracasdigital.com