Dos investigadores argentinos dieron a conocer una falla grave de seguridad en una serie de modelos de cámaras de videovigilancia muy popular en Argentina, de la marca Ezviv. La presentación fue en Defcon, la conferencia de hackers más grande del mundo, que se hace todos los años en Las Vegas.
“Si un atacante quisiera, podría aprovechar esta vulnerabilidad para usarla como en La Gran Estafa y reemplazar evidencia en vivo al mejor estilo Hollywoodense”, explicó a Clarín Octavio Gianatiempo, quien junto a Javier Aguinaga explicó cómo funciona esta vulnerabilidad.
En una charla titulada Sadprotocol Goes To Hollywood: Hijacking An Ip Camera Stream As Seen In The Movies, los hackers explicaron en la “Hardware Hacking Village”, una sección de Defcon donde los investigadores muestran cómo hackear dispositivos, desde celulares hasta electrodomésticos.
“Es un área o evento especial que forma parte de Defcon. Se centra en el análisis, modificación e investigación del funcionamiento de dispositivos electrónicos, hardware y sistemas embebidos, en muchos casos con el objetivo de buscar vulnerabilidades y posibles vectores de ataque pero, en otros casos, simplemente por curiosidad intelectual”, explica.
Gianatiempo encontró el problema cuando su jefe le pidió una mano para arreglar una cámara porque no funcionaba. Como todo hacker, “una cosa llevó a la otra” y terminaron analizando el firmware de la cámara (el programa que está embebido en el dispositivo) y buscando vulnerabilidades.
“La propuesta de la charla fue mostrar cómo encontramos estas vulnerabilidades y cómo podrían ser aprovechadas por un atacante. Las mismas permiten tomar control total de la cámara desde la red local cableada o Wi-Fi a la cual se conecta. Una vez que un atacante toma control de la cámara, puede hacer lo que desee”, cuenta Gianatiempo.
“En nuestro caso y para ilustrar el potencial riesgo de este escenario, mostramos cómo un atacante podría modificar el feed de video sin que una víctima se de cuenta. Esto podría ser usado cómo en La Gran Estafa”, agrega, en referencia a la película de 2001 en la que un grupo de delincuentes orquestan un robo de 5 casinos en, precisamente, Las Vegas.
El sentido de este tipo de investigaciones tiene que ver con alertar sobre los problemas que pueden tener dispositivos que se usan mucho, como este tipo de cámaras de seguridad, además de alertar sobre el problema para que la marca oficialmente lance un parche de seguridad.
“De fondo, lo que buscamos es generar conciencia sobre un problema que persiste en la industria de IoT y dispositivos conectados a internet. Los estándares y prácticas de seguridad en el desarrollo de su software tienen mucho por mejorar en comparación a otras industrias, incluso en los dispositivos están pensados para ser usados en contextos de vigilancia o seguridad, como es el caso de las cámaras”, agrega.
“Esto es aún peor en los modelos de bajo costo dado que las malas prácticas se combinan con su masividad, incrementando el impacto de las vulnerabilidades que poseen”, sigue el analista.
El año pasado, ambos investigadores presentaron en Defcon 30 y Ekoparty, una de las convenciones de hacking más grandes de América Latina, una vulnerabilidad muy grave en uno de los módems más vendidos en toda la región.
El descubrimiento y la reacción de Ezviv
Una vez que fue reportado el problema por Gianatiempo y Aguinaga, Ezviv emitió un comunicado para que los usuarios actualicen el software de las videocámaras. Sin embargo, una de las dificultades que tienen este tipo de problemas es que no todos actualizan.
“Las actualizaciones de firmware de los dispositivos embebidos siempre tienen una mayor resistencia por parte de los usuarios. Quizás porque cometer un error en el proceso puede dejar el dispositivo inutilizado (“brickeado“, como se dice)”, analiza el hacker.
“Históricamente debían ser aplicados de forma manual por los usuarios. Para cambiar esta situación los fabricantes están pasando a actualizaciones automáticas o no cancelables por parte del usuario, sólo postergables por cierto periodo de tiempo, como en el caso de los sistemas operativos. En el caso de estas cámaras es una situación intermedia: la aplicación notifica al usuario pero puede elegir no actualizar”, adiverte.
En este sentido, cuando se descubren vulnerabilidades de este tipo, las empresas suelen tener canales de comunicación oficiales para recibir los reportes de los problemas y arreglarlos.
“Cada vez es más frecuente que las marcas tengan un contacto de seguridad para reportar vulnerabilidades y un equipo encargado de estudiar los reportes que reciben. Una vez establecida la validez del reporte, se suele acordar un cronograma de parcheo y distribución de la actualización a los usuarios”, explica el hacker.
“Luego que la actualización esté disponible, o que cierto porcentaje de los usuarios haya parcheado, el fabricante suele emitir un comunicado sobre la vulnerabilidad dando crédito a quienes reportaron y los investigadores pueden hacer público su hallazgo”, suma.
Algunas empresas recompensan económicamente o tienen programas de caza de vulnerabilidades (bug bounty), aunque también existe un mercado paralelo en el que se compra y vende este tipo de información (exploits) con un sistema de brokers.
Qué es Defcon
Defcon (o DEF CON) es la conferencia de hackers más grande del mundo. Se realiza todos los años en la ciudad de Las Vegas, en Estados Unidos, y la última edición de 2022 reunió a más de 25 mil personas entre profesionales informáticos, abogados, periodistas, estudiantes y funcionarios oficiales.
Desde aprender nuevas formas de hackear equipos para entender y prevenir ataques, hasta participar de competencias para ver quién puede hackear un sistema antes que otros (Capture The Flag) o descifrar los desafíos que esconden las credenciales con las que se accede (badges), los hackers llenan el Caesars Forum cada año.
“Es la conferencia de hacking más grande del mundo que convoca a miles de personas de todas partes. Se hace todos los años, desde hace 30 años. La gente se reúne a aprender, a compartir, a encontrarse con amigos y colegas siempre alrededor de las distintas temáticas relacionadas con hacking y ciberseguridad”, cuenta a Clarín César Cerrudo, hacker argentino que se hizo famoso por demostrar en una edición, ante 2 mil personas, que los semáforos de distintas ciudades de Estados Unidos podían ser hackeados.
Más allá de las investigaciones más formales, la convención tiene un fuerte componente lúdico en el cual hay competencias, concursos y desafíos que año a año los hackers tratan de resolver.
Se realizó por primera vez en junio de 1993, organizada bajo la dirección del hacker Jeff Moss cuando tenía 18 años. En la actualidad ya va por su edición número 31 y, desde aquel entonces, muchos aspectos cambiaron pero el espíritu se mantiene igual: sigue siendo una reunión de “la comunidad” y como tal está autogestionada.
Esto se diferencia con Black Hat, que es otra convención que se realiza unos días antes este año (del 5 al 10 de agosto), también en Las Vegas (Mandalay Bay), y que tiene un perfil mucho más empresarial.
A ambas convenciones, por la magnitud que tienen, se las conoce como “Hacker summer camp”. En Defcon hay “villas”, que son comunidades especializadas que trabajan sobre ámbitos puntuales de la seguridad informática: sistemas de control industrial, biohacking, industria aeroespacial, IA, seguridad física, ingeniería social, inteligencia de amenazas y más.
La edición 31 se lleva a cabo del 10 al 13 de agosto de 2023.
Desde Las Vegas