¿Estamos preparados para vivir en un mundo donde cualquier dispositivo conectado está expuesto a ciberataques?
Esta es la frase con la que comencé mi última ponencia en las jornadas de Ciberseguridad QurtubaCON16 (y con la que comenzaré en las Jornadas de Ciberseguridad y Derecho en HoneyCON16 el próximo 11 de Noviembre en Guadalajara).
Mi intención es que los asistentes saquen sus propias conclusiones sobre el nivel de riesgo que todos asumimos cada vez que conectamos nuestros dispositivos a Internet.
¿Te has preguntado alguna vez que ocurre en tu router doméstico y que amenazas le acechan en el mismo momento en que pulsas el botón de encendido?.
En este artículo pretendo realizar un análisis de los eventos de seguridad y ataques recibidos en mi propio router doméstico de un famoso ISP español. Así podrás tomar conciencia del nivel de exposición al que están sometidos estos dispositivos que permiten conectar nuestra vida a la red de redes.
Y pongo en el punto de mira a nuestros routers porque muchas veces no le prestamos la atención que merecen y en ocasiones los tenemos encendidos 24x7x365.
Los dejamos expuestos de forma permanente, sin ser conscientes de que en ocasiones los paneles de administración están expuestos hacia Internet con credenciales por defecto o débiles, que tienen expuestos determinados puertos sin nuestro conocimiento que pueden ser atacados, que son vulnerables a determinados ataques o que presentan distintos fallos de seguridad que no han sido parcheadas ni por nuestro proveedor de Internet ni por el fabricante del dispositivo.
Te recomiendo que visites la web http://routersecurity.org/ en el apartado Router Bugs y Security Checklist sobre vulnerabilidades detectadas en los últimos años y recomendaciones de seguridad.
Durante estos últimos años se han producido noticias acerca de vulnerabilidades en routers distribuidos en España que ponen de manifiesto la gravedad del asunto:
¿Qué ocurriría si un atacante consiguiera acceder a la configuración DNS de tu router y modificarla?
No solamente podrías perder tu privacidad (ya que el atacante podría monitorizar tu navegación en Internet) sino que además podrían suplantar por ejemplo la web de tu banco o la de tu compañía a fin de obtener tus credenciales.
Eso es solo un ejemplo de lo que podría ocurrir y que se describe en el siguiente gráfico:
En muchos casos, los ataques recibidos son automatizados y por tanto si tu router está dentro del rango de red objetivo que el atacante o dispositivo vulnerado escanea serás una víctima potencial. Aquí no vale la excusa “quien me va a atacar a mi si yo no soy nadie”. Solo es necesario que estés en su rango de ataque. No es necesario que el ataque esté dirigido exclusívamente a ti. Cuanto mayor sea el número de víctimas potenciales mayor será el porcentaje de éxito.
Para la recolección de eventos de seguridad y ataques, hago uso de un sensor hacia el cual redirijo todo el tráfico que va dirigido hacia mi IP pública que corresponde con mi router doméstico y monitorizo toda la actividad entrante producida en todo el rango TCP y UDP. También monitorizo los paquetes ICMP.
Considero como sospechoso todo el tráfico dirigido hacia mi IP y monitorizo cualquier intento de conexión a cualquier puerto TCP.
No consideraré ataque la recepción de paquetes SYN a un determinado puerto, sino el acceso por fuerza bruta a determinados servicios expuestos en el sensor tales como SSH, Telnet, RDP o FTP, la ejecución y descarga de muestras de malware o determinados comportamientos anómalos en los servicios.
Hay que tener en cuenta que una dirección IP de un posible atacante por si sola no es un dato relevante, ya que se pueden utilizar diferentes técnicas para ocultar la IP real del origen o incluso el atacante puede usar un dispositivo ya vulnerado para realizar su ataque a través de él. En ningún momento he difundido mi dirección IP para recibir ataques.
La recolección de datos se produjo entre el miércoles 6 de Octubre a las 18:00 y el jueves 7 de Octubre hasta las 18:00. 24 horas.
Una vez agotado el tiempo de recolección de información, los datos obtenidos son los que voy a presentar a continuación.
En 24 horas se produjeron un total de 20.070 eventos hacia mi router doméstico, de los cuales 4678 puedo considerarlos como ataques. Se han registrado un total de 92 países distintos desde los cuales he recibido conexiones a un total de 349 puertos diferentes.
Más de la mitad de los eventos son recibidos desde Asia.
Entre los puertos que han recibido más conexiones destacamos el servicio SSH, Telnet, 443, 2323, RPD, VNC, 8080 entre otros. Si yo en ningún momento he difundido que tengo esos servicios expuestos, tendríamos que preguntarnos que están buscando y por que llegan hasta mi. Eso solamente lo podemos saber si realizamos un análisis de todo lo que se ha producido.
Entre los orígenes de los eventos es normal encontrarnos últimamente a Vietnam en el top.
La respuesta a esto es respondida en el artículo http://securityaffairs.co/wordpress/52015/hacking/mirai-botnet.html y es debido a la gran cantidad de dispositivos IOT infectados con Mirai y que tienen entre sus objetivos rangos de IPs españolas.
Sensor recogiendo información de eventos desde Vietnam
Dispositivos detectados por Shodan pertenecientes a Mirai
El gráfico general referido a ataques (no a todos los eventos) de las 24 horas quedaría de la siguiente manera (País origen, ASN, IP y puerto):
Algunos países destacados por el número de ataques realizados (ASN, IPs y Puerto):
La mayor parte de los ataques recibidos tienen origen Europeo y Asiático. También hemos recibido una pequeña parte de ataques desde España.
Analizando algunas de las IPs que han atacado mi router podemos encontrar los siguientes paneles de administración Web que corresponden a cámaras y routers:
Algunos de ellos no necesitan credenciales para su acceso y otros tienen credenciales por defecto. Todos ellos han visitado mi router (o quizás algún equipo que está detrás de esa red), se han conectado a mis puertos señuelo, han descargado muestras de malware, han intentado incluirme en su botnet, me han usado de pasarela para realizar ataques, entre otras actividades.
Se han descargado varias muestras de malware, entre ellas Mirai:
Pero no ha sido el único malware que han intentado descargar. Puedes ver a continuación la una demostración de la gran cantidad de descargas mediante wget que han intentado realizar:
Una vez observados todos los datos, no deberías preguntarte si tu router doméstico será atacado o no. Pregúntate cuando. Con todo lo expuesto anteriormente creo que ya eres consciente de que más tarde o más temprano te llegará tu turno. Y espero que para entonces no tengas tu panel expuesto en Internet, o que tus credenciales sean demasiado débiles o por defecto, o que no hayas parcheado tú, el fabricante o el proveedor del servicio las posibles vulnerabilidades del router o que no hayas expuesto más servicios de los necesarios. Quizás ya hayas sido atacado y todavía no lo sepas.
Si no tienes en cuenta estos consejos, quizás sea tu dirección IP la que aparezca en la siguiente lista de dispositivos vulnerados de cualquiera de mis sensores en las próximas 24 horas.
Saludos a todos.
Fr4n
Twitter: @0fjrm0