Abuso interno de la IoT: ¿qué podemos hacer para detenerlo?

Abuso interno de la IoT: ¿qué podemos hacer para detenerlo?

Abuso interno de la IoT: ¿qué podemos hacer para detenerlo?

Publicado: 11 de julio de 2018 por 
Última actualización: 10 de julio de 2018

Hace unos 40 años, la película de ciencia ficción / terror Demon Seed contó la historia de una mujer encarcelada lentamente por una inteligencia artificial, que invadió el sistema de hogar inteligente que su esposo había diseñado para administrarlo. La AI cerró puertas, ventanas, apagó las comunicaciones e incluso puso una versión sintetizada de ella en la pantalla en la puerta principal para asegurar a los visitantes que estaba “bien”.

La realidad, por supuesto, es que ella era todo menos eso. Ha habido un sinfín de obras de ficción en las que la tecnología inteligente que micromaneó el entorno hogareño se ha vuelto deshonesta . Lamentablemente, esas obras de ficción se desangran en la realidad.

En 2018, de repente tenemos el equivalente en el mundo real en hogares y detrás de puertas cerradas. Hablaremos sobre los problemas actuales momentáneamente, pero primero echemos un vistazo cómo llegamos aquí echando un vistazo atrás hace unos 15 años.

Robo de contraseñas y spyware de PC

Durante años, un subconjunto de socios abusivos con conocimientos técnicos ha colocado spyware en computadoras o dispositivos móviles, contraseñas robadas y, en general, ha guardado pestañas en su otra mitad. Esto a menudo puede conducir a la violencia, y como resultado, muchas estrategias para defenderse contra esto se han elaborado a lo largo de los años. Efectivamente me involucré en la seguridad debido a un caso de abuso relacionado con la tecnología , y di muchas charlas sobre este tema desde 2006  junto a representantes de NNEDV (Red Nacional para Terminar con la Violencia Doméstica).

El spyware para el consumidor es un gran problema , y los gigantes tecnológicos como Google están financiando programas diseñados para ayudar a los cónyuges abusados ​​a salir de escenarios de abuso tecnológico.

La ola móvil y el control social

Después de que el spyware basado en PC se convirtió en una herramienta para los abusadores, se produjo un aumento en el “control coercitivo”, el acto de exigir revisar correos electrónicos, mensajes de texto, mensajes directos y más enviados a teléfonos móviles. Los socios abusivos que exigen ver mensajes SMS siempre han sido una cosa, pero llevar toda tu existencia en línea y tirarla a un dispositivo de bolsillo siempre aumentaría las apuestas para la gente.

El control coercitivo es un problema tan serio que el Reino Unido tiene leyes específicas contra él , y el acto se convirtió en un crimen en 2015. Si lo declaran culpable, puede esperar ver un máximo de cinco años de prisión o una multa, o ambos en el peor de los casos. De la descripción del control coercitivo:

El comportamiento coercitivo o de control no se relaciona con un solo incidente, es un patrón intencional de incidentes que ocurren con el tiempo para que un individuo ejerza poder, control o coacción sobre otro.

Mantenga el “patrón determinado de incidentes que ocurren con el tiempo para que un individuo ejerza poder o control” en la descripción a medida que pasamos a la siguiente sección sobre el abuso del Internet de las cosas (IoT), porque es relevante.

Internet de las cosas: control total

Un concentrador de control de Internet of Things podría ser un complejo servicio de nube remota que alimenta una multitud de dispositivos, pero para la mayoría de las personas, es un dispositivo que se instala en el hogar y ayuda a encender y controlar electrodomésticos y otros sistemas, generalmente con algún nivel de acceso a Internet y la posibilidad de control adicional a través de un teléfono inteligente. Podría estar a cargo de cámaras de seguridad o sensores de movimiento, o podría ser el paquete completo: calefacción y refrigeración, iluminación, ventanas, cerraduras de puertas, alarmas contra incendios, hornos, temperatura del agua, prácticamente cualquier cosa que se te ocurra.

Los socios abusivos no han tardado en aprovechar esta funcionalidad recién incorporada, con numerosos relatos de ellos que hacen la vida imposible para sus seres queridos, efectivamente atrapados en una reelaboración 24/7 de una casa distópica de ciencia ficción.

Su crueldad solo está limitada por lo que no pueden enganchar a la red general. Encerrar al cónyuge en su lugar de residencia y luego encender el fuego, abanicarlo, encender y apagar luces, deshabilitar servicios, grabar conversaciones, activar alarmas de seguridad ruidosas; el compañero abusado está casi enteramente a su merced.

Hay todo tipo de implicaciones extrañas generadas por este tipo de abuso de tecnologías e individuos en el mundo real. ¿Qué sucede si alguien tiene una reacción adversa al cambio de temperatura severo? ¿Un ataque epiléptico debido a las luces que parpadean rápidamente? ¿Qué tal si alguien apaga las alarmas de humo o la tecnología de respuesta de emergencia de la policía y luego el lugar se incendia o alguien irrumpe?

Alguien podría ser responsable de una muerte, pero ¿cómo lo resolvería la policía, y mucho menos saber dónde echar la culpa?

Por supuesto, esas son situaciones en las que los cónyuges aún viven juntos. También hay escenarios en los que la pareja se ha separado, pero el abusador aún tiene acceso a la tecnología de IoT, y ellos comienzan a jugar con sus vidas de forma remota. Uno es un enfoque algo más directo que el otro, pero ninguno es particularmente bueno para la persona que lo recibe.

Un reto desalentador

Desafortunadamente, este es un hueso duro de roer. En términos generales, los consejos dados a los sobrevivientes de abuso doméstico tienden a errar por el lado de la extrema precaución, porque si el abusador nota la más mínima irregularidad, buscarán represalias. Con computadoras y más formas “tradicionales” de skullduggery basadas en tecnología, generalmente hay algunas partes de margen de maniobra.

Por ejemplo, un compañero abusado puede tener un dispositivo móvil, que está inmediatamente fuera del alcance del abusador en el momento en que salen, suponiendo que no lo hayan manipulado. En el escritorio, la navegación en modo incógnito es útil, al igual que los sitios web de abuso doméstico que ofrecen sugerencias y  botones de cierre rápido en caso de que el abusador esté cerca.

Sin embargo, incluso entonces, existe el riesgo: el abusador puede conservar los registros de la red o usar software de vigilancia, y los intentos de “ocultar” los datos de navegación pueden levantar sospechas. De hecho, este es un ejemplo donde los sitios web que se mueven lentamente hacia los HTTP son beneficiosos, porque un abusador no puede ver los datos del sitio web. Aun así, es posible que aún vean las URL y vuelvan al punto de partida.

Con IoT, todo es mucho más difícil en situaciones de abuso doméstico.

Una gran cantidad de tecnología de IoT es increíblemente insegura porque la funcionalidad es donde está; seguridad, no tanto. Es por eso que usted ve tantas historias sobre webcams  transmitidas a través de Internet, o juguetes que hacen cosas raras , o la tostadora ocasionalmente conectada a Internet.

En comparación, los centros principales que controlan todo en el hogar suelen estar bastante bloqueados, especialmente si son una marca conocida como Alexa o Nest.

En estas situaciones, cuanto más bloqueado esté el dispositivo, más difícil será sugerir soluciones de evasión para las personas amenazadas. Difícilmente pueden saltar y comenzar clandestinamente a manipular la tecnología sin previo aviso; francamente, la gente tiende a darse cuenta si un dispositivo físico no actúa de manera mucho más rápida que su pieza encubierta de spyware diseñada para tomar correos electrónicos de una computadora portátil.

Todo tipo de cosas extrañas pueden salir mal con algún spyware comprado. Tal vez haya un servidor al que necesite llamar, pero el servidor está desconectado temporalmente o se ha apagado. Tal vez la conexión a Internet es un poco escamosa, y no está enviando datos a la base. ¿Qué pasa si el codificador no era bueno y algo al azar comenzó a desmoronarse? Hay tantas variables involucradas que muchos abusadores podrían no saber qué hacer al respecto.

Sin embargo, se espera que un poco estándar de IoT comercial funcione de cierta manera y cuando de repente no lo haga. El abusador lo sabrá.

Abordando el problema

A pesar de los desafíos, hay algunas cosas que podemos hacer para al menos obtener un punto de apoyo contra los atacantes nacionales.

1) Mantenga un registro: con la advertencia estándar de que hacer una acción X puede atraer la atención Y, un registro es un pilar de los casos de abuso. Prácticamente todos los que han experimentado este abuso y lo hablan públicamente dirán lo mismo: sean conscientes de lo obvio que es su registro . Un libro puede funcionar para algunos, el texto ofuscado en el código puede funcionar para otros (aunque podría atraer un interés injustificado si se descubriera). Puede ser más fácil esconder un libro que mantenerlo alejado de su computadora portátil.

Por supuesto, adaptarse a la situación en cuestión; si ya no vives con la pareja abusiva, es probable que no lean tu diario en papel guardado en un armario. ¿Qué tal una aplicación móvil? Hay herramientas en las que puede detallar información que no se guarda en el dispositivo a través de programas diseñados para parecerse a aplicaciones meteorológicas . Si puede construir una imagen de cada vez que la calefacción se vuelve insoportable, o las luces entran en sobremarcha, o las alarmas comienzan a zumbar, estos son datos valiosos para la aplicación de la ley.

2) La correlación es una cosa maravillosa. Muchos de los dispositivos más populares mantendrán estadísticas detalladas de uso. Nest, por ejemplo, “recopila estadísticas de uso del dispositivo” (2.1, Privacidad del usuario) como se menciona en este documento de Black Hat [PDF]. Si alguien eventualmente va a la policía con sus registros, y la policía puede obtener estadísticas de uso para (digamos) fluctuaciones extremas de temperatura, o puertas cerradas, o bombillas que se vuelven locas, entonces las cosas rápidamente parecen problemáticas para el abusador.

Este sería especialmente el caso donde las estadísticas registradas en el dispositivo coinciden con lo que haya escrito en su diario físico o guardado en su aplicación móvil segura.

3) Este es un problema bastante nuevo que ha salido a la luz, y la mayoría de las discusiones al respecto en círculos tecnológicos están llenas de gente de tecnología que dice: “No tenía idea de que esto fuera una cosa hasta ahora”. Si hay un refugio local para cónyuges abusados ​​y usted es bueno con esta área de tecnología / seguridad / privacidad, es posible que desee aparecer y ver si hay algo que pueda hacer para ayudar a transmitir información útil. Es probable que no tengan a nadie en el personal que pueda ayudar con este caso particular. Cuanto más compartimos entre nosotros, más podremos apoyar a los socios abusados ​​para superar sus situaciones.

4) Si ha escapado de un cónyuge abusivo pero ha traído tecnología con usted, no hay garantía de que no haya sido completamente comprometida. ¿Ustedes dos tienen acceso de administrador a los dispositivos? ¿Has cambiado la (s) contraseña (s) desde que te mudaste? ¿Qué tipo de información se revela en la consola de administración? ¿Menciona las direcciones IP utilizadas, quizás la ubicación geográfica, o tal vez una nueva dirección de correo electrónico que utilizó para configurar las cosas de nuevo? Si ha estado experimentando cosas extrañas en su hogar desde que volvió a enchufar todo, y se parecen al tipo de engaño enumerado anteriormente, es muy posible que el socio abusivo todavía no sirva para nada.

Hemos detectado al menos un ejemplo en el que una organización ha realizado un trabajo de depuración de IoT . La idea de “hacerles fantasmas”, que mantiene al menos un dispositivo comprometido en funcionamiento para hacer que el abusador piense que todo está bien, es interesante, pero potencialmente no sin riesgos. Si es posible, nuestro consejo es destruir todas las piezas de tecnología que se hayan traído para el viaje. IoT es algo tan complejo de configurar, con tantas partes móviles, que es imposible decir con certeza que todo ha sido exorcizado tecnológicamente.

Sin solución rápida

Sería genial si hubiera algún tipo de solución mágica tecnológica que pudiera solucionar este problema, pero como verás después de indagar sobre el tema “IoT scrub job”, muchos profesionales de seguridad recién están comenzando a entender este tipo. del asalto digitalizado, así como las mejores formas de combatirlo. Al igual que con todo el abuso doméstico, la precaución es clave, y no debemos apresurarnos a dar consejos que potencialmente podrían poner a alguien en mayor peligro. Frustrante, una sorprendente cantidad de los mejores resultados en los motores de búsqueda para ayudar con estos tipos de ataques da como resultado 404 páginas de error o sitios web que simplemente ya no existen.

Claramente, todos necesitamos mejorar nuestro juego en círculos tecnológicos y ver qué podemos hacer para poner fuera de combate este espectáculo de terror habilitado para IoT antes de que pierda el control. A medida que IoT continúa integrándose en la vida cotidiana de las personas, de maneras que no pueden ser fácilmente arrancadas después, el potencial de daño masivo a los miembros más vulnerables de la sociedad nos está mirando a la cara. Tenemos que estar a la altura del desafío.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.