CyberArk Labs, la división de investigación de la compañía CyberArk, ha publicado una investigación en la que explica detalladamente cómo las fallas en los protocolos de seguridad de IoT exponen a dichas redes a numerosos ataques.
Advierte que los protocolos LoRaWAN y MQTT requieren altos niveles de seguridad
"Los problemas en el protocolo LoRaWAN (Long Range Wide Area Network) permiten a los atacantes introducir dispositivos comprometidos en una red de IoT, que, posteriormente, podrá comunicarse con otros dispositivos conectados y enviar mensajes maliciosos para deshabilitar toda la red. Con todo lo que implicaría, por ejemplo, para los sistemas de detección de inundaciones, subidas de tensión, alarmas, etc.", ha advertido la compañía en un comunicado.
CyberArk también ha señalado que el principal problema se encuentra en que el protocolo LoRaWAN no suele requerir que los dispositivos que se conectan realicen controles de seguridad. "Esto permitiría a los atacantes introducir dispositivos comprometidos en la red y, después, comunicar mensajes maliciosos al servidor de red utilizando el protocolo MQTT (Message Queue Server Telemetry Transport)", apunta.
Asimismo, la compañía indica que también es posible agregar un componente de autorización a una implementación, como finalmente hizo Chirpstack en el ejemplo que aparece en su informe. Sin embargo, señala que generalmente esto no se hace porque el protocolo no lo requiere así que lo único que tiene que hacer el atacante es cambiar el campo de "frecuencia" de un mensaje. "El resultado es un efecto en cascada que, eventualmente, deja sin conexión a todo el sistema, de manera similar a un ataque al estilo DoS".
Este informe de CyberArk describe el vector de ataque y las implicaciones son significativas. "Las empresas, las industrias e incluso las ciudades dependen cada vez más de las matrices de sensores IoT para todo tipo de actividades. Por lo que si se desconecta el sistema, las organizaciones pueden asumir que están protegidas cuando en realidad no lo están", concluye la compañía en su comunicado.