El enrutador es Grand Central Station for Home Technology. Gestiona las conexiones entre todos los dispositivos inteligentes en el hogar, desde la computadora en la guarida y la tableta en la mesa de café, hasta el termostato inteligente en la pared y el monitor de bebé conectado a Internet en la guardería. Los consumidores esperan que esa ruta sea una carretera de acceso limitado con los datos de reenvío del enrutador de forma segura mientras bloquea el acceso no autorizado. Pero una queja de la FTC contra el gigante tecnológico Asustek Computer, Inc., la mayoría de las personas los conocen como ASUS, desafían como injustos y engañados por la incapacidad de la compañía para asegurar los enrutadores y los servicios "en la nube" que comercializó a los consumidores. El caso también ofrece información para otras empresas que ingresan a Internet de las cosas.
Cómo ASUS anunció sus productos. ASUS anunció que sus enrutadores tenían numerosas características de seguridad que podían "proteger a las computadoras de cualquier acceso, piratería y ataques de virus no autorizados" y "proteger (la) red local contra los ataques de los piratas informáticos". Pero Según la FTCLos enrutadores de Asus no cumplieron con esas promesas. Además, los enrutadores de la compañía incluyeron servicios llamados Aicloud y Aidisk que permitieron a los consumidores conectar un disco duro USB al enrutador para crear su propio almacenamiento "en la nube", accesible desde cualquiera de sus dispositivos, una especie de centro de almacenamiento central para el hogar inteligente. Mientras que ASUS anunció estos servicios como una "nube personal privada para compartir archivos selectivos" y una forma de "asegurar y acceder de manera segura a sus datos atesorados a través de su enrutador", la FTC alega que no eran todo menos seguros.
Donde Asus salió mal con sus enrutadores. A pesar del papel vital del enrutador en la protección de la red doméstica, la FTC dice que ASUS no tomó medidas básicas para asegurar el software en sus enrutadores. Por ejemplo, los consumidores administraron el enrutador (incluidas esas características de seguridad) a través de una interfaz basada en la web que llamaremos a la consola de administración. Pero al explotar errores de seguridad generalizados en la consola de administración, los piratas informáticos podrían cambiar la configuración de seguridad del enrutador, incluso apagar el firewall del enrutador, voltear el acceso público al almacenamiento de la "nube" del consumidor o configurar el enrutador para redirigir a los consumidores a sitios web maliciosos. De hecho, una campaña de explotación que se dirigió específicamente a numerosos modelos de enrutadores ASUS hizo exactamente eso, reconfigurando los enrutadores vulnerables para que los piratas informáticos controlaran el tráfico web de los consumidores. Como alega la queja, lejos de proteger las redes domésticas de los consumidores, los enrutadores de ASUS permiten a los piratas informáticos causar estragos en ellos.
Servicios inseguros de ASUS "Cloud". Los servicios de almacenamiento "en la nube" de ASUS tampoco fueron seguros. Según la FTC, cualquiera que conozca la dirección IP del enrutador, una caminata en el parque para un hacker, podría pasar por alto la pantalla de inicio de sesión del servicio de Aicloud y acceder a los dispositivos de almacenamiento de los consumidores sin ninguna credencial, dejando los archivos de los consumidores abiertos en Internet. Aidisk no le fue mucho mejor. La FTC estaba en desacuerdo con ese servicio para confiar en un protocolo inseguro y tener un proceso de configuración confuso con valores predeterminados inseguros. Por ejemplo, cuando los consumidores encendieron el servicio, por defecto, proporcionaría a cualquier persona en Internet acceso no autenticado a todos los archivos en el dispositivo de almacenamiento del consumidor. Peor aún, el asistente de configuración no explicó esos valores predeterminados y no dejó en claro lo que estaba sucediendo. Sin mencionar que si el consumidor intentaba crear una cuenta restringida, el servicio preestableció las credenciales de inicio de sesión al mismo nombre de usuario y contraseña débiles (familia/familia) para todos. Todas estas vulnerabilidades de seguridad y fallas de diseño ascendieron a grandes problemas para los consumidores.
La respuesta tardía de ASUS y la falta de notificación de los consumidores. La FTC dice que ASUS podría haber evitado muchos problemas si hubiera seguido las prácticas de diseño, codificación y prueba de software bien conocido y seguro. Además, los investigadores de seguridad se habían puesto en contacto con ASUS para que las advertencias sólidas, pero a menudo tardó meses, y a veces más de un año, para que ASUS respondiera. Por ejemplo, cuando un investigador informó que por su estimación, 25,000 consumidores tenían dispositivos de almacenamiento de aidisco abiertamente accesibles en Internet, eran grillos de ASUS. De hecho, fue solo después de una súplica de un gran minorista europeo que ASUS comenzó a prestar atención a ese problema. Para entonces, era demasiado tarde.
Aún más preocupante, alega que la FTC es que cuando ASUS desarrolló parches de seguridad, no notificó a los consumidores. La consola de administración del enrutador tenía una herramienta que se suponía que permitía a las personas verificar si su enrutador estaba utilizando el último firmware disponible (el software integrado en el enrutador). Pero como los investigadores advirtieron a ASUS, la herramienta de actualización no funcionó como debería. Según la queja, pasó más de un año y los consumidores aún recibían el mensaje de que su "firmware actual del enrutador es la última versión" cuando estaba disponible un firmware más nuevo con actualizaciones de seguridad críticas.
Miles de enrutadores comprometidos. Esto significaba que los enrutadores de ASUS y los servicios de "nube" dejaron las redes domésticas y los archivos personales de los consumidores a merced de piratas informáticos y ladrones de identidad. Puedes adivinar lo que pasó después. Los piratas informáticos utilizaron herramientas para localizar las direcciones IP de miles de enrutadores ASUS vulnerables y ahí es donde la historia se vuelve realmente interesante. Al explotar las vulnerabilidades de Aicloud y los defectos de diseño de Aidisk, obtuvieron acceso no autorizado a los dispositivos de almacenamiento USB de miles de consumidores. Pero no iban a ir en silencio. Dejaron un archivo de texto en los dispositivos que decían: “Este es un mensaje automatizado que se envía a todos los afectados (sic). Cualquier persona en el mundo puede acceder a su enrutador ASUS (y sus documentos) con conexión a Internet ".
Las afirmaciones de seguridad de ASUS pueden haber sido engañosas, pero una cosa resultó ser cierta: la advertencia de los piratas informáticos de que los enrutadores y documentos de los consumidores eran accesibles para cualquier persona en el mundo. Por ejemplo, un consumidor informó que los ladrones de identificación usaron información confidencial sobre su dispositivo de almacenamiento USB, incluidas las declaraciones de impuestos y otros datos financieros, para acumular cargos no autorizados y hacer un desastre de su identidad. Otros se quejaron de que un importante motor de búsqueda había indexado los archivos personales que sus enrutadores ASUS vulnerables habían expuesto, haciéndolos buscar en línea.
La queja de la FTC. El pleito Desafíos como afirmaciones falsas o engañosas de ASUS de que se necesitaron medidas razonables para garantizar que sus enrutadores protegieran las redes locales de los consumidores del ataque, que Aicloud y Aidisk eran formas seguras para que las personas accedieran a información confidencial, y que su herramienta de actualización de firmware era precisa. La queja también alega que el fracaso de ASUS en tomar medidas razonables para asegurar el software para sus enrutadores fue una práctica injusta.
Cómo ASUS tendrá que cambiar. El orden propuesta Incluye disposiciones de seguridad que se han convertido en estándar en los asentamientos de la FTC, pero hay algo más. Si hay una actualización de software u otros pasos que los consumidores pueden tomar para protegerse de un defecto de seguridad en el futuro, ASUS debe notificarlos. Es importante destacar que el acuerdo deja en claro que simplemente publicar un aviso en su sitio web no es suficiente por sí solo. (¿Quién va al sitio web de su fabricante de enrutador regularmente?) Además, el pedido propuesto requiere que ASU ofrezca a los consumidores una forma de registrarse para recibir avisos de seguridad a través de la comunicación directa, como el correo electrónico, el mensaje de texto o la notificación de push. En el Internet de las cosas, donde los consumidores a menudo "establecenlo y olvídalo", este tipo de comunicaciones directas pueden ser herramientas críticas para asegurarse de que los consumidores reciban el mensaje. Puede presentar un comentario sobre el acuerdo antes del 24 de marzo de 2016.
Si el Internet de las cosas intriga a su empresa, el caso ofrece seis consejos para mantener conexiones cuidadosas.
- Comience con la seguridad. Mientras que los enrutadores de Asus sufrían de una gran cantidad de vulnerabilidades clásicas, el problema con Aidisk fue más allá de los errores o los problemas técnicos. Según la queja, no era seguro desde el primer momento tanto en la elección de la compañía de un protocolo inseguro como en su interfaz de usuario confuso e inseguro. Sí, desea que su producto se comercialice lo antes posible, pero tómese el tiempo para diseñar la seguridad desde el principio. Esa es una consideración particularmente importante en Internet de las cosas donde el diseño inseguro de un producto puede afectar múltiples dispositivos conectados.
- Diseñe sus productos a través de los ojos de los clientes. Si vende un producto conectado para uso doméstico, es probable que los clientes ejecutarán toda la gama de novato a profesional. Entonces, ¿cómo pueden los desarrolladores comunicarse con personas en ambos extremos del espectro? Aquí hay una perspectiva a considerar. Los consumidores menos expertos en tecnología a menudo se quejan de productos que son demasiado complicados. Pero, ¿alguna vez has escuchado a un usuario sofisticado que una interfaz era demasiado clara o demasiado directa?
- Facilite a las personas seleccionar la opción más segura desde el principio. Preste especial atención a las implicaciones de seguridad de sus valores predeterminados y procedimientos de configuración. Los consumidores que se desaniman por un complicado laberinto de pantallas pueden configurar sus dispositivos de manera incorrecta o pueden seguir con opciones listas para usar. Es por eso que es peligroso establecer los valores predeterminados de su sistema como "abiertos", o inseguros, como fue el caso con Aidisk. Es genial ofrecer características personalizables para la mano de tecnología DAB, pero los desarrolladores sabios consideran los beneficios de la seguridad por defecto.
- Presta atención a las advertencias de seguridad. En muchos casos recientes, la FTC ha señalado que las empresas no abordaron alertas creíbles sobre posibles vulnerabilidades de productos. Cuando los problemas de seguridad llaman su atención, el curso más sabio es investigar y comunicarse con los clientes de inmediato si las preocupaciones son precisas.
- Piense en cómo les informará a los consumidores sobre las soluciones. Digamos que alguien ve un problema y diseñará un parche para abordarlo. Ese es un primer paso importante, pero el trabajo no está hecho. Un parche de seguridad es efectivo solo si los clientes lo instalan. Los desarrolladores con visión de futuro construyen un plan de contingencia de qué if para abordar los desafíos de notificar a las personas después del hecho.
- Aprenda las lecciones de otros casos de FTC. Según la FTC’s Comience con la seguridad Publicación, no hay una fórmula única para lo que sea razonable. Pero cada queja de seguridad de datos ofrece lecciones sobre prácticas que podrían conducir a problemas en ciertas circunstancias. Párrafo 30 de la queja ASUS Resumen docenas de ellos, incluidas las credenciales de inicio de sesión predeterminadas débiles, eligiendo protocolos inseguros cuando los más seguros están disponibles, saltando las pruebas aceptadas en la industria y no implementar protecciones de bajo costo contra vulnerabilidades conocidas.
¿Buscas más consejos? Lea las conexiones cuidadosas: construir seguridad en Internet de las cosas.
