Una nueva investigación presentada en la conferencia DefCon, este viernes pasado, por Ricky Lawshae, un investigador de la firma Trend Micro, ha descubierto más de una docena de vulnerabilidades en los dispositivos Crestron, los cuales se usan en corporativos, aeropuertos, estadios y gobiernos locales en toda la Unión Americana.
Crestron de hecho, sabe de esto y ya ha liberado una serie de parches para lidiar con las dificultades, entre las que se cuentan algunas en donde los hackers, al menos teóricamente, podrían convertir una pantalla de un panel táctil de Crestron, el cual se usa en oficinas y en cuartos de hotel, como dispositivos espías. Y la investigación realizada ofrece un recordatorio importante indicando que los dispositivos cotidianos no son los únicos que podrían ser blancos de los hackers.
Crestron es una empresa que hace equipo para salas de conferencias, hoteles, salas de conciertos, etcétera. Hacen paneles táctiles para que las compañías puedan coordinar juntas o bien para que en un cuarto de hotel se puedan controlar las cortinas y las luces. Los dispositivos de Crestron pueden ser programados prácticamente para cualquier necesidad del cliente. Estos dispositivos se usan pues en muchísimos sitios y no están siquiera protegidos por contraseñas.
«Yo nunca había escuchado acerca de Crestron hasta que empecé a ver que tenían una serie de dispositivos», dice Lawshae. «No tenía idea sobre quiénes eran y ahora, a todos lados a los que voy me los encuentro». El investigador halló unos 20 mil dispositivos Crestron alrededor del mundo que están conectados al Internet abierto, usando el «engine» del Internet de las cosas de Shodan. Esto incluye el Aeropuerto Internacional de Las Vegas, cerca de donde se estás llevando a cabo la conferencia DefCon.
La presentación de Lawshae se enfoca específicamente en el sistema de control de Crestron MC3, el cual corre sobre Windows y en la pantalla táctil de la empresa, TSW-X60, la cual corre sobre Android. Lawshae notó de inmediato que estos dispositivos tienen una autentificación de seguridad que no ha sido encendida por omisión, es decir, los dispositivos de fábrica son inseguros. Los aparatos que fabrica Crestron normalmente son instalados y configurados por terceros, lo que significa que los ingenieros que trabajan en estos equipos podrían habilitar el esquema de seguridad. La gente que usa estos equipos, sin embargo, no sabe -incluso después de instalarlos- que hay un esquema de protección y del cómo habilitarlo.
«Hay una autentificación disponible. Crestron tiene un mecanismo muy decente de autentificación, pero está deshabilitado por default», dice Lawshae. Los usuarios en su mayoría no tienen idea de que está este servicio y que podrían protegerse contra ataques de hackers habilitando simplemente la protección por contraseña», indicó el investigador.
Los dispositivos Crestron tienen «puertas traseras» que están protegidas por contraseñas. Pero la compañía manda con sus equipos el algoritmo que usan para generar la contraseña. Esto, a decir del investigador de Trend Micro, podría hacer que un hacker hiciese ingeniería en reversa para hallar la contraseña generada. Y esto ha sido confirmado por otro investigador de seguridad, Jackson Thuraisamy, un investigador de Security Compass.
Lawshae descubrió más de dos docenas de vulnerabilidades en estos dispositivos de Crestron, los cuales podrían transformarlos en sistemas para escuchar el entorno. Usando una funcionalidad que él descubrió, se podría grabar audio a través del micrófono del dispositivo a un archivo descargable. Y todo esto sin que nadie se enterase de ello. Podrían además hacerse bromas pesadas, como desplegar en medio de una junta una página web no propia para la conferencia, por decir lo menos. Y estas debilidades también están en los cuartos de hotel que contienen pantallas táctiles para que los huéspedes tengan acceso a ciertos servicios en el hotel. En teoría, podrían transformarse estos paneles en webcams que mandaran streaming de lo que hace la gente en sus cuartos.
Crestron ha mandado ya una serie de parches para las vulnerabilidades y el firmware se ha actualizado. Las actualizaciones son obligatorias, de acuerdo a Nick Milani, director ejecutivo de la mercadotecnia comercial de producto. «No sabemos de nadie que haya sido afectado por rstas vulnerabilidades», dice Milani y agrega: «Nosotros hemos respondido muy rápidamente».