Cuidado con los equipos de red falsificados

 dispositivos falsificados en infraestructura de TI

El hardware falsificado, especialmente en entornos corporativos, es un problema recurrente que a menudo pasa desapercibido. Tener dicho equipo en línea plantea serios riesgos financieros, operativos y de seguridad.

La compañía de seguridad cibernética F-Secure publicó el 15 de julio un informe de investigación que detalla los falsificados switches Cisco Catalyst de la serie 2960-X. El informe destaca los desafíos que enfrentan las organizaciones que descubren dispositivos falsificados en su infraestructura de TI.

La investigación se centró en un par de conmutadores de red falsificados. Los investigadores determinaron que las falsificaciones fueron diseñadas para evitar los procesos que autentican los componentes del sistema. Esa conclusión resalta los desafíos de seguridad que plantea el hardware falsificado, según el informe.

El equipo de seguridad de hardware de F-Secure Consulting investigó dos versiones falsificadas diferentes de los switches de la serie Cisco Catalyst 2960-X. Las falsificaciones fueron descubiertas por una empresa de TI después de que una actualización de software les impidiera funcionar.

Esa es una reacción común de hardware falsificado o modificado al nuevo software. A pedido de la compañía, F-Secure Consulting realizó un análisis exhaustivo de las falsificaciones para determinar las implicaciones de seguridad.

"La falsificación de equipos Cisco es un problema de larga data. Múltiples informes previos en los medios de comunicación lo destacan bastante bien". Dmitry Janushkevich, consultor senior del equipo de seguridad de hardware de F-Secure Consulting, dijo a TechNewsWorld.

El informe es un análisis técnico detallado y real de cómo funcionan los dispositivos falsificados. Ilustra cómo la IP existente puede verse comprometida, duplicada y evitar la protección de seguridad para crear clones casi perfectos de productos existentes, agregó.

Negocio riesgoso

Una amplia gama de riesgos está involucrada en las organizaciones que usan los interruptores falsos; incluidos problemas financieros, operativos y de seguridad.

El riesgo financiero a largo plazo podría terminar siendo más costoso que comprar dispositivos originales. Eso supone que los dispositivos falsificados se compran con un descuento en primer lugar. Según el informe, las compañías con unidades falsificadas no tendrán contratos de soporte válidos o se les puede denegar solicitudes de soporte.

El riesgo operacional implica la probabilidad de que las unidades dejen de funcionar. Esto puede deberse a actualizaciones de firmware o problemas que el proveedor no admite o no resuelve. Eso, a su vez, da como resultado un tiempo de inactividad grave que puede afectar la operación y los fondos de cualquier empresa.

Agujeros de seguridad

Quizás el riesgo más significativo es el colapso de la seguridad. Una unidad falsificada puede funcionar fuera de los límites del firmware legítimo y autenticado. Dicho firmware puede incorporar puertas traseras intencionales implantadas para permitir la supervisión y manipulación del tráfico de red.

Los implantes de bypass de autenticidad, incluso sin intenciones de puerta trasera, también pueden introducir vulnerabilidades que pueden socavar las medidas de seguridad originalmente previstas del firmware del proveedor. Una unidad falsificada debilita la postura de seguridad del dispositivo contra ataques conocidos o futuros en el firmware de Cisco, explica el informe F-Secure.

Además, sería mucho más fácil para los atacantes lograr persistencia. Los controles de autenticidad ya están rotos cuando se compromete una unidad falsificada. Las unidades falsificadas se pueden modificar fácilmente para introducir puertas traseras dentro de una organización.

Artículos de gran valor

La falsificación de hardware es un problema grave tanto para las empresas que fabrican productos como para sus clientes, reconoció F-Secure, y puede ser una fábrica de dinero para los malos actores.

Los falsificadores intentarán cortar cada rincón posible para reducir los costos directos de fabricación tanto como sea posible. Esto da como resultado un producto de dudosa calidad y mala postura de seguridad. El informe señaló que afecta tanto al fabricante original como al consumidor de dicho producto.

El motivo principal de hacer un producto falsificado es casi siempre el dinero. Si los falsificadores pueden ganar, digamos, un tercio del precio de la unidad original, lo más probable es que valga la pena, ya que los dispositivos ciertamente son lo suficientemente caros.

Por el contrario, la puerta trasera de un dispositivo para comprometer la red de una empresa puede ser muy costosa. -costo, trabajo de alta habilidad contra un objetivo elegido, dijeron los investigadores.

Resultados de la investigación

Los investigadores de F-Secure descubrieron que los dispositivos falsificados no tenían ninguna funcionalidad similar a la de una puerta trasera. Sin embargo, sí emplearon varias medidas para engañar a los controles de seguridad.

Por ejemplo, una de las unidades explotó lo que el equipo de investigación cree que es una vulnerabilidad de software no descubierta previamente para socavar los procesos de arranque seguros que brindan protección contra la manipulación del firmware.

"Descubrimos que las falsificaciones se construyeron para eludir las medidas de autenticación, pero no encontramos evidencia que sugiera que las unidades presentan otros riesgos", dijo Janushkevich, autor principal del informe.

"Los motivos de los falsificadores probablemente se limitaron a ganar dinero vendiendo los dispositivos. Pero vemos que los atacantes motivados usan el mismo tipo de enfoque para las compañías clandestinas, por eso es importante verificar a fondo cualquier hardware modificado ", explicó.

Copias convincentes

Las falsificaciones eran física y operativamente similares a un auténtico conmutador Cisco. Una de las ingenierías de la unidad sugiere que los falsificadores invirtieron mucho en replicar el diseño original de Cisco o tuvieron acceso a documentación de ingeniería patentada para ayudarlos a crear una copia convincente, señala el informe.

Las organizaciones enfrentan considerables desafíos de seguridad al tratar de mitigar la seguridad implicaciones de falsificaciones sofisticadas como las analizadas en el informe, según Andrea Barisani, Jefe de Seguridad de Hardware de F-Secure Consulting.

"Los departamentos de seguridad no pueden permitirse ignorar el hardware que ha sido manipulado o modificado, por eso necesitan investigar cualquier falsificación que hayan sido engañados para usar ", explicó Barisani.

A menos que derribe el hardware y lo examine desde cero, las organizaciones no pueden saber si un dispositivo modificado tuvo un mayor impacto en la seguridad. Según el caso, el impacto puede ser lo suficientemente grande como para socavar por completo las medidas de seguridad destinadas a proteger la seguridad, los procesos y la infraestructura de una organización, explicó.

Más complicado que la piratería de software

La falsificación de hardware puede ser mucho más complicada que la piratería de software, según Thomas Hatch, CTO y cofundador de SaltStack .

"El software falsificado es fácil algo que hacer. Simplemente coloque software legítimo detrás de un portal pago. La falsificación de hardware no está tan extendida, pero es mucho más rara ", dijo a TechNewsWorld.

Los falsificadores de hardware usan algunos modelos comerciales, pero en su mayoría provienen de intentar hacer Más dinero con partes inferiores. A menudo es impulsado por lo que los vendedores tienen a la mano cuando intentan liquidar las partes.

"Generalmente es más oportunista que sistemático", dijo Hatch.

Cómo protegerse contra equipos falsificados

F-Secure tiene los siguientes consejos para ayudar a las organizaciones a evitar el uso de dispositivos falsificados:

  • Obtenga todos sus dispositivos de revendedores autorizados [19659040] Tenga procesos y políticas internos claros que rijan los procesos de adquisición
  • Asegúrese de que todos los dispositivos ejecuten el último software disponible proporcionado por los proveedores
  • Tome nota de las diferencias físicas entre las diferentes unidades del mismo producto, sin importar cuán sutiles puedan parecer

En muchos casos, las unidades falsificadas fallan después de actualizar el software. Las compañías que usan estos modelos también pueden buscar mensajes de salida de consola sospechosos, como fallas en los pasos de autenticación.

Una conclusión clave de este informe es que sin medidas de seguridad de hardware fuertes, la IP puede verse comprometida y alterada. Los compradores deben tener cuidado con la arquitectura de seguridad y la implementación para garantizar que tales infracciones de IP sigan siendo inviables para los atacantes.

Cisco proporciona una herramienta de comprobación del estado del número de serie para ayudar en dicha detección. La mera existencia de una herramienta de este tipo resalta cuán relevante es este problema.

Se necesitan pasos proactivos

Por derecho propio, la falsificación de hardware es una forma de ataque a la cadena de suministro. De acuerdo con Janushkevich de F-Secure, no hay una manera rápida y fácil de ver si una unidad es falsa.

"La mayoría de las veces, esto requiere una inspección minuciosa del exterior y el interior de las unidades. De lo contrario, serían falsas demasiado obvio para ser vendido ", señaló.

Cisco tiene un equipo de protección de marca dedicado que se ocupa de las falsificaciones y rastrea la situación. A pesar de los esfuerzos de Cisco para luchar contra la ola de equipos falsificados, el negocio de los productos falsos parece ser demasiado lucrativo para disuadir a los infractores.

Eso también explica por qué en el caso de los dos dispositivos que investigamos, se empleó una buena cantidad de tiempo y habilidades. Janushkevich observó que, para fabricar dispositivos falsificados,

Los compradores de hardware electrónico deben asegurarse de comprar de fuentes confiables, como vendedores con reputaciones positivas, agregó SaltStack's Hatch. Además, deben verificar que lo que recibieron es el componente anunciado, particularmente cuando compraron productos usados ​​o de un sitio desconocido.

"A veces, la falsificación es un modelo cerrado pero se anuncia como algo un poco más caro", advirtió.

Motivos de calibre espía?

En general, la falsificación de hardware es una estafa para ganar dinero. Pero puede ser una forma efectiva de hacer puertas traseras, agregó Hatch.

"El hardware falsificado ha sido utilizado por agencias de inteligencia patrocinadas por el estado desde antes de la Segunda Guerra Mundial. Soy consciente de que esta técnica ha sido utilizada por diferentes agencias de inteligencia estatales en los últimos años. años, así que no veo ninguna razón por la que no sea utilizado por actores independientes también ", ofreció.

Introducir hardware nefasto en centros de datos a menudo no es tan complicado como la gente pensaría, advirtió.

Hatch sugirió algunos pasos adicionales para adelantarse a las posibles operaciones de puerta trasera desde el hardware de red:

  • Verifique su hardware y el software y firmware instalados
  • No dude en actualizar su software y firmware desde lo que fue enviado con el hardware
  • Monitoree el tráfico de red saliente en busca de anomalías o cosas que parezcan extrañas

"En muchos casos, una conexión saliente cifrada solo a una ubicación no estándar. iones es algo de lo que preocuparse ", dijo.


Leave a Reply

Your email address will not be published. Required fields are marked *