Está en la página 1de 4

eguridad en redes inalmbricas de espacio personal: el caso ZigBee. Por: int_0x40 Qu es ZigBee? Para qu se utiliza?

Cmo funciona y que problemas de seguridad vienen apa rejados con su implementacin? Responder a esas preguntas es el propsito de este te xto. Se conoce comnmente con el nombre de ZigBee a aquella especificacin que incluye va rios protocolos de nivel alto para la comunicacin inalmbrica mediante radiodifusin digital de bajo costo. Se le describe en el estndar IEEE 802.15.4 para redes wire less de rea personal o WPAN en la frecuencia 2.4 GHz. ZigBee RF4CE, fue creada conjuntamente por la ZigBee Alliance y por el RF4CE Con sortium, tambin conocida como especificacin estandarizada para control remoto basa do en RF (radiofrecuencia). Naturalmente el contexto donde se asume que esta especificacin cobra ms fuerza, es en la automatizacin de las viviendas (domtica), la industraia y los servicios. El motivo de tal supuesto radica en su bajo costo, consumo de energa, adaptabilidad y facilidad para implementarse en topologas de malla (Mesh). Ha sido tan amplio el crecimiento de este estndar de redes inalmbricas, que se pre v que pronto desplacen definitivamente a otras tecnologas como WI-FI, Bluetooth, I nfrared o DECT para ese tipo de escenarios. Las redes ZigBee en malla son las ms utilizadas en implementaciones que incluyen el control de flujo de agua, gas y electricidad en el sector industrial y de ser vicios. En particular su uso se est haciendo generalizado en la industria de la c onstruccin, como ejemplo se usaron miles de dispositivos ZigBee en el Brand-New M GM CityCenter de Las Vegas, adems de que muchos reguladores elctricos inteligentes de alto voltaje a lo largo de la unin americana se comunican aprovechando esa te cnologa. Ejemplos del desarrollo que ha tenido abarcan campos como la automatizacin de ser vicios domsticos, industriales y comerciales para el mbito de las WPAN, y van desd e el control remoto de aparatos electrodomsticos con acceso a Internet, audio y v ideo; la regulacin de servicios bsicos como agua, luz, gas, drenaje, temperatura; deteccin de incendios, movimiento; control centralizado de permetros de seguridad y alarmas; procesos industriales como la apertura y cerrado de vlvulas; hasta la automatizacin de cerraduras y puertas digitales. Teniendo ese crecimiento tan brillante y prometedor en sectores tan amplios, no deberamos tener ms de tres dedos de frente para imaginarnos los riesgos latentes d e seguridad que podran estar ocultos atrs de tantas fanfarrias. Cmo funcionan las redes ZigBee. En el lado tcnico, ZigBEE ofrece conexiones en la frecuencia de 2.4 GHz para 16 c anales con 5 MHz de canaleta. Utiliza modulacin DSSS al igual que el estndar 802.1 1b y el largo mximo de tramas es de 127 bytes. Adems el tamao de la pila de protoco los ocupa pocos Kilobytes. Su primera versin fue en el 2004. Para el 2006 se le aadi soporte de encriptacin y a utenticacin de tramas. En la versin del 2007 ya contaba con un nuevo modelo de seg uridad con un "centro de confianza". La versin profesional (ZigBee-PRO) ofreca lo mismo que la del 2007 ms otras opciones adicionales de mejora de seguridad. En cuanto a la autenticacin, ZigBee utiliza una variacin del protocolo AES-CCMP co

n claves que van hasta 128 bits de largo. Comnmente la clave de red es compartida por todos los dispositivos asociados pero tambin pueden existir claves de conexin compartidas entre dos dispositivos y una clave maestra con SKKE en la versin PRO . Las redes ZigBee estn constituidas por ZC (ZigBeeCoordinators) o Coordinadores PA N, que son nodos cuyas funciones son las de encargarse de controlar la red, la a sociacin de nuevos dispositivos y las rutas que deben seguir todos para conectars e entre ellos. Adems de los ZC, se cuenta con ZR (ZiggBee Routers) o Enrutadores, los cuales tienen como tarea esencial la de interconectar como padre a los disp ositivos hijos separados en la topologa de la red, junto con ofrecer una capa de aplicacin para la ejecucin de interfaces de usuario. Por ltimo, tenemos a los nodos finales ZED (ZigBee End Devices) o hijos, que cuentan con la funcionalidad nece saria para comunicarse mediante el modelo Parent-Child, segn sea el caso, con un enrutador o con el coordinador PAN, pero no puede transmitir informacin destinada a otros dispositivos. En tal caso, este nodo permanece dormido la mayor parte d el tiempo, disminuyendo de forma drstica el consumo de energa. As mismo un ZED tien e muy pocos requerimientos de memoria y como consecuencia su costo es mnimo. Una red 802.15.4 comienza su funcionamiento mediante la distribucin de los dispos itivos que la conformarn. Uno de ellos que es capaz de ser Coordinador inicia por identificar algn canal relativamente libre de interferencias a travs de barridos al medio, luego se configura para cubrir su funcin de coordinar la red. En ZigBee este proceso es conocido como el establecimiento del Coordinador PAN. Consecuen temente, los dispositivos que quieran unirse lo harn primero emitiendo balizas re quest que sern contestadas por otros dispositivos (Coordinadores PAN o Enrutadore s) si es que se cumple una condicin para permitirles unirse a la red. En teora slo el ZC o Coordinador ZigBee responder a la baliza de solicitud. Pero en adicin a ste , los ZR o Enrutadores tambin son capaces de responder y permitirles unirse si la distancia al ZC es mayor. Lo que determina este proceso es una serie de mensaje s intercambiados. Si se cumple con determinada condicin en los mensajes request-r eplay en el estndar 802.15.4, se dice que el dispositivo huesped solicitante se h a "asociado" con xito. Un factor clave en tal determinacin es la capacidad del ZR o Enutador de aceptar dispositivos adicionales como hijos (child). Lo que distingue a una red 802.15.4 de otras tecnologas inalmbricas como Wi-Fi, Bl uetooth, IR y otras es su capacidad de permitir asociaciones jerrquicas ms que una sola asociacin padre-hijo o maestro-esclavo. Por ejemplo un dispositivo conectad o al ZC o Coordinador PAN puede ser un ZR o Enrutador y permitir a otros disposi tivos conectarse a ste. Como resultado, se pueden lograr mltiples niveles de asoci acin entre todos los dispositivos. En cuanto al ramos que se y parmetros inador PAN y perfil de la pila de protocolos (stack) ofrecido por ZigBee, encont encarga de definir servicios de conectividad, transporte, aplicacin de seguridad para toda la red; este perfil es definido en el ZC Coord en los ZR Enrutadores.

En este estndar cada nodo cuenta con una direccin de 64 bits que lo identifica de manera nica. Sin embargo, para extender el tiempo de batera se utilizan por lo comn direcciones ms cortas a fin de disminuir el tamao de los paquetes y el tiempo de transmisin. As, ZigBee requiere de que todas las transmisiones despus de establecid a la asociacin sean hechas con una direccin de red de 16 bits. Esa direccin es asig nada al recin llegado por el padre, durante el proceso de intercambio de mensajes de asociacin que mencionamos antes. Adems, ZigBee especifica un algoritmo "Cskip" que provee rangos de direcciones a los Enrutadores y Coordinadores PAN para que asocien a los dispositivos hijos basndose en su ubicacin fsica dentro de la jerarq ua de red. En adicin al proceso de asociacin, la estructura de conectividad puede modificarse cuando algn dispositivo abandona la conexin o es forzado a abandonarla e igualmen

te cuando es reasociado a sta despus de presentarse un reinicio. Dependiendo de las necesidades de automatizacin de los servicios en el hogar, ind ustria o centro comercial, la forma bsica de las redes ZigBee por lo general cubr ir una zona de comunicacin entre dispositivos de 10 metros con una tasa de transfe rencia de unos 250 kbps. En cuanto a la pila de protocolos utilizados por las redes ZigBee y para entende r los elementos bsicos de cmo los servicios de aplicacin son ofrecidos, consideremo s un ejemlo en el cual un control remoto en una vivienda provee el encendido y a pagado de las luces o la regulacin de temperatura. Cada servicio es identificado de forma nica mediante una identificacin de perfil (ID profile), digamos Control d e Luces (CDL) posee un ID profile 0x0100. Cada perfil incluir opciones especficas o controles que sern a su vez identificados con un identificador de cluster (Clus ter ID). As el perfil de CDL tendr un Cluster ID 0x01 que proveer las opciones de e ncendido y apagado de las luces para el control remoto. ZigBee cuenta con una Subcapa de Soporte de Aplicacin (ASSL por sus siglas en ing ls) que ofrece una interface de conectividad y capa de transporte a las aplicacio nes, similar a TCP en las redes IP, aunque sin las garantas del control de flujo como ventana deslizante que ste ofrece. Para lograr tal cometido, ASSL define pun tos terminales (endpoints), que son equivalentes a los puertos TCP y en los cual es se llevan a cabo los servicios de aplicacin bajo un esquema stop and wait. Por lo comn, las redes grandes estn pensadas para formar un cluster de clusters. E igualmente pueden estructurarse en forma de malla o como un solo cluster. Los p erfiles actuales de los protocolos soportan redes que utilicen o no facilidades de balizado. En la capa dos, las redes sin balizas acceden al canal por medio del estndar CSMA /CA (Carrier Sense Multiple Access/Collision Avoided) tal y como lo hacen otras implementaciones 802.11. Los enrutadores suelen estar activos todo el tiempo, po r lo que requieren una alimentacin estable en general. Esto a cambio permite rede s heterogneas en las que algunos dispositivos pueden estar transmitiendo todo el tiempo, mientras que otros slo transmiten ante la presencia de estmulos externos. Si la red utiliza balizas, los enrutadores las generan peridicamente para confirm ar su presencia a otros nodos. Es posible implementar 3 topologas de red con ZigBee: En estrella, en la cual el coordinador est situado en un espacio central. En rbol, para la cual el coordinado r estar ubicado como la raz del rbol. Y en malla, la ms comn, en la que cuando menos uno de los nodos tendr ms de dos interfaces. Problemas de seguridad de las redes ZigBee. Uno de los problemas que saltan a la vista es que estas redes inalmbricas no ofre cen proteccin contra ataques de repeticin y falsificacin de paquetes en los que un atacante simplemente haga sniffing, copie y reinyecte paquetes a la red. La captura de claves y llaves maestras en texto plano, ataques chop-chop o el si mple crackeo de ellas cuando estn encriptadas sera simplemente trivial. Por unos cuantos dolares invertidos se podra tener una "caja de herraminetas" mnim as para hacer tales ataques: un par de tarjetas inalmbricas USB AVR RZUSB Stick-A T90USB1287 uC con AT86RF230 802.15.4 transceptor (dado que el firmware de la RZU SB se acomoda perfectamente para sniffing 802.15.4 tanto como Hijo-ZED como Padr e-ZC-ZRPAN) a fin de usar una de ella para capturar-grabar y otra para reinyecta r paquetes; una antena PCB hechiza; el framework escrito en Python por Joshua Wr ight que simplifica la captura, copia e inyeccin de trfico as como la decodificacin o manipulacin de los paquetes capturados e igualmente la falsificacin de ACKs en l

as tramas; adems algunas aplicaciones de reconocimiento y explotacin, el Pure Pyth on y unas cuantas libreras sera suficiente. Los ataques que incluyeran captura, repeticin o robo de credenciales, reinyeccin o falsificacin de trfico en redes ZigBee, no resultaran de mucha gravedad si hablsemo s de que son dirigidos digamos al control de encendido y apagado de lmparas en un a vivienda. Pero si esos mismos ataques se perpetraran contra una cerradura digi tal, sistema de alarmas, reguladores inteligentes de alto voltaje, controles de vlvulas de agua o gas: el resultado podra ser devastador. Pudiendo ir desde una si mple denegacin de servicio, el acceso no autorizado a zonas restringidas, hasta u na situacin de compromiso general del sistema de control, que podra ser aprovechad o por delincuentes, el terrorismo internacional o local. Es ms, algunos consultor es tienen la sospecha de que ciertas implementaciones inseguras de ZigBee para c erraduras, alarmas y reguladores de vlvulas pudiesen estar siendo ya utilizadas e n bases militares y plantas nucleares de la Unin Americana). Consideremos lo siguiente: una instalacin de alta seguridad que "resguarda" cepas altamente patgenas de ntrax. Una parte del edificio tiene alarmas perimatrales y sensores de movimiento conectados a dispositivos ZigBee con claves que son trans mitidas sobre el aire (OTA). Aunque la implementacin de claves OTA permitiera ade cuadamente su rotacin, stas son emitidas dentro de tramas en texto plano. Puesto q ue 802.15.4 no cuenta con proteccin contra ataques de repeticin de trfico, se facil itara a los atacantes internos o externos hacer eavesdropping mediante zbdsniff y zbdump, para luego reutilizar dichas claves con zbreplay y tener acceso no auto rizado a reas restringidas. Nadie garantiza la prdida de recipientes con la cepa d el microbio. Ese mismo escenario podemos encontrarlo en la regulacin de vlvulas de agua, gas y cerraduras digitales en redes ZigBee de industrias y centros comerciales. Un ata cante interno o externo puede grabar mensajes intercambiados entre dispositivos padre e hijo durante el servicio de apertura o cierre de vlvulas, mediante la eje cucin de zbdsniff y zbdump, para luego reutilizarlos en cualquier otro momento co n zbreplay. El atacante podra repetir cualquier trfico previamente observado entre dispositivos padres e hijos hasta que se lleve a efecto una nueva rotacin de cre denciales, lo cual puede prolongarse indefinidamente debido a una mala implement acin o simplemente no existir, tal y como tambin ocurre muchas veces con redes 802 .11, el protocolo ARP y algunas claves de encriptacin. Como consecuencia las vlvul as se abriran o cerraran en momentos inadecuados y se podra provocar un DoS o una c atstrofe aun mayor. Adems de eso, muchos de los mensajes intercambiados por los Coordinadores o Enrut adores de la red ZigBee vienen en formato ASCII, lo que permitira ataques de frag mentacin. Por ltimo, como la naturaleza de las redes ZigBee se basa en tener cantidades var iables de pequeos dispositivos separados entre s por 10 metros y repartidos en un espacio determinado. A menos que se utilicen claves OTA, todos ellos debern tener grabada una copia de su llave en EEPROM (slo en el caso de ejercer funcin como pa dres). Y debido a que cada vez que el aparato se arranca, la clave es movida a R AM se podra atacar al dispositivo padre especfico para obtener su clave de encript acin y con ella asociar otro dispositivo fraudulento a la red. Como consecuencia las rdenes que recibieran los hijos asociados a este padre fraudulento, estaran ba jo el control del atacante.