Segurança Cibernética

Inteligentes, mas não seguros

Michal Salát, 15 Janeiro 2018

Os dispositivos IoT são seguros? Eles podem ser invadidos? O Laboratório de Ameaças da Avast coloca a mão nesse vespeiro.

No mundo digital de hoje, estamos literalmente rodeados por dispositivos IoT (Internet das Coisas). Fabricantes de brinquedos, móveis, carros e ferramentas médicas agregam recursos "inteligentes" em seus produtos. (Até fabricantes de garrafas vendem garrafas de água inteligentes e conectadas!) Infelizmente, nessa corrida para obter dispositivos inteligentes para o mercado, há um componente crítico que muitas vezes só se pensa muito depois: a segurança.

Por que os dispositivos IoT não têm segurança?

Sem uma regulamentação de segurança para os dispositivos inteligentes, os fabricantes são obrigados a criar os seus próprios padrões de comunicação. Você pode imaginar as consequências. Considere um fabricante de torradeiras, que agora produz "torradeiras inteligentes". Além de permitir que seu dispositivo móvel melhore os níveis de coloração, agora o fabricante também deve considerar como proteger essas torradeiras contra cibercriminosos?! É fácil ver como os princípios modernos básicos de segurança podem ser muitas vezes negligenciados, fazendo com que produtos desprotegidos sejam disponibilizados para os consumidores que aguardam ansiosamente o seu próximo dispositivo "conectado".

Como os dispositivos IoT podem ser invadidos?

Como os dispositivos inteligentes não vem com segurança, podem alvo de ataques que usam uma ampla gama de métodos, desde a tentativa de quebra das credenciais de login por força bruta até técnicas de exploração mais sofisticadas, que incluem engenharia reversa do firmware ou dos sistemas operacionais para encontrar vulnerabilidades dia-0. Serviços e kits de exploração usados para hackear dispositivos IoT são vendidos na darknet, e o acesso é muito fácil aos cibercriminosos. Os hackers estão sempre tentando infiltrar novos tipos de redes e as comunicações usadas pelos dispositivos IoT.

Quão difícil é hackear um dispositivo IoT?

A maneira mais simples de hackear um dispositivo inteligente é quebrar as senhas com força bruta ou usar as credenciais de login padrão do dispositivo para obter acesso administrativo. As redes zumbis, que podem ser alugadas na darknet, facilitam a infecção de milhares de dispositivos ao mesmo tempo com um método chamado "script kiddie": um novato usa um malware de outra pessoa mais avançada para os seus próprios ataques.

E fica ainda mais fácil quando se considera esta infeliz verdade: ao invés de criar senhas únicas, muitos fabricantes economizam dinheiro usando as mesmas credenciais de login padrão para todos os dispositivos que produzem. Em 2016, uma das maiores ameaças IoT foi a rede zumbi Mirai, que infectou milhares de dispositivos inteligentes usando as credenciais de login padrão para executar ataques DDoS (negação distribuída de serviço) gigantescos. Desde que o código-fonte da Mirai foi publicado, quase qualquer um pode agora executar a sua própria rede zumbi IoT ou reescrever o código. Como resultado, muitas mutações da Mirai apareceram.

Embora existam outras formas de infectar um dispositivo IOT, mas porque são muito mais complexas e caras, continuam mais raras. A engenharia reversa do firmware ou do sistema operacional, por exemplo, requer conhecimentos técnicos avançados e leva tempo. Da mesma forma, kits de exploração dia-0 aproveitam as vulnerabilidades dos dispositivos e ganham milhares de dólares todos os anos.

O que precisa ser feito para melhorar a segurança dos dispositivos IoT?

Uma maneira possível e efetiva de melhorar drasticamente a segurança da IoT é oferecer aos consumidores a opção de alterar facilmente as credenciais de login dos seus dispositivos inteligentes. Seria ainda melhor se os fabricantes exigissem que os usuários criassem uma senha única e forte ao configurar um dispositivo pela primeira vez. Embora isso não possa ser aplicado a todos os cenários, a alteração das credenciais de login padrão reduziria drasticamente o número de dispositivos "não protegidos", além de tornar mais difícil o acesso aos dispositivos IoT para os hackers novatos (script kiddies) e para as redes zumbi. Outra possibilidade seria que os fabricantes de dispositivos IoT dessem a cada dispositivo uma senha única e aleatória que só o cliente recebesse.

As atualizações regulares de software para corrigir as vulnerabilidades também ajudariam a proteger os dispositivos inteligentes contra invasões. Hoje, os fabricantes costumam usar versões desatualizadas de várias bibliotecas e sistemas operacionais para os quais existem muitas formas poderosas de invasão, deixando esses dispositivos vulneráveis a ataques. Há também muitos dispositivos no mercado que nunca poderão ter o seu firmware atualizado; então, se um cibercriminoso abusasse de uma vulnerabilidade, não haveria nenhuma outra opção além de desconectar permanentemente esse dispositivo da rede e substituí-lo por um dispositivo mais seguro.

Proteger dispositivos inteligentes não só protegerá a privacidade das pessoas e ajudará a evitar ataques DDoS, mas também pode evitar coisas muito piores. Houve ataques de provas de conceito que mostram como todas as redes IoT podem ser infectadas, visando um único dispositivo, como uma lâmpada ou sensor de tráfego. Esses ataques de prova de conceito demonstram que dispositivos inteligentes vulneráveis podem ser um problema enorme causando tremendo dano se forem controlados pelas pessoas erradas. Imagine cibercriminosos controlando o fluxo de tráfego ou desligando as luzes em uma cidade inteira. Os fabricantes de dispositivos inteligentes devem colaborar com especialistas em segurança para garantir que uma camada de segurança esteja incluída em seus dispositivos. Eles também devem testar regularmente a segurança dos seus produtos.

E aqui está a conclusão: na sua corrida para invadir o mercado com os seus produtos mais recentes, os fabricantes estão deixando muito de lado a segurança. Até que tenhamos mais proteção nos dispositivos inteligentes, precisamos nos perguntar antes de comprarmos: "O preço desse novo e brilhante objeto realmente vale o seu preço e, talvez, o custo do estrago que pode produzir?”