Ataques a dispositivos inteligentes (IoT) registram alta com a Covid-19

Byron Acohido, 25 de Fevereiro de 2021 14h18min3s CET
Byron Acohido, 25 de Fevereiro de 2021 14h18min3s CET

A migração de sistemas de TI para a nuvem toma muito tempo das empresas que buscam melhorar sua postura de segurança. Assim, riscos relacionados à IoT acabam ficando de lado, mas a Covid-19 colocou esses problemas em primeiro plano

A Internet das Coisas (IoT, da sigla em inglês) percorreu um longo caminho desde que estudantes da Universidade Carnegie Mellon instalaram micro-interruptores* dentro de uma máquina de venda de Coca-Cola. Na época, eles queriam verificar remotamente a temperatura da geladeira e a disponibilidade da sua bebida favorita.

Isso aconteceu em 1982. Desde então, dispositivos IoT se tornaram amplamente integrados* a nossas casas, empresas, utilitários e sistemas de transporte. Isso trouxe muitos benefícios. Mas essa implementação generalizada de sistemas IoT também aumentou muito a superfície de ataque cibernético das redes empresariais, principalmente nos últimos anos.

Agora, por conta da Covid-19, isso vem gerando um efeito multiplicador no aumento de vulnerabilidades nos dispositivos IoT. Meses de pandemia e uma dinâmica sinistra vem se manifestando. O trabalho e a educação remotos aumentaram nossa dependência de sistemas IoT* para uma escala que ninguém poderia prever. Muito desse aumento repentino e dramático deve continuar permanentemente*. Em resposta, precursores de ameaças se esforçam para tirar proveito máximo da situação*.

Essa mudança está apenas começando. Golpes e invasões ligadas à IoT foram alavancadas rapidamente a um alto nível. A tendência deve continuar em 2021 e nos anos seguintes. Essa onda pode e deve ser eliminada. A boa notícia é que já possuímos a tecnologia e a estrutura de boas práticas para mitigar o aumento rápido das exposições relacionadas à IoT.

Mas isso exigirá um esforço conjunto e proativo da comunidade empresarial. Cidadãos, consumidores e trabalhadores também têm um papel importante nessa missão. Cada um de nós terá que cooperar e fazer sacrifícios. Há muita coisa em jogo. Veja o que as empresas e as pessoas devem entender a respeito dos ataques aos sistemas IoT pós-Covid-19.

A popularização da IoT

Claramente a IoT se tornou algo cotidiano. Estamos cercados por aparelhos que contam com sensores integrados que, por sua vez, transmitem dados pela internet. Dispositivos IoT ajudam a controlar remotamente nossos aparelhos domésticos, plantas de energia, prédios inteligentes, fábricas, aeroportos, estaleiros, caminhões, trens e instalações militares.

E olha que estamos apenas começando. No futuro próximo, sistemas IoT trarão carros autônomos e algo chamado “gêmeo digital”, uma representação virtual de objetos físicos integrados à inteligência artificial. Recentemente ouvi o Dr. Joe Alexander, um notório cientista da NTT Research, descrever o brilhante trabalho que ele desenvolve sobre gêmeo digital de um coração humano*, que algum dia usará dados para ajudar a diagnosticar e tratar doenças do coração.

O desafio do momento é que muitas empresas já estão trabalhando para melhorar seus sistemas de segurança enquanto migram seus sistemas legados, locais e TI para a nuvem. Riscos relacionados à IoT têm tido baixa prioridade, sendo uma preocupação secundária. Mas agora a Covi-19 deixou evidente as vulnerabilidades relacionadas a ela.

“É comum ver empresas com fortes políticas e ferramentas de segurança para proteger os terminais da empresa operados por funcionários, mas sem nenhuma proteção para dispositivos IoT e móveis fora dos perímetros da empresa”, conta Chris Sherman, analista sênior da Forrester.

Para ele, há uma grande brecha na visibilidade de dispositivos IoT que precisa ser resolvida. Concordo plenamente. A maioria das empresas tem uma vaga noção de todos os sensores IoT conectados às suas redes, e cada dispositivo representa uma porta aberta a intrusos. O fechamento de empresas e escolas por conta da Covid-19 adicionou inesperadamente dezenas de milhões de dispositivos IoT conectados a redes corporativas, intensificando assim essa exposição.

Um prato cheio para cibercriminosos

Uma pesquisa recente da Forrester com trabalhadores* mostrou que, até a metade de 2020, 58% das corporações ao redor do mundo tinham pelo menos metade de seus colaboradores trabalhando de casa, onde, na média, há 11 dispositivos conectados à internet. Adicione a isso todas as escolas e universidades que foram forçadas a realizar aulas à distância por causa da pandemia.

“Há uma expansão no número de dispositivos que integram o ecossistema IoT. Além disso, o tempo que esses dispositivos ficam conectados às mesmas redes utilizadas para trabalho também aumentou”, afirma Sherman.

Para os cibercriminosos, é como se caíssem em uma loja de doces oferecendo produtos grátis para quem quiser. Normalmente, os sistemas operacionais de dispositivos IoT domésticos contam com funcionalidades de segurança mínimas. “Organizações cibercriminosas são especialistas na exploração de esquemas de autenticação frágeis para invadir uma determinada rede”, revela Sherman. “Aos estabelecerem uma base de entrada, eles podem se mover lateralmente e ter acesso a outros aparelhos da empresa”, completa.

Ataques a dispositivos IoT em redes domésticas e corporativas não acontecem somente na teoria. Na verdade, esse problema tem aumentado significativamente nos últimos três anos.

A infame rede zumbi Mirai* se replica automaticamente com a procura de centenas de milhares de roteadores domésticos com senhas fracas ou inexistentes. A partir de então, a Mirai se espalha vorazmente para outros tipos de dispositivos IoT, assim como para computadores corporativos. Ultimamente a Mirai tem sido utilizada em grandes ataques DDoS (Distributed Denial of Service).

Redes zumbis IoT dão continuidade aos ataques DDoS e são utilizadas para distribuir cavalos de Troia bancários, assim como ataques man-in-the-middle*. A rede zumbi VPNFilter, por exemplo, comprometeu roteadores domésticos com proteção fraca, que então foram direcionados para roubar credenciais de acesso de funcionários como parte de invasões a determinadas empresas.

A invasão do alto-falante inteligente de um diretor financeiro

No decorrer de 2020, ataques IoT revelaram novas brechas. Sherman conta que, em um episódio recente, cibercriminosos atacaram o executivo de uma empresa de serviços financeiros que trabalhava de casa. Os agressores conseguiram abrir uma porta de entrada no MacBook do diretor financeiro. Mas por mais que tentassem, não conseguiram atingir seu objetivo principal, que era controlar o microfone do MacBook.

Eles então mudaram os planos e localizaram e controlaram um alto-falante inteligente conectado à rede doméstica via Bluetooth. Tendo o controle do alto-falante inteligente do executivo, os bandidos conseguiram atingir o objetivo final, que era espionar as conversas particulares do diretor.

Esse é um sinal dos tipos de ataques IoT que estão por vir. Hoje temos dispositivos IoT úteis em nossas casas, controles ambientais, rastreadores de saúde, dispositivos de mídia e games, câmeras de segurança, sistemas de acesso a prédios, dispositivos médicos e até mesmo carros conectados. É claro que cibercriminosos continuarão a explorar esses novos vetores de ataque.

“Algumas vezes, nem sabemos quanto dos nossos dispositivos podem fazer gravações de vídeo e áudio”, avalia Sherman. “Ataques IoT são especialmente preocupantes no setor da saúde, em que se tem muitas conversas protegidas pela Lei de Portabilidade e Responsabilidade de Seguro Saúde de 1996 (EUA)* sendo captadas por dispositivos domésticos”, continua.

Mike Nelson, vice-presidente de segurança IoT da DigiCert, toma cuidado com as vulnerabilidades sistêmicas de dispositivos IoT implementados no setor da saúde. A DigiCert é líder de mercado no fornecimento de certificados digitais e serviços de segurança. O trabalho de Nelson é ajudar as empresas a combaterem os riscos relacionados à IoT, mas seu interesse pelo assunto vai além disso. Por ser portador de diabetes tipo 1, Nelson recebe continuamente alertas sobre o nível de açúcar no seu sangue no seu smartphone. Essas informações são enviadas por um dispositivo IoT preso à sua perna.

Um cibercriminoso poderia, seja propositalmente ou de forma acidental, alterar ou interromper o fluxo de dados de tal sistema, causando impactos negativos devastadores em diabéticos como Nelson. Isso vale também para qualquer paciente que receba atendimento delicado para qualquer tipo de doença e que dependa de dados coletados por sistemas IoT.

“Hospitais recebem dados de bombas de infusão sem fio. Elas fornecem tratamentos críticos a pacientes”, ressalta Nelson. “Essas bombas estão conectadas a diferentes sistemas, incluindo redes. Se elas ficam desprotegidas, um ator malicioso pode entrar no hospital, descobrir o dispositivo em uma rede e tomar o controle do aparelho, podendo então injetar doses letais de medicamentos em um paciente”, alerta.

Confiança cega não é mais uma opção

Intrusos em sistemas IoT apresentam um perigo claro e presente além do setor de saúde, claro. Empresas de todos os tamanhos e em todos os setores estão expostas. Basta utilizarem sistemas IoT com uma configuração de segurança fraca na tomada de decisões operacionais importantes de maneira remota e em tempo real.

“Rastreadores de inventários, controles de temperatura ou qualquer tipo de dispositivo IoT que colete dados acionáveis correm risco de ataque”, afirma Nelson. “Cibercriminosos podem integrar malwares nos dispositivos, fazendo com que transmitam relatórios com informações incorretas, ou o cibercriminoso pode fazer um ataque man-in-the-middle para manipular valores assim que são enviados pelo dispositivo.”

Como os sistemas IoT se tornaram muito populares sem dar o devido valor à segurança - especialmente agora, que o seu uso está em alta devido a Covid-19 - empresas de todos os setores precisam tomar medidas duras. O ganho de visibilidade de todos os dispositivos IoT precisa se tornar prioridade máxima. Isso levará, naturalmente, à implementação de controles de gerenciamento de identidade e acesso mais robustos, além de um monitoramento muito mais próximo do fluxo de dados em sistemas IoT.

“Organizações precisam se distanciar da confiança cega que depositam nos dispositivos”, enfatiza Nelson. “É preciso saber quais dispositivos estão conectados às redes e tomar decisões baseadas no local de origem desses dispositivos e nas suas funcionalidades; é preciso avaliar continuamente os benefícios e riscos apresentados por cada aparelho.”

Isso não depende apenas das empresas. Funcionários trabalhando remotamente devem assumir a responsabilidade e fazer a sua parte para melhorar a postura de segurança de dispositivos IoT e das suas redes domésticas.

Sim, isso significa mais trabalho e menos conveniência para usuários individualmente. No que se refere aos sistemas IoT domésticos, cada um de nós deve assumir o papel de técnico e auditor de segurança. Isso pode envolver coisas como aprender a mudar senhas padrão fracas em roteadores domésticos e outros dispositivos IoT, usar a autenticação multi-fator sempre que possível, além de colocar em prática, e com mais rigor, os hábitos de gerenciamento de senhas seguras, mesmo que às vezes isso seja irritante. Esse ponto envolve a não utilização do e-mail de trabalho para se inscrever em contas online ou aplicativos web aleatórios. Cada um de nós precisa ficar de olho na sua pegada digital.

Mais responsabilidades em termos de segurança

Empresas podem ajudar seus colaboradores com treinamento efetivo. Há muitas ferramentas e serviços de segurança robustos disponíveis no mercado. O que está em falta é uma liderança para promover proativamente a cultura de segurança, que comece no topo da empresa e vá até o chão. Indo além, um esforço colaborativo verdadeiro entre gerenciamento e linha de produção terá que ser consolidado. A Forrester entrevistou mais de 10 mil profissionais da área de TI para a sua pesquisa de força de trabalho*, feita em meados de 2019. Uma das descobertas do trabalho foi a que 54% dos funcionários preferem resolver questões de segurança por conta própria, enquanto o resto não soube responder ou disse preferir que a empresa fique responsável por isso.

“Enquanto os funcionários devem seguir as políticas estabelecidas pelo time de segurança da empresa, em última instância ficará a cargo da organização se adaptar à rede dos funcionários, e não o contrário”, afirma Sherman. “É por isso que é importante incluir treinamentos para dispositivos IoT dentro dos programas de conscientização de segurança da empresa.”

Por exemplo, alguns hospitais progressistas recentemente promulgaram políticas exigindo que seus médicos desabilitassem todos os alto-falantes inteligentes em qualquer sala em que estivessem durante um atendimento virtual; isso faz parte do treinamento com as melhores práticas de segurança para dispositivos IoT. O objetivo é ajudar a garantir que as clínicas não compartilhem verbalmente, via dispositivos invadidos, informações de saúde protegidas por lei.

O ano de 2020 foi bastante tumultuado, com acontecimentos inimagináveis. E ainda não acabou. Talvez com o aumento inesperado de profissionais trabalhando de casa e da educação à distância*, empresas e consumidores se unam em torno da segurança cibernética. Espero que sim.