Pesquisa de Ameaças

Iscas grandes para peixes grandes

Threat Intelligence Team, 17 Junho 2019

Estudo da Avast mostrou que 23,2 milhões de ataques atingiram 500 dispositivos de IoT usados como cobaias.

Domingo, 24 de fevereiro, véspera do Mobile World Congress 2019. Os pesquisadores de segurança da Avast Martin Hron, Vladislav Iliushin, Libor Bakajsa e Anna Shirokova deram início a um projeto: a implantação de 500 honeypots (iscas) em 10 países ao redor do mundo que funcionariam como cobaias durante o evento (quatro dias) e depois dele.

A ideia era contabilizar o número de tentativas de conexão que os invasores fariam com esses honeypots, na esperança de conseguir obter alguns dados úteis para este estudo. Os honeypots, um tipo de ratoeira na internet, foram propositadamente montados com suas portas (lógicas) abertas para enganar os invasores que os escutavam, achando que estavam se conectando a roteadores, smart TVs, câmeras de segurança ou outros aparelhos inteligentes. O que descobriram foi melhor (ou pior) do que esperado.

Próximo ao fechamento do MWC, por volta das 16h (locais) do dia 28 de fevereiro, 23,2 milhões de tentativas de conexão a esses honeypots foram registradas pela equipe. Em outras palavras, os 500 dispositivos falsos instalados na internet, que pareciam dispositivos de IoT, sofreram 23,2 milhões de ataques dos cibercriminosos. Isso significa 11.588 tentativas de conexão por dispositivo por dia.

As três portas atacadas com maior frequência eram as normalmente encontradas em dispositivos de streaming do Chromecast, Google Smart Home Speakers (porta 8088), porta 22 da Telnet e porta 23 de SSH, que costumam estar presentes nos roteadores.

Essa não foi uma grande surpresa. Os dispositivos de streaming estão entre os dispositivos inteligentes mais difundidos e vulneráveis em casa, de acordo com nossa recente pesquisa. A segurança do roteador também é motivo de preocupação. Dos 11 milhões de roteadores verificados pela Avast em setembro de 2018, 60% tinham credenciais fracas ou vulnerabilidades de software.

honeypots-mwcTentativas de conexão às 12:37 na quinta-feira, 28 de fevereiro

Então, de onde vieram esses potenciais ataques a nossos honeypots e quem eram os alvos? Como nossos dados mostram, os três principais países “atacados” foram a Irlanda, a Alemanha e os Estados Unidos, enquanto os três países mais agressivos em termos de ataques realizados foram os Estados Unidos, China e França.

País
Conexões por honeypot durante os quatro dias do evento
Irlanda
218.851
Alemanha
162.868
Estados Unidos
159.532

No entanto, a atribuição na segurança cibernética raramente é algo claro. Tecnologias como Redes Privadas Virtuais (VPNs), a rede TOR ou as conexões proxy por meio de um dispositivo já infectado, são técnicas frequentemente usadas pelos invasores para ofuscar sua origem. Dito isto, nos quatro dias, observamos que a maioria dos ataques veio de servidores localizados nos Estados Unidos, na China e na Holanda.

Você é um alvo ou não?

A função de um honeypot é registrar a atividade de cibercriminosos e depois examinar seus métodos de ataque. Eles são criados para que os invasores pensem que os dispositivos que estão atacando são reais e contêm dados reais. Mas e se esses dispositivos fossem reais e não iscas? E se fosse seu roteador doméstico ou o assistente inteligente que é verificado em busca de vulnerabilidades quase 12.000 vezes por dia?

A força da sua rede doméstica é igual à do elo mais fraco da cadeia e, à medida que o número de dispositivos inteligentes conectados a uma rede cresce, mais fraca essa cadeia se torna. Se 500 dispositivos de IoT falsos sofreram 23,2 milhões de ataques ao longo de quatro dias, imagine o volume que podemos esperar no próximo ano, quando o ecossistema mundial de dispositivos de IoT for composto de 38,5 bilhões de dispositivos inteligentes autênticos.

Se considerarmos o número médio de conexões feitas em um único honeypot em qualquer dia do MWC e extrapolar esse número para o total de instalações de dispositivos de IoT esperadas no próximo ano, isso equivaleria a mais de 446 trilhões de tentativas de conexões em todo o mundo num período de 24 horas, considerando que estes dispositivos permanecem publicamente acessíveis pela internet. Este é, claro, um cenário extremo, mas também é uma indicação clara de que estamos nos aproximando de uma epidemia de segurança cibernética.

De acordo com The Ponemon Institute, a chance de alguém ser vítima de um ataque cibernético é 25%. Isso é mais provável do que tirar um número específico em um dado de seis lados. Então, por que existe uma apatia em relação à segurança cibernética quando as probabilidades estão contra a segurança de nossos dados pessoais?

O problema é, em parte, emocional. A maioria das pessoas acha que não importa se sua smart TV, um alto-falante ou lâmpada inteligente em casa são vulneráveis, porque não se consideram um alvo. Afinal, por que um cibercriminoso estaria interessado nos shows que você assiste, música que ouve e quando liga as luminárias?

Este é um argumento bastante razoável, até você entender melhor a situação. Imagine que um invasor ataque sua cafeteira inteligente que fica na mesma rede que seu alto-falante e seu assistente inteligente. Se aplicarmos o raciocínio de que é necessário apenas um dispositivo ser invadido para que o cibercriminoso assuma o controle de toda uma rede doméstica, a máquina de café pode ser usada como vetor para permitir que o invasor também converse com seu alto-falante inteligente e emita comandos de voz para fazer pedidos através de sua conta, potencialmente “estourando” seu cartão de crédito.

Agora imagine que sua casa está “protegida” por uma fechadura inteligente integrada a seu assistente inteligente para abrir e fechar a porta. O local da sua casa foi descoberto no firmware de suas lâmpadas inteligentes porque um app que as controla pelo celular está armazenando coordenadas de GPS físicas das lâmpadas desde que foram instaladas. Seu endereço residencial agora foi descoberto e, aplicando o mesmo processo de ataque acima, o criminoso envia uma solicitação do Alexa para abrir sua porta de entrada.

Contramedidas importantes

Por mais distópicos que os cenários acima possam parecer, eles são plausíveis. Já vimos exemplos de malware de IoT na vida real que infectou quase um milhão de roteadores da Deutsche Telecom, cortando as conexões de internet dos clientes. Muitas outras variantes do mesmo malware, conhecido como o Mirai, foram usadas para executar ataques distribuídos de negação de serviço (DDos) em sites populares, ou aproveitar o poder de computação dos dispositivos IoT para minerar criptomoedas.

Mas não devemos nos desesperar. Apesar do aumento no número de invasores que buscam aproveitar a onda de insegurança da IoT e o subsequente aumento de tentativas maliciosas para localizar os elos mais fracos da cadeia, é possível mitigar as ameaças com o que chamamos de “higiene digital básica”.

Da mesma forma que a propagação de um vírus de um hospedeiro para outro pode ser prevenida com algo tão simples quanto a higienização das mãos, um vírus malicioso de IoT pode ser eliminado com passos igualmente simples. Estas são duas providências que todos podem (e devem) tomar para diminuir radicalmente as chances de se tornar vítima de crime virtual:

  1. Senhas fortes: crie senhas fortes para o seu roteador, Wi-Fi e os seus dispositivos IoT. Crie senhas fortes e exclusivas que não contenham informações pessoais. Sempre que possível, as senhas devem ter pelo menos 10 ou mais caracteres, conter números e caracteres especiais e não devem ter relação com você ou com o serviço que estão protegendo
     
  2. Atualize o firmware dos roteadores e dos dispositivos IoT: é essencial atualizar o firmware do roteador e dos dispositivos IoT sempre que uma atualização for disponibilizada. As atualizações geralmente contêm correções de vulnerabilidades, protegem seus dispositivos e impedem que os cibercriminosos aproveitem as vulnerabilidades para obter acesso aos outros dispositivos da sua rede
     
  3. Antes de comprar um dispositivo, procure por correções de segurança de software no site do fornecedor. Se o fornecedor não oferece as correções ou não fez isso nos últimos anos, é muito provável que o dispositivo que você está prestes a comprar já tenha vulnerabilidades

Lembre-se de que sua rede doméstica é tão forte quanto o elo mais fraco da cadeia. Portanto, à medida que você continua adicionando novos dispositivos inteligentes a sua rede, siga as dicas acima para manter sua casa inteligente segura.

unsplash-logoGrant