Pesquisa de Ameaças

O lado sombrio dos aparelhos IoT (Internet das Coisas)

Michal Salát, 3 Janeiro 2018

Os dispositivos IoT são muito convenientes, mas trazem muitos riscos de segurança.

Os dispositivos da Internet de Coisas (IoT) podem ser qualquer coisa, desde máquinas de café até relógios de fitness e termostatos, todos eles são projetados para facilitar nossas vidas, mas o que acontece quando eles se tornam vilões? Difícil de imaginar, mas esses dispositivos inocentes, que queremos introduzir em nosso dia a dia, podem ser involuntariamente infectados ou sequestrados e, assim, juntar-se ao lado sombrio da internet.

Robô + Rede

Os dispositivos IoT podem ser forçados a se tornar robôs que seguem cegamente os comandos para cometer crimes, como parte de uma rede zumbi (botnet). Uma rede zumbi é uma rede de dispositivos infectados que são abusados por um invasor para que executem tarefas como, por exemplo, ataques DDoS, mineração Bitcoin e propagação de emails de spam. Praticamente qualquer dispositivo conectado à internet pode ser infectado e tornar-se parte de uma rede zumbi. Os dispositivos IoT são frequentemente sequestrados para se tornarem robôs, porque são fracos em segurança e, portanto, são alvos fáceis de infectar.

No momento, as redes zumbis são principalmente usadas para realizar ataques DDoS e para a mineração de criptomoedas, mas os cibercriminosos são capazes de fazer muito mais com centenas de milhares de dispositivos IoT. As redes zumbis podem enviar mensagens de spam, desde emails de phishing que contenham malware e roubem suas senhas ou dados financeiros, até convencer as pessoas a comprar produtos ou ações de determinadas empresas. As redes zumbis também podem realizar campanhas de cliques, distribuir propagandas falsas e, pior ainda, infectar outros dispositivos IoT.

As coisas escuras escondem-se em lugares escuros

Como a maioria dos malwares, ferramentas para criar redes zumbis podem ser encontradas na darknet. As redes zumbis podem ser alugadas, enquanto os códigos-fonte dessas redes podem ser comprados ou mesmo vazados, como foi o caso da rede zumbi Mirai. Os preços variam entre dezenas e centenas de dólares, dependendo do tipo de serviço, a quantidade de robôs/dispositivos disponíveis para serem usados em uma rede zumbi e, no caso de um ataque DDoS, o preço depende também da força e da duração do ataque.

Devido à natureza competitiva da darknet, algumas redes zumbis competem uma contra a outra. Se um dispositivo IoT já está infectado, outra rede zumbi pode tentar substituir a infecção pelo seu próprio código e, em alguns casos, também "corrigir" a falha de segurança usada pela rede anterior, evitar a reinfecção, e trocar de lugar, assumindo o controle do dispositivo vulnerável.

Dispositivos IoT tornando-se vilões

No momento, os dispositivos IoT que executam tarefas nas redes zumbis podem não parecer muito críticos, mas o que pode acontecer se os cibercriminosos decidirem dar um passo adiante?

Nós já sabemos que é possível infectar redes IoT inteiras infectando um único dispositivo, pois isso já foi provado em testes de prova de conceito. Em um desses testes, os pesquisadores modificaram o firmware de uma lâmpada e foram capazes de alterar o firmware de todas as lâmpadas inteligentes vizinhas. Em outro exemplo, o pesquisador Cesar Cerrudo provou que poderia piratear um sistema de controle de tráfego de veículos para alterar o fluxo desse tráfego. Em sua apresentação na Def Con, Cesar explicou que ele poderia infectar sensores de trânsito localizados nas ruas com um verme de atualização de firmware, que iria então infectar todos os outros sensores.

Esses ataques de prova de conceito podem parecer inocentes, até que consideremos o fato de que cidades inteligentes estão sendo desenvolvidas e, em alguns anos, as cidades ao redor do mundo podem estar completamente conectadas. Se esses dispositivos e sistemas IoT não estiverem protegidos adequadamente, os cibercriminosos, os governos e até terroristas poderiam obter o controle e causar um caos completo nas cidades, controlando todas as luzes ou fluxos de tráfego, apenas para citar dois exemplos.

Além de que os dispositivos IoT podem serem sequestrados para realizar ataques às cidades, poderíamos ver os dispositivos IoT como os próximos alvos para ataques de ransomwares. Quando o sistema informático de um hotel foi infectado por ransomwares em fevereiro do ano passado, os clientes não conseguiam mais entrar em seus quartos, porque o sistema infectado era o mesmo que programava os cartões de chaves eletrônicas. Agora imagine se o seu termóstato inteligente for infectado com ransomware, você pagaria o resgate para recuperar o acesso e voltar a controlar temperatura da sua própria casa?

Os cibercriminosos não só podem atingir os dispositivos domésticos inteligentes com ransomwares, mas também podem realizar ataques direcionados contra celebridades ou fábricas e indústrias.

Meu aparelho IoT se torna um espião

Um risco totalmente negligenciado quando se trata de dispositivos IoT é a possibilidade de vazamento de dados pessoais, bem como o rastreamento do movimento desses dispositivos. Pense na quantidade de informação que um dispositivo IoT pode coletar: as webcams podem ver tudo para o qual estejam apontadas, as TVs inteligentes e os assistentes pessoais podem captar o som, e os carros inteligentes podem dar pistas sobre se uma pessoa está ou não em casa.

A quantidade de dados que um dispositivo IoT coleta depende do dispositivo, mas a forma como os dados são enviados de volta para os fabricantes e como os dados são armazenados, depende dos fabricantes. A tendência atual é ter tudo na nuvem, e é nessa direção que os dispositivos IoT estão se movendo também. Basicamente, o envio de comandos para um dispositivo IoT através de um telefone celular pode percorrer a metade do mundo e passar por vários servidores antes de uma ação ser realizada. Esta informação pode ser interceptada ou reencaminhada para um servidor malicioso e ser abusada, caso não esteja convenientemente protegida. Além disso, os cibercriminosos podem violar os dados armazenados pelos fabricantes e coletar uma todas as informações pessoais, que, dependendo do dispositivo, podem incluir o tipo de dispositivo, o endereço IP, outros dispositivos conectados à rede, localização e muito mais.

Os cibercriminosos, é claro, não precisam invadir o servidor de uma empresa para coletar informações sobre você, eles podem ir diretamente à fonte. Os motores de busca IoT podem encontrar uma grande quantidade de câmeras IP vulneráveis e que podem ser usadas por praticamente qualquer pessoa. Estas câmeras estão em lojas, fábricas, armazéns, estacionamentos, mas também em casas, garagens, quartos e salas de estar. As pessoas que usam essas câmeras "públicas" não têm a mínima suspeita de que outros possam estar observando cada um dos seus movimentos.

Imagine se um hacker tiver acesso a todos ou à maioria dos dispositivos IoT na casa de uma pessoa. Eles podem rastrear o seu movimento, ouvir conversas privadas e então realizar um ataque direcionado contra essa pessoa, ou vender a informação que eles coletam na darknet para que outros cibercriminosos abusem delas.

O futuro dos dispositivos IoT

A quantidade total de dispositivos IoT está aumentando rapidamente e é difícil prever o que outras coisas comumente usadas estarão conectadas ao mundo IoT selvagem. Com a crescente quantidade de dispositivos inteligentes, há também um número crescente de possíveis ataques. Muitos desses dispositivos são essencialmente computadores em miniatura conectados à internet ou a outras redes, com seus próprios sistemas operacionais e a capacidade de executar operações computacionais bastante complexas, tornando-as mais poderosas do que, às vezes, podemos pensar.

Quanto mais nos aproximamos dos dispositivos IoT, mais motivados estão os cibercriminosos para atacá-los. Todos nós podemos imaginar como os dispositivos inteligentes individuais poderiam ser abusados e os principais problemas que poderiam ocorrer se os fabricantes não começarem a prestar atenção à garantia dos seus produtos. O setor de IoT ainda é relativamente jovem, e esperamos que ao longo do tempo, a segurança do dispositivo também melhore significativamente.

Publicado anteriormente no IoT Institute.