Em novembro do ano passado, pesquisadores da empresa de
segurança cibernética Invincea reportaram uma vulnerabilidade que
poderia ter permitido que hackers infectassem sistemas
de automação residencial da Belkin. As várias brechas, de acordo com a
Invincea, foram encontradas em dispositivos da linha WeMo, e permitiam
que invasores controlassem remotamente a iluminação e o termostato da
casa, por exemplo, e até mesmo acessar a rede local (LAN).
Em 2015, quando pesquisadores de vulnerabilidades da desenvolvedora de software de segurança Rapid7
analisavam nove monitores de bebê conectados à internet encontraram
credenciais fixas de acesso (hardcoded) em quatro deles. Essas contas de
backdoor forneciam acesso administrativo para os dispositivos
conectados à rede local.
O
uso de contas ocultas, protocolos de gerenciamento não autenticados e
chaves de criptografia de disco rígido-codificado ou senhas é muito
comum no mundo dos dispositivos de Internet das Coisas (IoT) e sistemas
embarcados. Estas situações, que remetem a configurações padrão
inseguras, são frequentemente encontradas não apenas em produtos de
consumo, mas também em empresas, incluindo firewalls e outros
dispositivos de segurança.
No
início de dezembro de 2016, por exemplo, pesquisadores da SEC Consult
advertiram que 80 modelos de câmeras de segurança profissionais da Sony,
usadas principalmente por empresas e agências governamentais, tinham
contas de backdoor (portas dos fundos, em tradução livre). E este é apenas um dos muitos casos relatados no ano passado.
Essas
deficiênciasbásicas não derivam de práticas de programação inseguras —
que muitos fornecedores também são culpados — mas pelo fato de muitos
fabricantes não levarem em consideração todos os tipos de ataques ao
projetar seus produtos. As falhas poderiam ser mais facilmente
eliminadas do que vulnerabilidades relacionadas ao código, que exigiriam
investimentos em desenvolvedores de segurança e treinamento de
clientes.
As
configurações inseguras também poderiam ser facilmente evitadas se os
fabricantes de dispositivos incluíssem, na modelagem de ameaças, ataques
baseados em LAN. No entanto, a maioria dos fornecedores ainda parece
tratar as redes locais como ambientes implicitamente confiáveis.
Infelizmente, isso não é a realidade. Ataques como Cross-Site
Request Forgery (CSRF), um tipo de ataque que explora a relação de
confiança entre um aplicativo web e seu usuário legítimo, sequestrando o navegador do usuário quando ele visitar sites maliciosos, são cada vez mais comuns.
Os
hackers também infectam frequentemente laptops e celulares com malware e
procuram outros sistemas em LANs para estabelecer uma posição
permanente, prática conhecida como movimento lateral.
“Essa
mentalidade de ‘LAN de confiança’ é muito predominante”, disse Craig
Young, pesquisador de segurança da Tripware. “O risco de CSRF ou o
comprometimento de apps de smartphones é enorme e ninguém parece
entender. Em muitos casos, a LAN não precisa ter as vulnerabilidades
expostas porque os sistemas não exigem autenticação de dispositivos
locais.”
Ataques a roteadores de LAN
Pesquisadores
da Kaspersky Lab encontraram recentemente o primeiro malware para
Android para hackear roteadores. Uma vez instalado em um telefone
celular, o app mal-intencionado executa uma função que “adivinha” a
senha para atacar a interface de web do admin do roteador na rede local.
“Muitos
fornecedores de IoT baseiam sua estratégia de defesa no fato de que
seus dispositivos serão instalados ‘atrás’ de roteadores, em vez de
focarem em garantir que os próprios dispositivos tenham o grau de
segurança desejado”, disse Brian Knopf, diretor sênior de pesquisa de
segurança e arquiteto da Neustar. “Essa mentalidade de fabricantes é
ignorante.”
Knopf,
que anteriormente trabalhou na segurança de produtos da Linksys, Belkin
e Wink, deu o exemplo de uma vulnerabilidade encontrada em 2013 na
bridge Philips Hue
que controla lâmpadas inteligentes em casas ou escritórios. A
vulnerabilidade era resultado de um protocolo de gerenciamento inseguro
usado em tokens de acesso baseados em endereços MAC físicos para
autenticar os comandos.
Para
ele, a única coisa que vai mudar a mentalidade dos fornecedores é haver
requisitos obrigatórios amarrados com sanções para aqueles que não
cumprirem. “Claro, existem empresas que fazem a coisa certa, mas eles
agora estão em desvantagem por aqueles que não.”
“Uma
das principais falhas através de dispositivos conectados é que
‘confiam’, por default, em outros dispositivos da rede local”, diz Ted
Harrington, sócio executivo da Independent Security Evaluators, empresa
que organiza um concurso de hackers na conferência de Def Con todos os
anos. “Isto é uma violação de um princípio fundamental de um projeto
seguro.”
Muitos
pequenos dispositivos eletrônicos não parecem ter muito valor para os
hackers à primeira vista porque eles têm baixo poder computacional. Mas
isso pode ser ilusório: seu comprometimento é menos provável de ser
detectado e pode ser usado para lançar ataques contra alvos mais
valiosos, localizados na mesma rede. “Sem considerar adequadamente o
modelo de confiança na rede local, cada dispositivo adicional instalado é
uma forma de comprometer a rede,” disse Harrington.
Sombra de problema
“Antes
de IoT se tornar popular, dispositivos embarcados apresentavam um risco
de segurança insignificante”, diz Carsten Eiram, diretor de pesquisas
da Risk Based Security.
“Estes dispositivos estão, frequentemente, dez anos atrás de um
software normal quando se trata de maturidade do código, a partir de uma
perspectiva de segurança. Uma grande parte disso é a ausência de
controle.”
É
preocupante que muitas empresas não tenham condições para controlar quem e
em que circunstâncias podem trazer muitos dispositivos para suas redes,
diz Eiram. Isso, segundo ele, cria uma sombra de problema para a TI por
não manterem o controle de tais dispositivos.
Os
consumidores enfrentam um problema semelhante em impor controles de
acesso em suas redes, de acordo com Alex Balan, pesquisador-chefe de
segurança da fornecedora de antivírus Bitdefender. “Eles colocaram estes
novos dispositivos em suas casas — de termostatos inteligentes e
sensores para campainhas conectado à internet a câmeras de segurança —
sem restringir quem pode acessá-los. Então compartilham suas senhas de
acesso Wi-Fi com amigos e familiares que trazem as suas próprias que
potencialmente infectaram laptops e smartphones em suas redes.”
“Você
deve se perguntar: ‘Pode minha rede doméstica ser hackeada?’”, diz
Balan. “Se a resposta for sim, então pergunte-se por que tem políticas
de segurança fracas, considerando todos os dados confidenciais dentro da
rede — fotos, documentos, arquivos que você levou para casa do
trabalho. Se a resposta for não, então você é realmente incrível ou
totalmente mal informado.”
O IT Forum traz, semanalmente, os novos executivos e os principais anúncios de contratações, promoções e…
A Microsoft está enfrentando críticas após um relatório revelar um aumento alarmante em suas emissões…
O Grupo Centroflora é um fabricante de extratos botânicos, óleos essenciais e ativos isolados para…
Toda semana, o IT Forum reúne as oportunidades mais promissoras para quem está buscando expandir…
Um estudo divulgado na segunda-feira (13) pela Serasa Experian mostra que a preocupação com fraudes…
A Honeywell divulgou essa semana a sexta edição de seu Relatório de Ameaças USB de…