O analista de segurança da Kaspersky Lab, David Jacoby, conduziu uma pesquisa experimental em sua própria casa para descobrir o quão segura é em termos de cibernéticos. Ele inspecionou dispositivos de entretenimento da casa, como Network Attached Storage (NAS), Smart TVs, roteadores, Blue-ray, etc. para descobrir se eles estavam vulneráveis a ciberataques. E foi descoberto que todos esses aparelhos estavam.
Ele examinou dois modelos de NAS de diferentes marcas, uma Smart TV, um recebedor de satélite e uma impressora conectada. Como resultado de sua pesquisa, David Jacoby conseguiu descobrir 14 vulnerabilidades nos Network Attached Storage, uma vulnerabilidade na Smart TV e várias funções de controle remoto escondidas no roteador.
Em linha com sua política de divulgação responsável, a Kaspersky Lab não divulga os nomes dos fornecedores cujos produtos foram objeto da investigação até que um patch de segurança que acabe com as vulnerabilidades seja liberado. Todos os fornecedores foram informados sobre a existência das vulnerabilidades. Os especialistas da empresa trabalham em estreita colaboração com fornecedores para eliminar as vulnerabilidades que descobrem.
Execução remota de código e senhas fracas: As vulnerabilidades mais graves foram encontradas nos Network Attached Storage. Vários deles permite que um invasor execute remotamente comandos do sistema com os mais altos privilégios administrativos. Os dispositivos testados também tinham senhas padrão fracas, os lotes de arquivos de configuração tinham as permissões erradas e também continham senhas em texto simples. Em particular, a senha do administrador padrão para um dos dispositivos continha apenas um dígito. Outro dispositivo ainda dividiu o arquivo de configuração inteiro com senhas criptografadas para todos na rede.
Usando uma vulnerabilidade separada, o pesquisador foi capaz de fazer o upload de um arquivo em uma área de memória de armazenamento inacessível para o usuário comum. Caso esse arquivo seja malicioso, o dispositivo comprometido poderia se tornar uma fonte de infecção para outros dispositivos conectados nestes NAS – um PC em casa, por exemplo – e até mesmo servir como um Bot DDoS em uma botnet. Além disso, desde que a vulnerabilidade permitiu que o arquivo fosse carregado em uma parte especial do sistema de arquivos do dispositivo, a única maneira de eliminá-lo era usando a mesma vulnerabilidade. Obviamente, esta não é uma tarefa trivial, mesmo para um especialista técnico, muito menos para o proprietário médio dos equipamentos de entretenimento doméstico.
Man in the middle via Smart TV: Enquanto investigava o nível de segurança de sua própria Smart TV, o pesquisador da Kaspersky descobriu que nenhuma criptografia foi usada na comunicação entre a TV e o servidor do fornecedor da TV. Isso abre, potencialmente, o caminho para o ataque do criminoso. Isso pode fazer com que o usuário transfira dinheiro para o fraudador enquanto tenta comprar conteúdo via TB. Como prova de conceito, o pesquisador foi capaz de substituir um ícone da interface gráfica da Smart TV com uma imagem. Normalmente os widgets e miniaturas são baixados dos servidores do fornecedor da TV e devido à falta de conexão criptografada a informação poderia ser modificada por um terceiro. O pesquisador também descobriu que a Smart TV é capaz de executar o código Java que, em combinação com a capacidade de interceptar a troca de tráfego entre a TV e a Internet, pode resultar em ataques maliciosos que partem de exploração.
Funções de espionagem escondidas no roteador: O roteador DSL usado para fornecer acesso à Internet sem fios para todos os outros dispositivos domésticos continha várias características perigosas escondidas de seu dono. Segundo o pesquisador, alguma dessas funções escondidas poderia fornecer ao ISP (provedor de Internet) acesso remoto a qualquer dispositivo em uma rede privada. O que é mais importante é que, de acordo com os resultados da pesquisa, seções da interface do roteador web chamado "Webcam", "Configuração especializada em Telefonia", "Controle de Acesso", "WAN-Sensing" e "Update" são "invisíveis" e não ajustável para o dono do dispositivo. Eles só podiam ser acessados através da exploração de uma vulnerabilidade bastante genérica tornando possível alterar entre as seções da interface (que são basicamente páginas da web, cada um com seu endereço alfanumérico) por força bruta os números no final do endereço.
Originalmente estas funções foram implementadas para a conveniência do proprietário do dispositivo: a função de acesso remoto torna mais fácil e rápido para o provedor de internet resolver possíveis problemas técnicos no aparelho, mas a conveniência poderia se transformar em um risco se os controles caírem em mãos erradas.
"Indivíduos e empresas precisam entender os riscos de segurança em torno de dispositivos conectados. Nós também precisamos ter em mente que nossa informação não é segura apenas porque temos uma senha forte, e que há um monte de coisas que não podemos controlar. Levei menos de 20 minutos para localizar e verificar vulnerabilidades extremamente graves em um dispositivo que parece seguro e até mesmo tem referências à segurança em seu nome. Como é que uma pesquisa semelhante acabaria se fosse realizada em uma escala muito mais ampla do que apenas a minha sala de estar? Esta é apenas uma das muitas questões que precisam ser abordadas por fornecedores de dispositivos, pela comunidade de segurança e por usuários de tais aparelhos de forma colaborativa no futuro mais próximo. A outra questão importante é o ciclo de vida dos dispositivos. Como me foi informado em conversas com fornecedores, algumas dessas empresas não desenvolverão uma correção de segurança para os dispositivos vulneráveis que já estão ultrapassados. Geralmente, para essas empresas, o ciclo de vida desses aparelhos é de um ou dois anos, enquanto na vida real esse período é muito maior. Independentemente da forma como você olha para ela, não é uma política muito justa", disse David Jacoby, o autor da pesquisa.
Como permanecer seguro em um mundo de dispositivos conectados:
• Torne a vida do hacker mais difícil: todos os seus dispositivos devem estar atualizados com todos os últimos updates de segurança e firmware. Isso minimizará o risco de explorar vulnerabilidades conhecidas.
• Certifique-se de que o nome de usuário e a senha padrão esteja alterada – esta é a primeira coisa que um criminoso tentará mudar ao tentar comprometer o seu dispositivo.
• A maioria dos roteadores e switches em casa tem a opção de configurar sua própria rede para cada dispositivo e também a possibilidade de restringir o acesso ao aparelho – com a ajuda de vários DMZs diferentes (um segmento de rede separado para sistemas com um maior risco de comprometimento)/ VLANs (um mecanismo para alcançar a separação lógica entre as diferentes redes lógicas na mesma rede física). Por exemplo, se você tem uma TV, você pode querer restringir o acesso a esta TV e só permitir um recurso específico dentro de sua rede. Não há muita razão para a sua impressora estar conectada ao seu televisor.