No mundo digital atual, estamos literalmente cercados por dispositivos “inteligentes”, ou dispositivos da Internet das Coisas (IoT). Fabricantes de itens comuns, como brinquedos, móveis, carros e aparelhos médicos estão “aperfeiçoando” seus produtos agregando recursos “inteligentes” para torná-los ainda mais atraentes. Até mesmo fabricantes de garrafas de água começaram a produzir garrafas conectadas. Tornar os dispositivos inteligentes é uma grande tendência, mas existe um fator que é frequentemente deixado de lado para ser pensado mais tarde: a segurança.
Por que os dispositivos IoT são tão vulneráveis?
Os fabricantes de dispositivos IoT são pressionados para produzir dispositivos inteligentes e fornecê-los ao mercado rapidamente, por um preço acessível. Isso faz com que eles, frequentemente, negligenciem a segurança. Por exemplo, um fabricante de torradeiras que agora produz torradeiras inteligentes, nunca precisou se preocupar com a proteção das torradeiras contra os cibercriminosos, o que é outra razão pela qual a segurança é, às vezes, fraca ou incompleta.
Além disso, não há exigências do setor que os fabricantes devam cumpri-las, quanto à segurança dos dispositivos inteligentes. Ao invés disso, eles têm a liberdade de criar seus próprios padrões proprietários de comunicação, nos quais a segurança nem sempre está no topo da lista de prioridades. Assim, dispositivos inteligentes que não incluem os princípios básicos da segurança moderna são distribuídos por todo o mundo.
Quais são as chances dos dispositivos IoT serem invadidos?
Como há falta de segurança nos dispositivos inteligentes, eles podem ser invadidos a partir de uma ampla gama de métodos existentes, desde alguns muito fáceis, como obter credenciais de login ao forçar os usuários a fornecê-las, até métodos mais sofisticados, como usar várias técnicas de exploit, ou engenharia reversa de firmware ou sistemas operacionais, além de busca por vulnerabilidades do dia 0 (dia zero). Os serviços e exploits que podem ser usados para invadir dispositivos IoT são vendidos na darknet, dando cada vez mais às pessoas o poder para controlá-los.
Os cibercriminosos também tentam constantemente se infiltrar nos novos tipos de redes e formas de comunicação usadas por dispositivo IoT, para poder invadi-los.
Qual é o grau de dificuldade para invadir um dispositivo IoT?
A maneira mais simples de invadir um dispositivo inteligente é forçar o usuário a fornecer a senha ou tentar obter o acesso usando a credencial de login padrão do dispositivo. As Botnets, que podem ser alugadas na darknet, tornam esse método de “amadores” fácil de usar para infectar milhares de dispositivos de uma só vez. Muitos fabricantes usam as mesmas credenciais de login padrão para todos os dispositivos que produzem, com o intuito de economizar custos, ao invés de criar uma senha exclusiva para cada um deles.
Uma das maiores ameaças à IoT no ano passado foi a botnet Mirai, que infectou milhares de dispositivos inteligentes usando credenciais de login padrão, para executar ataques maciços de DDoS. Desde que o código fonte da Mirai foi publicado, praticamente qualquer pessoa pode administrar sua própria botnet IoT ou rescrever o código. Assim, muitas mutações da Mirai surgiram.
Outras maneiras de infectar um dispositivo IoT são muito mais complexas, caras e, por isso, não são tão comuns. Engenharia reversa de firmware ou um sistema operacional, por exemplo, exige conhecimento técnico avançado e leva tempo. Exploits do dia 0 (dia zero), que tiram vantagens das vulnerabilidades, custam milhares de dólares.
O que precisa ser feito para proteger melhor os dispositivos IoT?
Uma maneira possível e eficaz de melhorar drasticamente a segurança dos dispositivos IoT é fornecer aos consumidores a possibilidade de alterar facilmente as credenciais de login em seus dispositivos inteligentes. Para encorajar os consumidores a mudar suas credenciais de login dos dispositivos IoT, os fabricantes podem, por exemplo, tornar obrigatória a criação de uma senha exclusiva e forte ao configurar um dispositivo pela primeira vez. Isso, claro, não pode ser aplicado em todos os casos, mas a simples alteração das credenciais de login padrão reduziria muito o número de dispositivos “vulneráveis” e tornaria mais difícil para amadores, “aspirantes” a cibercriminosos e bots de pesquisa simples, obterem o acesso a dispositivos IoT. Como alternativa, os fabricantes poderiam fornecer para cada dispositivo IoT uma senha exclusiva e aleatória, e enviá-la junto com os produtos aos seus consumidores.
Fornecer atualizações de software para corrigir vulnerabilidades, por outro lado, ajudaria a proteger os dispositivos inteligentes contra exploits. Atualmente, os fabricantes usam com frequência versões desatualizadas de várias bibliotecas e sistemas operacionais para os quais existem vários exploits poderosos, deixando os dispositivos vulneráveis a ataques. Há muitos dispositivos em que é impossível atualizar o firmware, por isso, se um cibercriminoso explorar suas vulnerabilidades, não haverá nenhuma outra opção a não ser desconectar permanentemente o dispositivo da rede e substituí-lo por um outro mais seguro.
A proteção dos dispositivos inteligentes não só protegerá a privacidade das pessoas e ajudará a evitar ataques de DDoS, como também evitará cenários muito piores. Existem ataques com conceito comprovado e que mostraram como redes inteiras de IoT podem ser infectadas através de um único dispositivo alvo, como uma lâmpada ou sensor de tráfego. Esses ataques com conceito comprovado demonstram como dispositivos inteligentes vulneráveis podem se tornar um problema gigantesco e o dano que pode ser causado, caso eles forem controlados por pessoas erradas. Imagine cibercriminosos controlando um fluxo de tráfego ou desativando luzes em uma cidade inteira. Os fabricantes de dispositivos inteligentes deveriam colaborar com especialistas em segurança, para garantir que uma camada de segurança seja incluída em seus dispositivos e realizar o “pen-test” (teste de intrusão) de seus produtos regularmente.
Michal Salat, diretor de Inteligência de Ameaças da Avast.