Todo problema de segurança em IoT será ampliado em um ambiente 5G. Aborde essas 7 áreas antes de implantar um projeto
As redes móveis 5G prometem conectar não apenas as pessoas com mais eficiência, mas também a maior interconectividade e o controle de máquinas, objetos e dispositivos. Suas altas taxas de transferência de dados em Gbps, baixa latência e alta capacidade serão um benefício para consumidores e empresas, mas também traz novos e significativos riscos à segurança.
A fabricante global de eletrodomésticos Whirlpool já iniciou o processo de implantação do 5G para uma de suas fábricas. A empresa está usando dispositivos IoT para manutenção preditiva, controles ambientais, monitoramento de processos usando uma rede Wi-Fi tradicional da área local, mas o 5G permitirá que a empresa faça algo que é impossível com o Wi-Fi: implantar empilhadeiras e outros veículos autônomos.
“Minhas fábricas têm muito metal”, explica Douglas Barnes, gerente regional de aplicativos de infraestrutura de TI e OT da América do Norte na Whirlpool. “O Wi-Fi reflete o metal. Mesmo se eu tivesse um Wi-Fi de malha na fábrica, temos muito metal. O 5G atravessa paredes e não interfere na operação.”
Isso significa que, assim que o 5G estiver na fábrica, a Whirlpool poderá fazer mudanças de impacto. “Isso nos permitirá trabalhar com veículos verdadeiramente autônomos em toda a fábrica, para manutenção, entrega, para tudo o que suporta as operações de fabricação. Esse case de negócio carrega muito peso em economia de custos. O retorno do 5G é muito grande.”
Segundo o executivo, a companhia já fez os testes para garantir que os veículos autônomos funcionem. Caso tudo ocorra como o esperado, até o final deste ano as máquinas já estarão em operação.
Para além dos benefícios, Barnes está ciente dos problemas de segurança cibernética que a IoT cria para as empresas e sobre como esses problemas serão amplificados pela mudança para o 5G. Pensando em mitigar os riscos, a Whirlpool está trabalhando com a sua parceira de 5G AT&T. “Lutamos nessas batalhas todos os dias”, diz ele. “Então, antes mesmo de começarmos, a primeira coisa que fizemos foi conversar com a AT&T sobre como seria uma rede segura.”
Confira sete áreas principais que empresas como a Whirlpool precisam considerar ao desenvolver seus planos de implementação 5G.
Com o 5G, o número de dispositivos inteligentes conectados às redes deve aumentar drasticamente, assim como o volume de tráfego nessas redes. De acordo com o Gartner, o número de dispositivos IoT corporativos e automotivos crescerá para 5,8 bilhões no próximo ano, um aumento de 21% em relação ao total esperado. Isso faz dessas redes um ambiente rico para os invasores.
Para resolver esse problema, a Whirlpool criptografará todo o tráfego 5G, além de configurar as antenas 5G para aceitar apenas o tráfego aprovado. “À medida que adicionamos dispositivos, os configuramos como dispositivos aceitáveis no 5G”, diz o executivo. “Se não estiver na lista de permissões, e como está criptografado, não estou tão preocupado com alguém tentando capturar o sinal, porque eles não podem fazer muito com ele.”
A próxima linha de fraqueza potencial são os próprios dispositivos. “Grande parte desse setor não tem consciência de segurança”, afirma Barnes. O equipamento industrial, em particular, geralmente possui sistemas operacionais proprietários e não possui capacidade de instalar patches ou licenças.
De fato, a maioria dos erros de segurança da Internet das Coisas não foi corrigida, revela Jonathan Tanner, pesquisador sênior de segurança da Barracuda Networks. “Alguns dispositivos têm problemas que não podem ser corrigidos com uma atualização de firmware ou não têm mecanismo para atualizar o firmware”, explica. Mesmo quando os fabricantes de dispositivos adicionam recursos de segurança à próxima geração de seus dispositivos, os antigos ainda continuam a ser utilizados.
Para Tanner, algumas organizações não se preocupam com essas falhas e ignoram os pesquisadores de segurança que apontam vulnerabilidades. “Algumas empresas com dispositivos vulneráveis faliram, deixando seus dispositivos presos a quaisquer vulnerabilidades que existiam originalmente.”
O que uma empresa pode fazer quando está presa a um desses dispositivos inseguros de IoT? O isolamento da rede pode ajudar a protegê-los, diz Barnes, da Whirlpool, em combinação com outras tecnologias de segurança de rede. “Temos uma abordagem em duas camadas”, afirma. “Segurança de rede que monitora todo o tráfego e uma segurança de segundo nível mais orientada a protocolo que faz uma inspeção profunda de pacotes, procurando esse tipo de atividade maliciosa incorporada ao seu protocolo.”
Além disso, há uma limpeza geral da segurança, como correções sempre que possível, auditorias regulares de todos os dispositivos, com um inventário completo de todos os itens da rede.
Em geral, o 5G não significa segurança mais falha do que as gerações anteriores da tecnologia sem fio. “O 5G traz novos recursos de segurança que não estão disponíveis em 4G ou 3G”, observa Kevin McNamee, diretor do laboratório de inteligência de ameaças da Nokia. “Com o 5G, todo o plano de controle foi movido para um ambiente de serviços da Web, onde é fortemente autenticado e muito seguro. Isso é uma melhoria.”
Segundo o executivo, essa melhoria de segurança será compensada pelo aumento de oportunidades para botnets. “O 5G aumentará consideravelmente a largura de banda disponível para os dispositivos. E aumentar a largura de banda aumenta a largura de banda disponível para os bots da IoT.”
Uma das formas pelas quais o aumento da largura de banda será usada, será para encontrar dispositivos mais vulneráveis e espalhar as ameaças. Os consumidores estão comprando dispositivos domésticos inteligentes em um ritmo acelerado. Assim como a Whirlpool, as empresas também são grandes usuários de dispositivos IoT. O mesmo acontece com agências governamentais e outros tipos de organizações.
O 5G possibilitará que os dispositivos sejam colocados em áreas remotas, onde podem ser difíceis de manter. “Haverá hordas de sensores registrando tudo, desde o clima até a qualidade do ar”, afirma Cameron Camp, pesquisador de segurança da ESET e co-presidente do estado de Oregon da Associação de provedores de serviços de Internet sem fio. “Isso significa que há novos enxames de máquinas que podem ser potencialmente invadidas e alistadas em redes de bots.”
Os dispositivos de IoT também tendem a permanecer em operação por um tempo. Os usuários não vão substituir um dispositivo que executa suas funções. Os invasores querem adotar uma abordagem discreta em suas redes de bots, para que não atraiam nenhuma atenção. Mesmo que um patch esteja disponível ou um fabricante venda uma versão atualizada e mais segura do dispositivo, os clientes podem não se dar ao trabalho de fazer a alteração.
Enquanto isso, muitos dispositivos inteligentes de IoT estão executando sistemas operacionais reais, como o Linux, que lhes permite ser computadores quase totalmente funcionais. Os dispositivos infectados podem ser usados para hospedar conteúdo ilegal, malware, dados de comando e controle e outros sistemas e serviços valiosos para os invasores. Os usuários não pensam nesses dispositivos como computadores que precisam de proteção antivírus, patches e atualizações. Muitos dispositivos IoT não mantêm registros de tráfego de entrada e saída, permitindo que os invasores permaneçam anônimos.
Isso cria uma ameaça tripla. O número de dispositivos potencialmente exploráveis, a largura de banda disponível para espalhar botnet e a largura de banda disponível para os dispositivos realizarem ataques DDoS estão aumentando. As empresas precisam se preparar desde já para ataques DDoS chegando de forma muito mais intensa.
À medida que os dispositivos proliferam e as velocidades de comunicação melhoram, as empresas podem ficar tentadas a usar o IPv6 em vez do IPv4, que é comum hoje em dia. O IPv6, que permite endereços IP mais longos, tornou-se um padrão da Internet em 2017.
Não há endereços IPv4 suficientes para circular – apenas cerca de 4,3 bilhões de endereços são possíveis. Alguns registros começaram a ficar sem números em 2011, e as organizações começaram a migrar para o IPv6 em 2012. Mas hoje, menos de 30% dos usuários do Google acessam a plataforma pelo IPv6, de acordo com dados da The Internet Society.
Em vez de usar o IPv6, muitas organizações, assim como quase todos os dispositivos residenciais e muitas redes de telefonia móvel, usam endereços IPv4 privados. “Isso lhes oferece uma proteção natural contra ataques, uma vez que não são visíveis na internet”, explica McNamee, da Nokia.
Conforme o mundo avança para o 5G, as operadoras migrarão naturalmente para o IPv6 para suportar bilhões de novos dispositivos. E se eles escolherem endereços IPv6 públicos em vez de privados, esses dispositivos ficarão visíveis. Segundo o executivo, esse não é um problema com o IPv6 ou com o 5G, mas com as empresas que movem seus dispositivos do IPv4 para o IPv6 e podem acidentalmente colocá-los em endereços públicos.
As empresas que buscam reduzir a latência e melhorar o desempenho para os clientes, ou para sua própria infraestrutura, estão cada vez mais olhando para a computação de borda. Com o 5G, as vantagens da solução se tornam ainda maiores, já que os dispositivos de terminal têm maior capacidade de comunicação.
Por outro lado, a computação de borda também aumenta drasticamente a superfície potencial de ataque. As empresas que ainda não começaram a migrar para arquiteturas de rede Zero Trust devem começar a pensar nisso imediatamente, antes de investirem pesadamente em infraestrutura. A segurança deve ser prioridade, e não uma reflexão tardia.
A corrida do ouro da IoT inspirará novos fornecedores a entrar em campo e os fornecedores existentes apressarem a entrada de novos dispositivos no mercado. “Já existem mais dispositivos de IoT do que pesquisadores de segurança que procuram vulnerabilidades”, revela Tanner, da Barracuda. “Com a entrada de novos fabricantes, veremos um novo ciclo de erros de segurança.”
Tanner está vendo os mesmos erros sendo cometidos repetidamente, e as vulnerabilidades relatadas nos dispositivos IoT estão aumentando, não diminuindo. “Não há aprendizado suficiente com os erros de outros que estão acontecendo no setor”, observa.
“Os fornecedores não se importam”, diz Joe Cortese, da A-lign Compliance and Security. “No início deste ano, comprei cinco dispositivos relacionados à ativação e desativação de luzes e consegui acessar quatro deles fora da minha casa. Existem modos de teste incorporados aos dispositivos que o fornecedor nunca removeu.”
Para Cortese, todos os fornecedores querem ser os primeiros a comercializar seus produtos. Para muitos deles, a maneira mais rápida de disponibilizar um dispositivo é utilizando uma plataforma pronta como o Linux incorporado. “Eu trabalhava para a comunidade de inteligência”, relata o executivo. “Recentemente, coloquei minhas mãos em um malware de IoT que pode derrubar um dispositivo com sete linhas de código. Fabricantes que não reforçam seus dispositivos estão vulneráveis a esse ataque.”
Os invasores podem usar essa vulnerabilidade, por exemplo, para fechar uma fábrica ou sequestrar os sistemas de uma empresa em troca de resgate. “Ainda não vi isso acontecer, mas só porque o 5G ainda não foi amplamente implantado”, afirma Cortese. “Com mais adoção do 5G e aumento da IoT, provavelmente veremos um grande aumento nas explorações de sistemas como na indústria.”
A maior barreira individual à segurança da Internet das coisas não é tecnológica, mas psicológica. Ninguém quer assumir a responsabilidade. Todos querem culpar outra pessoa. Os compradores culpam os fornecedores por não tornarem seus dispositivos seguros. Os fornecedores culpam os compradores por escolherem produtos mais baratos e menos seguros. Mas no mundo do 5G, as consequências de responsabilizar o outro será muito maior.
De acordo com uma pesquisa divulgada pela Radware no ano passado, 34% dos entrevistados acreditam que a fabricante do dispositivo é responsável pela segurança da IoT. Já 11% acreditam que os responsáveis são os provedores de serviços, 21% pensam que é o consumidor e 35% acreditam que as organizações comerciais devem ser responsabilizadas.
“Em outras palavras, não há consenso”, declara Mike O’Malley, vice-presidente de estratégia da Radware. Além disso, os consumidores não têm o conhecimento ou as habilidades necessárias, as empresas nem sempre podem contratar talentos suficientes e as fabricantes são numerosas demais para controlar.
Para reduzir o problema, as empresas podem contratar prestadores de serviços para assumir parte do ônus, mas isso não trata os dispositivos não seguros para o consumidor e nem da falta de regulamentação e aplicação globais consistentes.
