Segurança é um desafio para os executivos em uma estrutura tradicional de rede. Agora, acrescente todos os tipos de dispositivos da Internet das Coisas, desde os grandes (carros inteligentes) até os menores (webcams inteligentes e monitores de bebês), que nunca foram projetados para se levar em questão a cibersegurança.
Dispositivos conectados à internet fazem parte de uma gama de itens desde Sistemas de Controle de Supervisão e Aquisição de Dados (SCADA) até produtos voltados aos consumidores, e falhas de segurança nesses produtos estiveram sob a luz dos holofotes durante o último ano. Algumas das indústrias afetadas pelo problema tiveram sua primeira experiência negativa após hackers “white hats” revelarem vulnerabilidades em carros, marcapassos, sistemas de tráfego de rodovias, sistemas de automação residencial e aviões. A grande mudança: segurança pública agora é parte da equação em alguns desses produtos.
Muitos vieram com funções construídas especificamente para esse fim: ataques intencionais pela porta dos fundos, credenciais altamente decodificadas, tráfego de dados não-encriptados, e sistemas críticos colocados na mesma rede que os não críticos. Muitas das vulnerabilidades permanecem sem solução.
Então por que não liberar um patch ou uma atualização para dispositivos IoT ou então construí-los de forma mais segura? Veja abaixo alguns dos grandes desafios em garantir a segurança de consumidores e outros sistemas embutidos.
1 – Frequentemente são oferecidos processos oficiais de update de software ou mecanismos que não são consistentes
Malware em uma máquina equipada com Windows eventualmente são descobertos, mas Marc Maiffret, CTO da BeyondTrust, afirma que existe pouca ou quase nenhuma visibilidade em dispositivos IoT. “Ninguém tem visibilidade dentro desses dispositivos ou qual é a autenticidade do firmware se existir uma atualização para eles”, diz.
Uma vez que muitos desses dispositivos operam com base em plataforma Linux, ele sugere que seus softwares sejam gerenciados por comunidades open systems, as quais poderiam manusear as atualizações de vulnerabilidade e segurança.
Uma câmera por IP ou um sistema de storage SAN, por exemplo, deveriam ter um mecanismo de atualização regular da Linux. “Eles deveriam ser abertos para que pudessem ser realmente tratados como sistemas operacionais Linux, o que me permitiria atuar neles como em qualquer outro sistema operacional baseado em Linux”, avalia Maiffret.
Chris La Point, vice-presidente de gerenciamento de produtos na SolarWinds, afirma ter três câmeras por IP residenciais que não estão operando atualizações de firmware. Isso não deixa claro se elas têm vulnerabilidades. “Como gerenciar as instruções de setup de muitos desses dispositivos e as configurações de controle de segurança que os envolvem?”, questiona LaPoint.
2- Muitos consumidores e fornecedores não tradicionais de TI têm pouco ou nenhum conhecimento sobre as ameaças cibernéticas contidas em seus sistemas
Há grande desconexão entre muitos dos fabricantes de dispositivos embutidos e a comunidade de segurança. Pegue como exemplo a comunidade de fabricantes de terminais via satélite. Ruben Santamarta, um dos principais consultores de segurança da IOActive, encontrou senhas altamente codificadas, backdoors e protocolos não-seguros nesses dispositivos que poderiam permitir que invasores roubassem e interrompessem os links de comunicação para navios, aviões e operações militares. Suas descobertas foram reportadas pelo CERT Coordination Center em janeiro.
Recentemente, Santamarta forneceu mais detalhes de suas descobertas e revelou que os vendedores afetados não possuíam planos para consertar ou atualizar as vulnerabilidades encontradas. Alguns dos vendedores argumentam que as questões encontradas não são flaws, mas sim funções necessárias em seus produtos.
O CTO da IOActive, Cesar Cerrudo, encontrou falhas na segurança do equipamento de controle de tráfego de veículos. Os fabricantes dos sensores inteligentes que ele estudou removeram encriptações dos dispositivos após seus clientes solicitaram. Cerrudo afirma que, sem a encriptação, os firmwares podem ser falsificados e malwares instalados.
Esforços da indústria de segurança como o I Am the Cavalry (Eu sou a cavalaria, em tradução livre) e o BuildItSecure.ly conectam fabricantes de dispositivos embutidos e hackers “White hats” para ajudar a descobrir novas formas de proteger os produtos.
3- A frequente falta de prestação de contas para segurança de dispositivos
Segundo LaPoint, para muitos dos consumidores de dispositivos não está claro quem é o responsável pela segurança do produto. “Os desenvolvedores de dispositivos dizem ‘Nós não sabemos’. Eles raramente falam sobre o tema.”
Alguns apenas postam atualizações de firmware em seus websites, e então cabe aos consumidores ou usuários fazer o download e atualizar os produtos. “Alguns vêm com instruções obscuras, e alguns pedem que você faça a atualização por meio de um cabo USB”, relata.
4 – Muitos dispositivos são configurados de forma imprópria ou têm funções construídas propositalmente para equalizar as vulnerabilidades de segurança
Muitos desses dispositivos operam na mesma rede que sistemas de TI. “Como eles se conectam de forma definitiva a outras coisas em minha rede? E se eles têm acesso às minhas informações pessoais ou sobre os sistemas da minha rede, que outras coisas poderiam ser feitas?”, indaga.
Segundo LaPoint, a chave é segmentar o IP do dispositivo desse consumidor a partir de um sistema de dados sensitivo na rede.
O IoT é um desafio para as organizações, mas ao menos em redes corporativas há uma forma para adicionar políticas de segurança, desde que esses dispositivos sejam identificados. “A magnitude desses dispositivos terá grandes proporções. A avaliação e a habilidade de entender que tráfego está atravessando a rede, de onde ele vem, e a habilidade de monitorar e desliga-lo são a chave para as empresas”, finaliza LaPoint.
