Por Eduardo Lopes

/ Em Segurança da Informação /

Postado em

jul 31, 2017

Segurança física, insegurança virtual. A ameaça sob a Internet das Coisas

Você provavelmente já ouviu falar de IoT – Internet of Things. Se não reconhece o termo, é nada mais nada menos que, literalmente, a Internet das Coisas. A conexão da sua SmartTV, do seu sistema de monitoramento doméstico, videogame, e até dos dispositivos mais modernos como os sistemas que controlam a iluminação da sua casa ou o abastecimento da sua geladeira.

Mas se todos esses recursos isoladamente ou juntos trazem muito conforto e comodidade para os usuários, ao mesmo tempo eles podem ser alvos de ataques hackers.  E para que isso aconteça é preciso apenas uma coisa: estar conectado.

Pouco tem se falado no Brasil a respeito de invasões a IoT, mas no exterior já existe um número razoável de artigos falando sobre o assunto e inclusive casos apresentados na última DEFCON, onde 47 vulnerabilidades foram encontradas em 23 devices diferentes, e o impacto disso? Conseguiram manipular desde uma cadeira de rodas ligada no Wifi até a fechaduras eletrônicas, podendo alterar a senha e manipular a abertura ou fechamento da porta.

Com esse número exponencial de equipamentos ligados em rede sem nenhum firewall ou recursos de segurança que o protejam virtualmente, a ameaça está à vista. Aí mora a ironia: enquanto você protege a sua casa fisicamente com um sistema de monitoramento, esse mesmo sistema pode estar sofrendo um ataque virtual.

A tendência é que, dentro de algum tempo – não sabemos quanto, mas que deve ser breve, muito breve – hackers começarão a desenvolver ataques exponenciais contra esses recursos afim de, basicamente, conseguir dinheiro em troca. E como?

Simples. Basta bloquear o acesso deles por tempo indeterminado enquanto uma quantia não for paga em troca (familiarizado com esse conceito?!). No calor da situação, de acordo com a urgência, muitas vezes é mais cômodo pagar essa quantidade – que pode ser desde simbólica a um grande prejuízo, dependendo da situação – do que aguardar três, cinco dias ou até mesmo mais de uma semana para levar o equipamento até um técnico e, só depois, recebê-lo de volta em casa.

Uma outra curiosidade: O maior ataque de DDoS já registrado teve duração de 24 horas com um tráfego recorde de 1.1 Tbps (TeraBits per second), acredito que se juntar a banda larga do meu provedor de serviço com o seu, ainda não chega nesse valor… e qual rede de botnet foi responsável por isso? Uma rede composta por mais de 145mil câmeras de vigilância vulneráveis, daquelas que você tem em casa e são acessadas via Wifi.

Recentemente falei sobre o novo ransomware, Petya, que iniciou sua propagação pela Europa no final do último mês. Já nas primeiras horas, ele foi confirmado pela Kaspersky, Symantec, Bitdefender e outras empresas de segurança. Diferente do WannaCry que se espelhava “automaticamente” via uma vulnerabilidade do Windows no protocolo SMB, o “Petya” se propaga via e-mail ou link malicioso onde o usuário precisa receber e abrir um arquivo do Office (Word e WordPad) que explora uma vulnerabilidade descoberta no Pacote Office (CVE-2017-0199).

E por que isso não migraria para uma invasão IoT?

O recorte no mapa a seguir, mostra em lilás, a concentração de sistemas de transporte ligados em rede. É o Thingful.net, um sistema de busca para dispositivos IoT ligados na internet (da para achar sua geladeira), que mostra desde informações de condicionadores de ar a locais das estações associadas aos sistemas de compartilhamento de bicicletas de mais de 100 cidades ao redor do mundo:

ameaça sob a Internet das Coisas

O site também disponibiliza outros filtros desse mapeamento como monitoramento doméstico, saúde, energia, etc. Com tanta informação, em um cenário até mais “terrorista”, digamos assim, um especialista de Londres sugere, por exemplo, que hackers pudessem gerar explosões de casas e empresas por meio de termostatos de aquecedores e lâmpadas controlados via mobile. Um pouco V de Vingança, mas por que não?

“O mesmo raciocínio por trás do exemplo do termostato pode ser aplicado a uma ampla gama de outros dispositivos IoT. Não seria difícil imaginar uma lâmpada conectada recusando-se a iluminar. No entanto, também pode-se imaginar cenários mais perturbadores decorrentes do uso de IoT, como o controle sobre carros conectados e cidades inteligentes. Nesses casos, um ataque bem-sucedido de ransomware pode se prolongar muito além de um menor inconveniente, expondo as vítimas afetadas a consequências potencialmente perigosas ou mesmo fatais”, sugere ele.

E qual seria a solução?

Por enquanto, nada tem sido desenvolvido, ou pelo menos, nada foi lançado ainda para defender essa ameaça ou se antecipar a ela. O conselho seria desabilitar esses recursos por hora, mas isso perderia a graça, afinal.

Então cabe a nós, profissionais de TI e Segurança, monitorar, monitorar, monitorar. Sempre estar de olho, cautelosos e atualizados ao que está por vir, acompanhar tendências e, quando necessário, agir.

0
Eduardo Lopes

Autor: Eduardo Lopes

Nos últimos 5 anos participou da implantação de projetos de MSS (Management SecurityServices) em grandes empresas do segmento financeiro, construção civil e órgãos públicos.Trabalha na área e Segurança da Informação há 9 anos com formação em Penetration Testing e Pesquisa Forense, já tendo passado por projetos de auditoria em segmentos de segurança do governo federal, de seguradoras e grupos de cartões de crédito. Dentro das certificações é ISO27001 Lead Auditor.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *