Empresas devem preparar-se para expansão da IoT

Muitos dispositivos conectados são postos no mercado sem grandes preocupações de segurança

Há dois anos, a rede de botnets Mirai usou dispositivos da Internet das Coisas para lançar o maior ataque distribuído de negação de serviço registado até então, lançando o pânico e deitando abaixo serviços como o fornecedor de alojamento OVH, a empresa de domínios Dyn e o site Krebs on Security, do jornalista Brian Krebs – que acabaria por descobrir a identidade dos atacantes. Este ataque DDoS afetou domínios de internet tão importantes quanto o Twitter, o New York Times e o Airbnb.

No pico, a rede Mirai infetou 600 mil dispositivos IoT, desde câmaras de videovigilância a monitores de qualidade do ar. O surpreendente desta rede maliciosa que bateu recordes e se espalhou muito rapidamente é que não foi executada por piratas experientes, mas por jovens que queriam ganhar vantagem no jogo Minecraft.

“A famosa rede Mirai utilizava uma vulnerabilidade do sistema operativo Linux embebido em muitos dispositivos IoT para convertê-los em parte de uma botnet, que foi utilizada para realizar ataques massivos a grandes serviços”, resume Alberto Rodas, engenheiro da empresa de segurança Sophos Portugal e Espanha.

Um dos problemas que se mantém hoje, explica o responsável, é que estes dispositivos aparecem no mercado sem as mesmas preocupações de segurança que computadores, servidores ou smartphones.”O fabricante de uma webcam foca-se mais na boa resolução e nas funcionalidades avançadas do equipamento do que na sua segurança”, refere. “Ou seja, o negócio deste fabricante é a câmara em si e o seu interesse é desenvolver novos modelos, sem prestar atenção aos lançados anteriormente, por isso se aparecer uma vulnerabilidade no sistema operativo ou aplicação não é hábito criarem um firmware que a corrija, mas sim aplicar a correção nos novos modelos. Isto faz com que este tipo de dispositivos se tornem inseguros com o passar do tempo.”

Enquanto há um foco grande no mercado de consumo, com o lançamento de cada vez mais aparelhos para tornar as casas inteligentes, muitos dispositivos estão também a chegar ao ambiente corporativo.

É verdade que as empresas que estão a analisar as potencialidades da Internet das Coisas fazem-no sobretudo numa perspetiva de implementação de projetos internos, com o objetivo de aumentar a eficiência, reduzir custos, melhorar a experiência do cliente e preparar os seus negócios para a concorrência do futuro. Aquilo que pode ficar na sombra é, no entanto, a entrada de múltiplos dispositivos conectados para utilização pelos funcionários dentro do ambiente corporativo. Por exemplo, máquinas de café inteligentes para as áreas comuns. Máquinas de vending de refrigerantes conectadas. Iluminação inteligente que pode ser controlada por voz ou smartphone. Termóstatos inteligentes. Até os wearables usados pelos funcionários introduzem um novo desafio: quanto mais dispositivos estiverem ligados na rede corporativa, mais são os potenciais pontos de acesso não autorizado.

Alberto Rodas diz que as empresas devem preparar-se para esta expansão através de sistemas de proteção de rede que percebam de que tipo de dispositivos se tratam, verifiquem qual o seu estado de segurança e apliquem regras de acesso com base nesta informação. “Deste modo, mesmo que agora pareça improvável que um utilizador leve, por exemplo, uma webcam para o escritório e a ligue, por outro lado, é bem possível que utilize um smartwatch com Wi-Fi que também se conecta à mesma rede que o seu telemóvel”, refere. “No entanto, ainda que o telemóvel disponha de um sistema de gestão e proteção, o smartwatch não, pelo que pode ser um ponto de ataque.” O responsável da fornecedora de soluções de segurança para empresas diz que o facto de o número de casos ainda ser pequeno não é desculpa. “A utilização de dispositivos inteligentes conectados vai aumentar e as empresas devem estar preparadas para isso.”

Uma das soluções é “ter um compartimento estanque em relação à rede de dados, ao utilizador e com acessos à cloud limitados, que em caso de violação não possa ser utilizado.” Ou seja, estabelecer regras e permissões diferenciadas para este tipo de dispositivos. “Evidentemente, pode ser muito difícil conseguir que os utilizadores/colaboradores ajam de acordo, por isso o mais aconselhável é não adquirir produtos de fabricantes em que é possível comprovar nos seus sites que não lançam atualizações”, recomenda o especialista. “É fundamental verificar previamente se o fabricante liberta atualizações e que estas não se centram apenas em novas funcionalidades, mas sim também em vulnerabilidades.”

Alberto Rodas aconselha ainda a “seguir as orientações de boas práticas durante as implementações destes sistemas, criando redes separadas.” O ponto é manter seguros os acessos a essas redes, para assegurar que não podem entrar “atacantes, um “payload” malicioso ou um pacote que possa realizar um ataque.”

Novo perigo no horizonte

Há uma nova botnet IoT que já infetou 40 mil dispositivos e é designada por “Satori.” A diferença em relação à Mirai é que esta rede apresenta mutações constantes, introduzindo código que vai explorar novas vulnerabilidades. Foi primeiro identificada na América Latina e Egipto, e quando saíram correções apareceu uma nova variante, desta vez direcionada a computadores dedicados a minerar moedas digitais. De acordo com o MIT Technology Review, a nova versão ataca software associado a processadores ARC, comumente usados numa série de dispositivos IoT – desde termostatos a sistemas de entretenimento a bordo. Uma vez encontrando um ponto vulnerável no sistema, a Satori tenta descobrir se o utilizador manteve as passwords e definições de origem que possam ser exploradas. Se sim, vai então à procura de outros dispositivos ligados à rede que possa infetar.

O que os analistas temem é que, por ser um atacante disciplinado e conhecedor, o autor da Satori consiga estar sempre um passo à frente das correções e criar uma botnet ainda maior que a Mirai.