Até o final de 2018, o número de dispositivos IoT conectados
excedia 22 bilhões . Dos 7,6 bilhões de pessoas na Terra, 4 bilhões têm acesso à Internet. Acontece que para todas as pessoas existem 5,5 dispositivos da Internet das coisas.
Em média, decorrem
cerca de 5 minutos entre a hora em que o dispositivo IoT se conecta à rede e a hora do primeiro ataque. Além disso, a maioria dos ataques a dispositivos inteligentes é
automatizada .
Obviamente, essas estatísticas tristes não poderiam deixar especialistas indiferentes no campo da segurança cibernética. A organização internacional sem fins lucrativos OWASP (Open Web Application Security Project) estava preocupada com a segurança da Internet em 2014, depois de lançar a primeira versão do Top 10 IoT da OWASP. Uma versão atualizada das "
10 principais vulnerabilidades da Internet das coisas " com ameaças atualizadas foi lançada em 2018. Este projeto foi desenvolvido para ajudar fabricantes, desenvolvedores e consumidores a entender os problemas de segurança da IoT e tomar decisões mais informadas sobre segurança da informação ao criar ecossistemas da IoT.
10. Segurança física inadequada.
A falta de medidas de proteção física, permitindo que invasores em potencial obtenham informações confidenciais, que no futuro podem ajudar a implementar um ataque remoto ou obter controle local sobre o dispositivo.
Um dos desafios de segurança do ecossistema da IoT é que seus componentes são distribuídos no espaço e geralmente são instalados em locais públicos ou inseguros. Isso permite que os invasores obtenham acesso ao dispositivo e o controlem localmente ou o usem para acessar o restante da rede.
Um invasor pode copiar as configurações (rede IP, endereço MAC etc.) e colocar seu dispositivo no lugar do original para escutar ou reduzir o desempenho da rede. Ele pode invadir um leitor RFID, definir um marcador de hardware, infectar com malware, roubar os dados necessários ou simplesmente desabilitar fisicamente o dispositivo IoT.
A solução para esse problema é uma - complicar o acesso físico aos dispositivos. Eles podem ser instalados em áreas protegidas, em alturas ou usar armários protegidos contra vandalismo.
9. Configurações padrão inseguras
Dispositivos ou sistemas vêm com configurações padrão inseguras ou não podem tornar o sistema mais seguro, restringindo os usuários de alterar as configurações.
Qualquer fabricante quer ganhar mais e gastar menos. O dispositivo pode ser implementado com muitas funções inteligentes, mas não é possível configurar a segurança.
Por exemplo, ele não suporta a verificação de senhas em busca de confiabilidade, não é possível criar contas com vários direitos - administrador e usuários, não há configurações para criptografia, registro e notificação de usuários sobre eventos de segurança.
8. Incapacidade de controlar o dispositivo
Falta de suporte de segurança para dispositivos implantados na produção, incluindo gerenciamento de ativos, gerenciamento de atualizações, desativação segura, monitoramento do sistema e resposta.
Os dispositivos IoT costumam ser uma caixa preta. Eles não implementaram a capacidade de monitorar o status do trabalho, de identificar quais serviços estão em execução e com o que interagem.
Nem todos os fabricantes oferecem aos usuários de dispositivos IoT controle total sobre o sistema operacional e os aplicativos em execução, além de verificar a integridade e legitimidade do software baixado ou instalar patches de atualização no sistema operacional.
Durante os ataques, o firmware do dispositivo pode ser reconfigurado para que possa ser reparado apenas com a atualização completa do dispositivo. Uma desvantagem semelhante foi usada, por exemplo, por
malware Silex .
A solução para esses problemas pode ser o uso de software especializado para gerenciar dispositivos da Internet, por exemplo, soluções em nuvem AWS, Google, IBM etc.
7. Transferência e armazenamento inseguros de dados
Falta de criptografia ou controle de acesso a dados confidenciais em qualquer lugar do ecossistema, inclusive durante o armazenamento, durante a transmissão ou durante o processamento.
Os dispositivos da Internet das Coisas coletam e armazenam dados ambientais, incluindo várias informações pessoais. Uma senha comprometida pode ser substituída, mas os dados roubados de um dispositivo biométrico - impressão digital, retina, biometria facial - não.
Ao mesmo tempo, os dispositivos IoT podem não apenas armazenar dados em formato não criptografado, mas também transmiti-los pela rede. Se a transmissão clara de dados na rede local puder ser explicada de alguma forma, no caso de uma rede sem fio ou transmissão pela Internet, ela poderá se tornar propriedade de qualquer pessoa.
O próprio usuário pode usar canais de comunicação seguros para transferência de dados, mas o fabricante do dispositivo deve criptografar as senhas armazenadas, dados biométricos e outros dados importantes.
6. Proteção de privacidade inadequada
Informações pessoais do usuário armazenadas em um dispositivo ou ecossistema usado de maneira insegura, inadequada ou sem permissão.
Este item do TOP 10 reflete o item anterior: todos os dados pessoais devem ser armazenados e transmitidos de maneira segura. Mas este parágrafo considera a privacidade em um sentido mais profundo, a saber, do ponto de vista da proteção de segredos de privacidade.
Os dispositivos de IoT coletam informações sobre o que e quem os rodeia, incluindo isso também se aplica a pessoas inocentes. Dados de usuário roubados ou processados incorretamente podem desacreditar inadvertidamente uma pessoa (por exemplo, quando câmeras de trânsito configuradas incorretamente expõem cônjuges infiéis) e podem ser usadas em chantagem.
Para resolver o problema, você precisa saber exatamente quais dados são coletados pelo dispositivo IoT, aplicativo móvel e interfaces de nuvem.
Você precisa garantir que apenas os dados necessários para o funcionamento do dispositivo sejam coletados, para verificar se há permissão para armazenar dados pessoais e se eles estão protegidos, e se as políticas de armazenamento de dados são prescritas. Caso contrário, se essas condições não forem observadas, o usuário poderá ter problemas com a lei.
5. Uso de componentes inseguros ou obsoletos
Usando componentes ou bibliotecas de software desatualizados ou inseguros que possam comprometer o seu dispositivo. Isso inclui a configuração insegura das plataformas do sistema operacional e o uso de software ou componentes de hardware de terceiros de uma cadeia de suprimentos comprometida.
Um componente vulnerável pode negar toda a segurança configurada.
No início de 2019, o especialista
Paul Marrapiz identificou vulnerabilidades no utilitário iLnkP2P P2P, instalado em mais de 2 milhões de dispositivos conectados à rede: câmeras IP, babás eletrônicas, campainhas inteligentes e DVRs.
A primeira vulnerabilidade
CVE-2019-11219 permite que um invasor identifique um dispositivo, a segunda é uma vulnerabilidade de autenticação no iLnkP2P
CVE-2019-11220 - para interceptar o tráfego em claro, incluindo fluxos de vídeo e senhas.
Por vários meses, Paul
procurou três vezes o fabricante e duas vezes o desenvolvedor do utilitário, mas nunca recebeu uma resposta deles.
A solução para esse problema é monitorar o lançamento de patches de segurança e atualizar o dispositivo e, se eles não saírem ... altere o fabricante.
4. Falta de mecanismos de atualização segura
A incapacidade de atualizar com segurança o dispositivo. Isso inclui a falta de validação de firmware no dispositivo, a falta de entrega segura (sem criptografia durante a transmissão), a falta de mecanismos para evitar reversões e a ausência de notificações sobre alterações de segurança devido a atualizações.
A incapacidade de atualizar o dispositivo em si é uma fraqueza de segurança. A falha na instalação da atualização significa que os dispositivos permanecem vulneráveis por tempo indeterminado.
Além disso, a atualização e o firmware em si também podem não ser seguros. Por exemplo, se os canais criptografados não são usados para receber o software, o arquivo de atualização não é criptografado ou não é verificado quanto à integridade antes da instalação, não há proteção contra reversão (proteção contra o retorno a uma versão anterior e mais vulnerável) ou não há notificações sobre alterações de segurança devido a atualizações.
Uma solução para esse problema também está do lado do fabricante. Mas você pode verificar se o seu dispositivo é capaz de atualizar. Verifique se os arquivos de atualização foram baixados do servidor verificado por meio de um canal criptografado e se o seu dispositivo usa uma arquitetura de instalação de atualização segura.
3. Interfaces inseguras do ecossistema
Uma interface da web insegura, API, nuvem ou interfaces móveis no ecossistema fora do dispositivo, que permite comprometer o dispositivo ou seus componentes relacionados. Problemas comuns incluem falta de autenticação ou autorização, falta ou criptografia fraca e falta de filtragem de entrada e saída.
O uso de interfaces da web, APIs, interfaces na nuvem e móveis inseguras permite comprometer o dispositivo ou seus componentes relacionados, mesmo sem conectar-se a ele.
Por exemplo, o
Barracuda Labs realizou uma análise do aplicativo móvel e da interface da web de uma das câmeras “inteligentes” e encontrou vulnerabilidades que permitem obter uma senha para o dispositivo Internet of Things:
- O aplicativo móvel ignorou a validade do certificado do servidor.
- O aplicativo da Web era vulnerável a scripts entre sites.
- Foi possível ignorar arquivos em um servidor em nuvem.
- As atualizações do dispositivo não foram protegidas.
- O dispositivo ignorou a validade do certificado do servidor.
Para proteção, é necessário alterar o usuário e a senha padrão, verifique se a interface da Web não está sujeita a scripts entre sites, injeção de SQL ou ataques de CSRF.
Além disso, a proteção contra ataques de senha por força bruta deve ser implementada. Por exemplo, após três tentativas de digitar a senha incorretamente, a conta deve ser bloqueada e permitir a recuperação da senha somente através de uma redefinição de hardware.
2. Serviços de rede inseguros
Serviços de rede desnecessários ou inseguros em execução no próprio dispositivo, especialmente abertos a uma rede externa, comprometendo a confidencialidade, integridade, autenticidade, acessibilidade das informações ou permitindo o controle remoto não autorizado.
Serviços de rede desnecessários ou inseguros comprometem a segurança do dispositivo, especialmente se eles tiverem acesso à Internet.
Serviços de rede inseguros podem ser suscetíveis a estouro de buffer e ataques DDoS. As portas de rede abertas podem ser verificadas quanto a vulnerabilidades e serviços de conexão inseguros.
Até agora, um dos vetores mais populares de ataques e infecções de dispositivos IoT é a enumeração de senhas em serviços
Telnet não desativados
e no SSH . Depois de obter acesso a esses serviços, os atacantes podem baixar software malicioso no dispositivo ou obter acesso a informações valiosas.
1. Senha fraca, adivinhada ou codificada
O uso de credenciais facilmente decifráveis, publicamente disponíveis ou imutáveis, incluindo backdoors no firmware ou no software cliente que fornece acesso não autorizado aos sistemas implantados.
Surpreendentemente, até então, a maior vulnerabilidade é o uso de senhas fracas, senhas padrão ou senhas vazadas na rede.
Apesar da necessidade óbvia de usar uma senha forte, alguns usuários ainda não alteram as senhas padrão. Em junho de 2019, o malware Silex se aproveitou disso, que
em uma hora transformou-se em um bloco de cerca de 2000 dispositivos IoT.
E antes disso, o conhecido botnet e worm Mirai conseguiu infectar 600 mil dispositivos da Internet, usando um banco de dados de
61 combinações
padrão de senha de login.
A solução é alterar a senha!
ConclusõesQuando os usuários compram dispositivos de IoT, eles pensam principalmente em seus recursos "inteligentes", não em segurança.
De fato, da mesma maneira, ao comprar um carro ou um micro-ondas, esperamos que o dispositivo seja "
seguro em design " para uso.
Enquanto a segurança da IoT não for regulamentada por lei (até o momento, essas leis estão apenas
no processo de criação ), os fabricantes não gastarão dinheiro extra com ela.
Acontece que a única maneira de motivar o fabricante não é comprar dispositivos vulneráveis.
E para isso, precisamos ... pensar sobre a segurança deles.