SÃO FRANCISCO – A indústria de segurança volta e meia falha na sua missão de proteger computadores e redes de todos os dados, quase infinitos, que transitam pela Internet.
É indiscutível o fato de que garantir adequadamente a segurança dos dispositivos de computação tradicionais e gerais é um desafio enorme. Durante a maior parte da última década, a plataforma móvel tem-se apresentado à indústria com um novo e semelhante conjunto de desafios. Provavelmente não é um exagero dizer que a luta para proteger os computadores tradicionais e móveis é prejudicada pelos cibercriminosos maliciosos e muito outros.
Andando pela Conferência RSA no Moscone Center, em San Francisco vi uma realidade absurda e irônica: Há algum número desconhecido de milhões de dólares investidos em stands de fornecedores, cujo propósito é o de reunir uma infinidade de produtos e serviços de segurança para numerosos profissionais de segurança. Enquanto isso, pessoas como Billy Rios, que ficou famoso após a apresentação do ano passado sobre o hack de um centro de lavagem de carros, e David Jacoby estavam entregando demos de hacking em que tomam o controle total de sistemas de domótica, redes e dispositivos dos consumidores.
A Internet das Coisas Ruins: novos dados sobre a insegurança das #IoT no #RSAC
Tweet
Para ser justo, a maior parte do negócio que está acontecendo aqui na RSA é o business to business. Esta não é uma conferência de segurança do consumidor. Ainda assim, as manchetes recentes e as incessantes conferências de segurança globais demonstram muito claramente que os computadores são inseguros, não importando se eles estão na sua casa ou no seu escritório. Apesar disso, a indústria mais ampla da tecnologia continua investindo agressivamente na brilhante ideia de ligar mais e mais coisas ruins na Internet em uma escala exponencial. Esta é a chamada “Internet das coisas”, e também não é segura.
Por isso, não é surpresa que Billy Rios, fundador da empresa de segurança Laconicly, explorou por dois anos a vulnerabilidade de um sistema de automação na casa inteligente Vera, que por sua vez ofereceu-lhe acesso total à rede desse dispositivo e todos os computadores ligados a ele.
So @XSSniper is going to demo a home automation hack at @RSAConference, using Pac-Man to illustrate it: http://t.co/LJW27SsAWJ
— Kelly Jackson Higgins (@kjhiggins) April 16, 2015
Rios explorou uma vulnerabilidade na falsificação de solicitação entre sites no sistema de automação residencial Vera e obrigou-a a aceitar uma atualização de firmware modificada. Mais especificamente, Rios usou um esquema de phishing em que obrigou sua (hipotética) vítima a visitar um site malicioso com um pouco de malvertising incorporado.
O mecanismo de atualização do firmware do dispositivo Vera é, então, desligado, e Rios carrega seu próprio firmware, o que, neste caso, era uma cópia do jogo Pac-Man. Sua firmware “maliciosa” é divertida, mas o ponto é que ele poderia fazer upload de tudo o que ele queria do dispositivo projetado para controlar centenas de outros dispositivos da Internet das coisas, como fechaduras inteligentes, termostatos, luzes, sistemas de alarme e portas de garagem, só para citar alguns.
Kelly Jackson Higgins de Dark Reading relataram que a Vera vai corrigir o erro com uma atualização de firmware que ainda será lançado.
Nice wrap up of #IoT-related talks at #TheSAS2015: "Internet of Crappy Things: https://t.co/ORygHSJs9W
— Eugene Kaspersky (@e_kaspersky) February 20, 2015
Um dia depois, o pesquisador sênior de segurança daKaspersky Lab, David Jacoby, implantou uma mistura de código malicioso, exploits e técnicas de phishing para comprometer um dispositivo de armazenamento conectado à rede para sua rede doméstica na Suécia. Sua apresentação é parte de um projeto maior de hacking de casas, que o blog da Kaspersky mostrou.
Jacoby provavelmente usou o melhor. Ele disse que a maioria dos fornecedores que fazem estes produtos simplesmente não se importam com as diversas vulnerabilidades de segurança. A segmentação da rede, segundo ele, é provavelmente a melhor mitigação para esses buracos. Infelizmente, a segmentação da rede é uma solução bastante complicada para os seus usuários médios.
Cerca de 20 minutos depois da palestra de Jacoby, Yier Jin, professor hacker de hardware e assistente na University of Central Florida, nos mostrou uma “porta traseira” descontrolada em vários dispositivos populares.
A few demos generated by a customized toolchain on the Nest Thermostat is released. https://t.co/KCg3Wdy8gV
— Yier Jin (@jinyier) August 12, 2014
Jin encontrou uma backdoor em dispositivos que lhe permitiu instalar firmware malicioso neles. Além disso, ele encontrou maneiras de monitorar os dados que os dispositivos Nest retransmitem para servidores em nuvem. Isso, explicou, é muitas vezes formado por dados sensíveis. Se monitorados adequadamente, um invasor pode fazer todos os tipos de determinações sobre quando um usuário Nest está ou não está em casa. Em um nível mais íntegro, não há nenhuma maneira para que o usuário opte por sair desta coleta de dados. Se isso não fosse suficiente, o acesso root de Jin poderia permitir que ele vá para outros dispositivos na mesma rede, o dispositivo Nest, ver as credenciais de rede de texto simples e muito mais.
TL; DR – Apesar das centenas de bilhões de dólares em investimento em segurança, os computadores tradicionais e a chamada Internet das Coisas (de baixa qualidade), permanecem irremediavelmente expostas a ataques.
Tradução: Juliana Costa Santos Dias