Nossa contribuição para a segurança global da IoT

Um exemplo claro dos motivos pelos quais precisamos fortalecer a segurança de IoT – e uma solução para o problema.

Enquanto a sua rede consistir em apenas servidores e estações de trabalho, as soluções de cibersegurança podem cuidar da sua proteção. No entanto, a Internet das Coisas (IoT) é completamente diferente. A indústria como um todo tem carência de padronização, deixando os desenvolvedores livres para ignorarem as questões de segurança. Por isso, os dispositivos IoT frequentemente contêm vulnerabilidades ou pontas soltas. Além disso, em muitos casos, podem ser desconfigurados ou acessados pela internet. Isso já é ruim o suficiente em dispositivos IoT domésticos ou para escritórios – mas a Internet das Coisas Industrial não é muito mais segura.

Caso em questão

Os exemplos estão por toda a parte. Você pode ler sobre uma descoberta recente no Securelist: “Gas is too expensive? Let’s make it cheap! (A gasolina é muito cara? Vamos deixá-la mais barata!)”. Ido Naor, um pesquisador de segurança sênior da nossa Equipe de Pesquisa e Análise Global (Global Research and Analysis Team – GreAT), em parceria com seu colega Amihai Neiderman, da Azimuth Security, publicou uma investigação sobre vulnerabilidades em um dispositivo de automação para um posto de gasolina. Esse device era diretamente conectado à Internet e responsável por gerenciar cada um dos componentes do posto, incluindo as bombas de combustível e terminais de pagamento.
Mais alarmante ainda, a interface online do dispositivo era acessada com credenciais padrão. Os pesquisadores cavaram mais fundo no código do software do dispositivo e encontraram maneiras de desligar todos os sistemas de abastecimento, causar vazamentos de combustível, modificar os preços, burlar o terminal de pagamento (para roubar dinheiro), copiar placas de licenças de veículos e identificações de motoristas, executar o código da unidade de controle e, até mesmo, mover-se livremente pela rede do posto de gasolina.

Eles reportaram as vulnerabilidades encontradas para o fabricante do dispositivo e para a MITRE (ONG dos Estados Unidos que tem uma parceria com o governo americano para operar centros de pesquisa) para que restringisse as CVEs – Common Vulnerabilities and Exposures (Vulnerabilidades e Exposições Comuns). Não há evidências de que qualquer pessoa mal intencionada tenha tentado explorar essas vulnerabilidades de alguma forma antes que fosse detectada. No entanto, analisando as estatísticas dos incidentes com impactos financeiros mais severos, podemos perceber que os que envolvem dispositivos conectados que não computadores estão entre os três primeiros da lista, com um dano médio de US$114 mil por incidente.

Resposta para o problema

A necessidade por padrões de cibersegurança para a IoT está clara. Os organismos de normalização vão precisar classificar as questões de segurança de IoT, examinar potenciais ameaças e determinar como as medidas de cibersegurança podem dar suporte para a execução segura das tarefas dos sistemas de IoT. A Recomendação ITU-T Y.4806, “Security capabilities supporting safety of the Internet of Things (Capacidades de segurança que apoiam a segurança da Internet das Coisas)”, desenvolvida pelo Grupo de Estudo 20 do UIT-T (Setor de Normalização das Telecomunicações da União Internacional de Telecomunicações) é uma resposta para essa demanda.

A Kaspersky Lab, como membro do Grupo de Estudo 20 do UIT-T, foi um dos principais atores  para o desenvolvimento da Recomendação ITU-T Y.4806. Nossos especialistas do Kaspersky Lab ICS CERT compartilharam sua expertise e desenvolveram uma lista de pontos que podem ajudar a estabelecer um nível de proteção confiável na prática. Você pode encontrá-los, assim como outras recomendações, em Recommendation ITU-T Y.4806.

A Recomendação ITU-T Y.4806 é aplicável principalmente para dar segurança para sistemas críticos de IoT como automação industrial, sistemas automotivos, transportes, cidades inteligentes e dispositivos médicos autônomos e wearables.

Dicas