Quando se trata da Internet das Coisas, a segurança ainda perde para a engenhosidade. Dentre toda essa gama de dispositivos conectados, há muitos pouco conhecidos. A prática mostra que as ameaças de IoTs têm um hábito desagradável de pegar os usuários, digamos, com as calças curtas. Nossa pauta de hoje mostra outra dessas engenhocas aparentemente inofensivas.
Decoração high-tech
Há pouco tempo, um cassino dos Estados Unidos instalou um aquário de peixes “inteligente” em seu salão. O cronograma de alimentação dos peixes, assim como os níveis de sal e temperatura, eram automaticamente regulados, e o termostato podia enviar uma mensagem para o dono caso a água ficasse muito quente ou fria.
O dispositivo estava escondido em uma VPN, obviamente na tentativa de protegê-lo contra invasores. Mas isso não foi suficiente – o termostato aparentemente inofensivo serviu de backdoor para outros pontos da rede local.
O espião
Constatou-se que o aquário vira-casaca tinha enviado 10GB de dados para algum lugar da Noruega. A equipe de segurança penou para descobrir quais informações haviam caído nas mãos dos hackers, e a resposta foi: a base de dados dos grandes apostadores do cassino. Não se sabe especificamente que tipo de informação, mas sejam apenas nomes ou, em um cenário mais sério, dados de contato ou até números de cartões de crédito, o dano de reputação é incalculável. O nome do cassino não foi divulgado, mas a casa de jogos foi obrigada a reportar o incidente para as vítimas do vazamento.
Quem tem informação, tem tudo
As empresas que não querem colocar em risco os seus clientes – como fez este cassino desconhecido – não podem esquecer de algumas regras:
- Proteger apenas dispositivos finais não é suficiente. Invasores podem atacar por meio de qualquer aparelho, por isso, soluções de segurança também devem ser instaladas em servidores e gateways. No mundo ideal, devem bloquear todos os contatos com o mundo externo que visem acesso por meio de portas desconhecidas ou protocolos ocultos.
- Não permitir o acesso à internet para equipamentos que não precisem de conexão para realização de suas tarefas principais.
- Configurar todos os dispositivos IoT cuidadosamente, uma vez que ainda não suportam a instalação de soluções de segurança.
- Realizar testes de penetração periódicos. Essas avaliações vão ajudar a encontrar problemas de segurança em estágios em que alguma medida de reparação seja possível, o que inclui falhas menos óbvias que podem levar a grandes problemas.