“O S em IoT significa segurança” é talvez a piada mais velha nos últimos anos no campo da cibersegurança. Claro, não é de hoje, que especialistas da área fazem chacota com a Internet das Coisas, e toda conferência de hacker que se preze sempre fala sobre os dispositivos ditos inteligentes que acabam sendo hackeados de uma forma absurda. Todo mundo está tão acostumado com esses casos que a surpresa vem quando especialistas concluem que um dispositivo é na verdade seguro.
Normalmente, as pesquisas têm por foco as vulnerabilidades das IoTs e como ameaçam os usuários. Mas cada moeda tem dois lados: brechas de segurança em dispositivos inteligentes podem ser perigosas aos desenvolvedores também; elas podem causar danos ou vazamentos de dados, interferir em infraestrutura, e quebrar ou inutilizar os dispositivos.
No MWC19, especialistas do Industrial Control Systems Cyber Emergency Response Team (ICS CERT) apresentaram um relatório acerca de membros artificiais desenvolvidos pela Motorica.
Começaremos com as boas notícias. Primeiro, nossos especialistas não encontraram qualquer vulnerabilidade no firmware nas próteses. Segundo, nos sistemas da Motorica os dados se movem em apenas uma direção – do membro à nuvem. Isso significa que, não é possível, por exemplo, hackear uma prótese inteligente e controlá-la remotamente.
Contudo, estudos mais profundos revelaram algumas falhas sérias no desenvolvimento da infraestrutura de nuvem para coletar e armazenar dados telemétricos obtidos das próteses, o que permitiria ao hacker:
- Ter acesso aos dados de todas as contas do sistema (de usuários e administradores), o que inclui logins e senhas não criptografadas.
- Ler, deletar e modificar dados telemétricos armazenados na base de dados, ou adicionar novas entradas.
- Adicionar novas contas (incluindo de administrador).
- Deletar e modificar contas existentes (por exemplo, mudar a senha de administrador).
- Lançar ataques DoS contra um administrador, bloqueando o login ao sistema.
As vulnerabilidades têm potencial para permissão de vazamentos ou danos a dados. Além disso, o último dos tópicos expostos acima aumentaria significativamente o tempo necessário para responder à invasão.
Naturalmente, nossos especialistas reportaram as vulnerabilidades detectadas à Motorica, e até o momento todos os problemas encontrados foram corrigidos. Infelizmente, essa vitória é pequena na guerra para deixar o mercado da Internet das Coisas seguro. Vamos ao que precisa ser mudado:
- Desenvolvedores deviam estar conscientes das ameaças mais comuns e melhores práticas para criar códigos seguros. Isso é crucial em todos os estágios de desenvolvimento – nossos pesquisadores ilustram claramente que erros na criação de uma das partes do sistema podem ter efeitos catastróficos.
- Fabricantes de dispositivos inteligentes poderiam implementar programas de caça à bugs, os quais representam uma forma bastante efetiva de encontrar e corrigir vulnerabilidades.
- Idealmente, produtos em desenvolvimento deviam passar por avaliações de segurança realizadas por especialistas de segurança.