Durante o Security Analyst Summit (SAS) da Kaspersky Lab, tivemos diversas pesquisas muito legais. Muitas palestras estavam centradas nos estudos de APTs e ameaças a negócios, porém outras tiveram como foco a segurança de consumidores.
Uma dessas foi a de Jan Hoersch, consultor de segurança de TI na Securai GmbH. Sua palestra girou em torno de vulnerabilidades descobertas em dispositivos da Internet das Coisas (IoT). Durante 20 minutos, quatro dos sete produtos mencionados eram roteadores portáteis.
Já falamos de WiFi de hotéis antes. Nem sempre é 100% seguro, por isso viajantes experientes usam um roteador portátil para acrescentar uma barreira de proteção, sem mencionar a conveniência de não precisar conectar todos os dispositivos à rede do hotel.
Esses aparelhos estão ganhando cada vez mais avaliações positivas em sites como a Amazon, porém, raramente você raramente verá a palavra segurança ser mencionada nas reviews.
Para consumidores, parece que conveniência tem um apelo muito mais relevante do que segurança. Quem liga se seu dispositivo for hackeado, se conseguir assistir Netflix mesmo com o bloqueio do hotel?
Deixemos de lado o sarcasmo, a realidade triste (como descobrimos no passado) é que segurança não se trata da prioridade número um no lançamento de um produto de IoT.
Com os roteadores, Hoersch contou aos espectadores “você normalmente encontra senhas não codificadas. Ficam à mercê de serem exploradas.”
Que exploits ele achou?
Para começar, um dos roteadores podia enviar dados do usuário (nome, SSID, senha de administrador) em texto simples – tudo que um criminoso pode fazer é mandar um SMS para a máquina e esperar que a informação volte. Outros possuíam vulnerabilidades de portas LAN, configurações facilmente manipuláveis, e também a capacidade de injetar comandos maliciosos e não autenticados. Em suma, coisas que ninguém quer xeretando enquanto navega na internet.
Então, a pergunta permanece: o que posso fazer para me proteger?
- Pesquise. Isso não quer dizer simplesmente ler as avaliações na Amazon. Vá ao site da tecnologia e leia detalhes técnicos, ou pesquise no Google as falhas de segurança do dispositivo.
- Verifique se você pode mudar a senha de fábrica. Acrescente isso à fase de pesquisa ou pelo menos investigue se é possível fazê-lo ao configurar o dispositivo inicialmente. Como Hoersch apontou em sua palestra, muitos dispositivos possuem senhas não protegidas. Se você descobrir que isso se aplica ao aparelho que deseja comprar, veja o terceiro ponto dessa lista e reavalie as opções.
- Determine seu nível de risco. Isso será diferente para cada um, mas na realidade segurança diz respeito a cada indivíduo. Se você acha que seu antivírus e seu protocolo de segurança são fortes, talvez esteja disposto a passar por um risco maior. Contudo, se usa algo como Senha1234 como padrão ou a mesma em todas as mídias sociais, talvez seja a hora de reavaliar a situação (e considere um gerenciador de senhas).