Internet das Coisas IoT e SegInfo

De acordo com EMBARCADO “Basicamente o termo ‘Internet das Coisas’ refere-se à rede de objetos físicos que possuem software embarcado para processar dados externos ou gerar informações para o mundo externo.”, GARTNER (2013) ainda faz algumas distinções quanto ao tipo de equipamento “The Internet of Things (IoT), which excludes PCs, tablets and smartphones, will grow to 26 billion units installed in 2020 representing an almost 30-fold increase from 0.9 billion in 2009.”, número bem considerado e podendo ser dos mais diversos tipos, desde “Coisas” residenciais, como, torradeiras imprimindo condições climáticas em seu sanduíche, “IoT” hospitalares, enviando estado de saúde de um paciente ou tomando alguma decisão baseado em eventos do estado clínico do paciente.

Fazem aproximadamente 25 anos que o conceito comunicação de device para device “D2D” começou a ser utilizado, querendo ou não, a tecnologia já é presente em nossas vidas e seu crescimento é inevitável. Existem muitas oportunidades de negócio e muitas novas possibilidades.

Internet-connected medical devices such as MRI machines, CT scanners and dialysis pumps are increasingly being targeted by hackers seeking to steal patient medical records from hospitals. Attackers consider the devices soft digital targets, seldom guarded with same security as client PCs and servers within hospitals. (TOM SPRING, THREATPOST, 2016)

No entanto, como é de se esperar, toda evolução vem acompanhada de milhares de outros problemas não planejados/vislumbrados e como se ainda não fosse o suficiente, temos indivíduos tirando proveito dos recursos para fins ilícitos. Um dos maiores desafios da segurança não somente neste contexto, mas, de um modo geral, é prover uma infraestrutura adequada para o condicionamento dos equipamentos ou ativos, que ofereça, menor risco para os humanos envolvidos no processo, e ao mesmo tempo, prover usabilidade e utilidade adequada sem ferir o princípio para o qual ele foi projetado, é importante ter bem desenhado o comportamento desses objetos, seja por meio de log ou registro de rede. É bem mais provável identificar a fonte de um ataque ou atacante analisando logs. Como defensores temos como objetivo sempre forçar o atacante a seguir o caminho mais complexo para o sucesso (WADLOW, 2000, p 123), seja a atividade avançada ou não é por meio dele que devemos ter evidenciado em primeira mão de algum tipo de anomalia ou comportamento suspeito, atualmente qualquer equipamento tem capacidade de registrar informações por algum meio, seja por log ou registrando sua presença na rede pode ser armazenado em algum formato, “No Log, no Crime” (BPPK, 2014), se não podemos provar por meio de evidências que algo aconteceu, ou que está acontecendo, não temos como tratar o problema, ou pior ainda, não será possível dizer que ele existe, acaba sendo um paralelo com o mundo real, sem evidências não há crime. Os princípios de segurança estão longe do processo de desenvolvimento de muitas tecnologias, seja hardware ou software, é bem mais complexo adicionar segurança em equipamento após todo o processo de fabricação, principalmente, se o mesmo já encontra-se no mercado, o custo para remodelar ou reescrever o firmware que atenda os princípios mínimos de segurança pode ser muito maior. A indústria não enxerga segurança como viabilizadora de negócio, devemos desenvolver projetos seguros, por ser nosso modelo de trabalho e não apenas por existir uma demanda de mercado.

Graças a falhas da indústria e a preocupação com segurança de terceiros acompanhamos a notícia como no site KREBSONSECURITY a respeito de um ataque bem curioso, certamente o universo de segurança ficou bem abalado pela magnitude.

“There are some indications that this attack was launched with the help of a botnet that has enslaved a large number of hacked so-called “Internet of Things, (IoT) devices — routers, IP cameras and digital video recorders (DVRs) that are exposed to the Internet and protected with weak or hard-coded passwords.” (KREBSONSECURITY, 2016)

O código do malware responsável pelo ataque encontra-se disponível e pode ser baixado, modificado e/ou melhorado. Um dos recursos do malware é utiliza de senhas conhecidas ou fracas configuradas por padrão em equipamentos, algumas das possibilidades de combinações existentes pode ser visualizada na imagem abaixo.

Imagem-1 – master/mirai/bot/scanner.c

Assim como já aconteceu com as redes corporativas, acontece com os protocolos que utilizamos na internet e o mesmo vem acontecendo em redes industriais “SCADA”, estamos cometendo os mesmos erros com IoT. Temos um desenvolvimento fraco, equipamentos sem capacidade de aplicar update e pessoas sem qualquer capacitação para lidar com preocupações de segurança. E com isso seremos todos fornecedores de armas cibernéticas em um futuro não muito distante. No mínimo, iremos fornecer estrutura para armazenamento de armas cibernéticas, permitido que ataques nunca antes catalogados possam ser orquestrados. Veja a plublicação no (TOM SPRING, THREATPOST, 2016) neste ele faz referência um ataque de bandwidth 400Gbps que pode ser executado por câmeras conectadas na internet, a maioria das cameras informadas estão presente no Brasil, fiz uma rápida procura no shodan.io pela string que o mesmo relata no post.

Imagem 2 – Consulta no shodan.io por string

Não tenho qualquer dúvida que a base do shodan seja utilizada para tais tipos de ataque, não é mais necessário fazer a varredura do seu host para levantar portas abertas ou serviços ativos, certamente não terá o log dessas atividades e quando o ataque é iniciado acaba que este já possui um certo fóco ou objetivo. Vejamos como seria simples criar uma consulta na API do Shodan.

Acima um script construído rapidamente para realizar consulta por ip e porta, e como existem algumas limitações para uma conta free não pude paginar os resultados, e isso não nos impede de brincar, detalhes da manipulação da API do shodan podem ser visualizados em READTHEDOC.

Conclusão

“por quê alguém vai querer invadir este equipamento?” Mesmo que seja apenas uma câmera que filma uma rua vazia, ao meu ver a resposta é muito simples “RECURSO” é recursos de rede, recursos de memória e recursos de disco. São os recursos que nos dizem quem tem poder, se tenho grande poder de processamento posso processar bitcoin, se tenho grande largura de banda o mundo estará aos meus pés.

Creio que no ano de 2017 teremos muitos problemas, nada muda da noite para o dia, contamos com algumas iniciativas focadas na segurança para IoT como OWASP 2014 que define os 10 principais vulnerabilidades em IoT, existem diversas outras iniciativas como a padronização da linguagem entre outras.

No que se refere ao usuário final, devemos ser mais criteriosos aos escolher nossos equipamentos, atenção com a privacidade que o equipamento te submete, isso sem dúvida é muito importante em minha opinião todo fabricante deveria ser obrigatório fornecer a privacidade do produto junto a loja online, boa parte de minhas compras são realizadas online e ao escolher o produto eu gostaria de ler o termo de privacidade, caso contrário eu compro, aceito e uso ou compro, não aceito e não uso, já tentou não concordar com o termo de uso e privacidade de sua SmartTV? A industria deve assumir sua parcela de culpa e melhorar a segurança de seus equipamentos em todos os aspectos, é possível criar um produto usual com qualidade e utilidade adequada seguindos os princípios básicos de segurança, ou seja, reportando em seu site falha nos produtos, liberando atualizações e etc..

Hoje eu fico por aqui, caso queira uma dica rápida, bloqueio o acesso externo de todos seus IoT residenciais e corporativos, tenha acesso controlado, nunca ande pelado na frente de uma SmartTV 😉

Referências

WADLOW, A.Thomas, The Process of Network Security: Designing and Managing a Safe Network, 2000, p 123.
Shodan.io
READTHEDOC > acessado 4.1.17
MIRAI > acessado em 2.1.17
OWAS TOP 10 IoT > acessado em 1.1.17
EMBARCADOS > acessado em 26.12.16
KREBSONSECURITY > acessado em 19.12.16
BPPK acessado em 16.12.16
TOM SPRING, THREATPOST acessado em 15.12.16