O ataque massivo de ‘serviço negado’ (DDoS) na semana passada contra o provedor DNS Dyn deve servir como um alerta para nós: o ecossistema da Internet das Coisas está completamente e totalmente quebrado. Dispositivos sem segurança e com suportes ruins fizeram com que uma importante parte da infraestrutura da Internet fosse desconectada e levou o mesmo a acontecer com diversos sites muito importantes.

Relembrando, um ataque de enormes proporções (a Dyn disse que dezenas de milhões de endereços discretos de IP fizeram parte do ataque sofrido pela provedora) atingiu a Dyn na sexta-feira (21 de outubro). O primeiro ataque começou às 07h00, afetando principalmente usuários na Costa Leste dos Estados Unidos, mas foi mitigado em aproximadamente duas horas.

Um segundo ataque, mais ou menos ao meio dia, afetou mais usuários em todo o mundo; a mitigação levou uma hora. Um terceiro ataque foi lançado mais tarde naquele dia, mas foi mitigado sem que os clientes fossem afetados.

De onde este ataque veio? Grande parte deste ataque foi realizado por dispositivos com Internet das Coisas infectados pelo malware Mirai, que detectamos como ELF_GAFGYT.DGB/ELF_BASHLITE.SM. (Não há mais nenhuma botnet Mirai, tendo em vista que seu código-fonte foi divulgado para o público no começo de outubro e agora pode ser usado por qualquer atacante.)

A maior culpada pelo ataque de sexta-feira foi apontada como uma fabricante white-label (sem marca) de DVRs e webcams . Este fabricante emitiu um recall para alguns de seus dispositivos vulneráveis, que é algo bem-vindo (e potencialmente caro). No entanto, é provável que os dispositivos de outros fabricantes também estivessem envolvidos.

Teremos Novos Ataques Se a Segurança Não Melhorar

É um pouco exagerado dizer que esses ataques são “sem precedentes” – há algumas semanas, Brian Krebs também sofreu um ataque com o botnet Mirai. A única certeza que temos é que, até encontrarmos uma forma de fazer com que a Internet das Coisas seja segura, este não será o último ataque.

Quando se trata da Internet das Coisas, atualmente o poder está nas mãos do atacante: existem muitos dispositivos da Internet das coisas que não são seguros, não podem se tornar seguros e não vão se tornar seguros. Os ataques de serviço negado se tornaram ainda mais perigosos: provando que podem desconectar as empresas de forma mais potente e mais crível.

A IdC em si gera consequências bem reais para os ataques de DDoS – o que acontecerá se esses dispositivos não conseguirem se conectar às suas centrais de serviço? Às vezes, eles não lidam muito bem com isso. Antigamente, ataques de DDoS eram apenas um pequeno problema quando comparados ao cenário global de ataques. Agora, com mais e mais funções importantes disponíveis online, estes ataques se tornaram uma série ameaça.

Um Ecossistema Quebrado

É evidente que algo precisa ser feito para proteger a Internet das Coisas. Infelizmente, é um eufemismo dizer que este é um problema difícil. Não podemos esperar que os usuários de repente se tornem especialistas e protejam seus dispositivos. A prioridade número um dos usuários finais é e sempre será: que seus dispositivos funcionem.

Mas, e os vendedores de equipamentos da Internet das Coisas? Nem todos têm o conhecimento técnico para consertar os produtos vendidos por eles. Em alguns casos, esses vendedores simplesmente renomeiam os produtos vendidos pelos fabricantes white-label. Um simples revendedor e importador de bens poderia realmente fornecer suporte aos produtos vendidos por eles? A resposta é: provavelmente não.

Assim temos os fabricantes reais de gadgets da Internet das Coisas. Infelizmente, as pressões comerciais fizeram com que suporte pós-venda desses dispositivos seja ruim. A segurança não é uma prioridade – facilidade de uso, novos recursos e um tempo rápido para chegar ao mercado são. Uma IOT OEM não tem motivos para investir em segurança – nenhum fornecedor faliu porque seu produto não é seguro. Além disso, o suporte a longo prazo custa tempo, recursos e dinheiro – todas as coisas um fabricante quer reduzir.

Resumindo, ninguém tem os incentivos certos para fazer a coisa certa – proteger seus equipamentos de IdC. No que diz respeito à segurança, o ecossistema da Internet das Coisas está quebrado.

Será que os órgãos reguladores precisam intervir?

Esta divisão no mundo da Internet das Coisas não é sustentável no longo prazo. Agora que as consequências reais da falta de segurança da IdC são claras, é cada vez mais provável que os órgãos reguladores do governo estabelecem regras.

Os regulamentos são muitas vezes considerados indesejáveis no mundo da tecnologia, mas será que seria realmente a primeira vez que isso acontece? A maioria dos dispositivos eletrônicos já precisa atender a várias normas de segurança. Será que uma certificação contra erros básicos de segurança seria realmente impossível?

Será que é pedir demais que todos os gadgets com IdC não tenham vulnerabilidades? Mas, será que seria demais pedir que erros básicos de seguranças – entradas abertas, credenciais padrões sem criptografia como admin/admin e enviado – sejam eliminados dos aparelhos com IdC? Se os fabricantes de produtos com IdC querem tornar seus dispositivos parte da vida diária de seus usuários, será que seria muito pedir que eles não apaguem completamente o restante da Internet enquanto fazem isso?

A segurança da Internet das coisas vai melhorar – eventualmente

A longo prazo, teremos melhorias na segurança da Internet das Coisas. As consequências de uma IdC sem segurança vão se tornar dolorosamente claras e poderão até mesmo ser consideradas inseguras e talvez ilegais. Você não pode vender carros ou eletrodomésticos que não são seguros – e, no futuro, você também não poderá vender, por exemplo, uma câmera online com um servidor telnet aberto.

Como a indústria da IdC vai realizar melhorias para garantir a segurança dos dispositivos? Na verdade, a indústria será obrigada a aprender práticas de segurança melhoradas ou terá de sofrer as consequências, sendo impedida completamente de vender seus produtos. Uma simples conscientização com relação aos riscos de segurança será suficiente para remover as falhas mais flagrantes encontradas atualmente em dispositivos com Internet das Coisas. Provedores de segurança, como a Trend Micro, também estão trabalhando em tecnologias e produtos que os consumidores comuns poderão usar para proteger suas próprias redes domésticas.

Já vimos alguns sinais de progresso, tanto por parte da indústria quanto dos órgãos reguladores. A Comissão Europeia está analisando a possibilidade de implementar novas regulamentações para abordar a segurança dos equipamentos com IdC. Grupos da indústria lançaram um road-map para a proteção de dispositivos com Internet das Coisas. Somos testemunhas de que o ecossistema está começando a levar a questão da segurança a sério e isso está ocorrendo na hora certa.

A transição de um ecossistema sem segurança para um com segurança não será fácil. Até conseguirmos realizar esse feito, veremos novas violações de segurança ainda mais graves como consequência da falta de segurança da IdC. Cabe à indústria da IdC, aos fornecedores de segurança e aos órgãos reguladores fazer com que essa transição ocorra o mais rápido possível.