Com a crescente adoção da Internet das Coisas, a Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – analisou como os cibercriminosos podem potencialmente tirar proveito dos dispositivos e recursos que envolvem a IoT.
Segundo o Gartner, a estimativa é que mais de 20,8 bilhões de dispositivos da Internet das Coisas estejam em uso até 2020 e seu uso será potencializado por mais da metade dos principais processos e sistemas de negócios.
No entanto, de acordo com a Trend Micro, apesar de serem equipados com novos aplicativos e hardwares, a maioria dos dispositivos pertencentes à Internet das Coisas, contam com protocolos de conexão e sistemas operacionais (OS) ultrapassados.
Lâmpadas controladas remotamente e sistemas Infotainment com Wi-Fi habilitado em Veículos (IVI), por exemplo, são na sua maioria executados em Linux e desenvolvidos em linguagem C, sem opções seguras de compilador. Eles também usam protocolos de conexão datados tais como TCP/IP (1989, RFC 1122), ZigBee (especificação 2004) e CAN 2.0 (1991), que, quando explorados, podem abrir o dispositivo para acesso remoto.
Por exemplo, explorar um protocolo TCP/IP pode levar a um ataque de man-in-the-middle em que terceiros mal-intencionados podem explorar a rede de um dispositivo da Internet das Coisas, interceptar o seu tráfego e, por fim, ter acesso ao dispositivo.
Hackear dispositivos da Internet das Coisas pode envolver várias etapas:
Reconhecimento e Prova de Conceito (PoC)
Os hackers podem se concentrar em pesquisar sobre o dispositivo escolhido, procurando vulnerabilidades e estudando os PoC’s a partir dos quais podem ser encontrados exploits para usar contra o alvo. Exemplos destes PoC’s incluem vulnerabilidades em receptores de rádio Digital Audio Broadcasting integrados em IVIs, bem como em falhas de autenticação em lâmpadas conectadas que podem permitir que os dados sejam roubados até mesmo de redes fisicamente isoladas.
Existem também várias ferramentas de pesquisa de código aberto que podem ser exploradas pelos hackers para acelerar o processo, tais como as ferramentas Modbus Fuzzer ou CANard. Estes dois são encontrados no Github, um serviço de hospedagem de código baseado na web.
Assumindo o Controle do Dispositivo
Os hackers podem usar vetores de ataque para sequestrar o dispositivo da Internet das Coisas, dentre estes:
- O uso de exploits ou do login/senha padrão para acessar o dispositivo e procurar uma rede interna a partir do qual eles podem realizar o movimento lateral;
- A construção de uma botnet e estabelecimento da rede do bot para um melhor controle;
- O Lançamento de um Ataque Distribuído de Negação de Serviço – o DDoS precisa de uma enorme quantidade de dados para que seja eficaz— os dispositivos da Internet das Coisas amplamente utilizados proporcionam um bom ambiente para realizar um ataque deste tipo;
- A implantação de um programa de bitcoin-mining: embora apenas um dispositivo da Internet das Coisas tenha baixo consumo de energia da CPU, ao infectar todos eles, o hacker pode compensar o poder de processamento árduo necessário para minar bitcoins.
Maximizando os Danos
O hacker pode maximizar todas as possibilidades para causar um estresse para a vítima — bloqueando os freios de um carro ou o sistema de direção, distorcendo a tela e impedindo a visualização normal de uma smart TV ou até mesmo desligando totalmente um sistema ferroviário.
Em junho deste ano, a Trend Micro rastreou o Flocker, uma variante de ransomware que bloqueia a tela do Android e estava se movendo para outras plataformas e recentemente sequestrou Smart TVs.
A segurança dos dispositivos da Internet das Coisas é largamente ignorada, com a maioria dos fornecedores focando principalmente em seus desempenhos e funcionalidades. Esta situação é agravada com a existência de mecanismos de busca, como Shodan e ZoomEye, que prontamente fornecem repositórios de dispositivos conectados e sistemas informáticos potencialmente vulneráveis.
Perspectivas de segurança
No entanto, com o crescimento da adoção da Internet das Coisas entre os consumidores e as empresas, a segurança em tais dispositivos vem também ganhando força.
Segundo o Gartner, as projeções indicam que os gastos globais em segurança com a Internet das Coisas podem chegar a US$ 547 milhões em 2018. Além disso, o estudo afirma também que 25% dos ciberataques identificados em empresas envolverão IoT até 2020.
A Tesla e a Fiat Chrysler estão entre as empresas que tomaram a iniciativa lançando programas bug bounty para melhorar a segurança de seus carros conectados. No EUA, a Central de Análise e Troca de Informações Automotivas (Auto-ISAC) colabora com 15 fabricantes de automóveis para criar uma lista de melhores práticas de segurança cibernética dos seus veículos.
De acordo com a Trend Micro, apesar da extorsão cibernética ou até mesmo ransomwares serem tecnicamente viáveis na Internet das coisas, é pouco provável que isso ocorra em um futuro previsível.
Hackear tais dispositivos implica em personalizar o ataque, escolhendo vítimas, empresas ou indústrias específicas a partir da qual os hackers podem rentabilizar suas operações por meio da extorsão.
No entanto, a crescente adoção de dispositivos da Internet das Coisas, a relativa facilidade de explorar suas falhas de segurança e a rentabilidade aparente de extorquir seus proprietários, são uma combinação assustadora.
Algumas medidas protetivas, tais como a implementação de uma auditoria de segurança ao projetar softwares/hardwares da Internet das Coisas, a configuração de gateways de segurança, a adição de um monitoramento de endpoint e o uso de uma inspeção de log em tempo real, podem ajudar a mitigar os riscos.