Malícia vs. Ganância
Boa parte da discussão em torno da segurança em supply chain é focada em detectar adulterações ou prevenir o uso de backdoors ou de elementos maliciosos em componentes e programas. Existe, contudo, um outro aspecto que vem surgindo e pode ficar ainda mais relevante que a questão das adulterações: dispositivos piratas que podem, indiretamente, trazer problemas. Por pirata, entende-se que seja um produto que ou foi deliberadamente criado para enganar o comprador, fazendo se passar por outro, ou foram adesivados ou embalados para fazer com que um modelo antigo ou inferior se pareça com um melhor. Isso pode até ser motivado pela cobiça, mas acaba impactando diretamente a segurança.
Dispositivos piratas já são um problema em saúde e prejudicam a segurança
No ano passado, estudamos a segurança do mercado de dispositivos médicos. Existe um mercado aquecido e legítimo para dispositivos médicos usados. Não é surpresa que os mais novos têm preços mais altos que os mais velhos. A comunidade médica sabiamente pressionou para a criação de um código de barras universal, o que originou o Universal Device Identifier (UDI), de modo que os dispositivos pudessem ser catalogados em inventários, com seu histórico registrado e suas informações coletadas (localidades onde esteve, por exemplo). O UDI deveria ser uma ferramenta útil para operações em segurança, como o patching. Se o UDI informa que o dispositivo é de uma determinada versão de 2014, eu posso garantir que ele receba o patch adequado mais recente.
Então é neste ponto que ganância e segurança entram em conflito. Revendedores inescrupulosos podem ter UDIs falsas aplicadas, fazendo com que aparelhos antigos pareçam ser mais novos. Fazer com que um aparelho de 2014 se passe por um de 2018 pode render bons lucros, a custo de problemas com recalls e preços desproporcionais para o comprador.
Mas aplicar um patch para um produto de 2018 inadvertidamente em um de 2014 pode trazer consequências indesejadas, como “brickar” o aparelho, deixar outras vulnerabilidades expostas ou causar problemas de funcionamento. Sistemas operacionais de desktops costumam ser robustos, com uso de caixas de diálogo e checagens para minimizar e até evitar a aplicação errada de patches e atualizações. Mas quase todos os IoT e diversos equipamentos médicos não têm toda essa resistência. Se você já limpou o CMOS de um equipamento, como um roteador ou uma câmera, você sabe que é uma tela preta com pouco ou nenhum feedback.
UDIs trocadas são uma parte do problema, portanto; a outra é quando os aparelhos pirateados sequer têm o mesmo software que os originais.
Isso pode até soar como um caso raro, mas não é. A Organização Mundial da Saúde (OMS) estima que 8% dos dispositivos médicos no mundo são falsificados.
As tendências que fazem da pirataria uma tentação ainda maior na TI corporativa
Diversas forças estão em rota de colisão, o que é um problema; o crescimento de IoT é o maior deles. A proliferação de dispositivos se conectando a redes corporativas a um ritmo acelerado significa que mais dispositivos “burros” que já fazem parte do ambiente estão se tornando “smart”. A escala é um problema, porque o crescimento do IoT desafia o inventário de rede tradicional, o SIEM e as ferramentas de gestão de patches. Isso faz com que a gestão de patches e inventário fiquem sobrecarregadas e muito acabe passando pelas brechas que isso causa, o que facilita o trabalho dos piratas.
Uma segunda mudança é a maior confiabilidade da inteligência das IoT, e isso significa que esse aspecto dessa tecnologia está se tornando um recurso essencial. Por exemplo, o relatório de fluxo de uma bomba é tão importante quanto o bombeamento em si, os displays eletrônicos dos carros não são mais só para entretenimento, agora servindo para mostrar, também, informações cruciais do veículo.
A terceira mudança é a heterogeneidade. Há mais marcas de produtos e mudanças mais rápidas nas redes. A maioria das empresas têm roteadores e switches de diversos fabricantes, para citar um exemplo, tendência que só aumentou com a popularização e o alcance da internet. Cada vez mais há, também, mais produtos de segurança nas empresas. Mudanças no supply chain implica na redução do procurement tradicional e aumento da complexidade na busca por componentes de dispositivos e aparelhos de TI.
Por que isso agora é uma preocupação de segurança?
Toda esta escala, inteligência e complexidade significa que existe mais atratividade para os piratas, e mais impactos em segurança causados por sua ação. A escala faz com que o suprimento da demanda com equipamentos velhos e maquiados pode até ser lucrativa, mas traz riscos com equipamentos que não podem ser atualizados, ou que passam a não funcionar direito quando o são. Equipamentos falsificados que não são atualizados ou que são projetados com menos segurança que o ideal implicam mais impactos que no passado, quando estes equipamentos eram menos inteligentes. A heterogeneidade de componentes e supply chain cria mais oportunidades para pirataria, com consequente aumento da dificuldade de se detectar componentes falsos, dado o aumento de interações na corrente logística, com mais possibilidades para ações maliciosas.
Dispositivos de rede e segurança estão na mira da próxima onda de falsificação
Componentes falsificados de TI e IoT são, por si só, problemas, mas ainda há um perigo maior. Houve casos registrados em que dispositivos de rede e segurança pirateados foram vendidos: o que deveria ser a mais forte defesa contra dispositivos piratas acabaram sendo, eles mesmo, pirateados. Voltando à analogia do dinheiro falso, é como ter um detector falsificado de notas falsas.
O que as empresas precisam fazer
A melhor mudança que pode ser feita é incluir a detecção de pirataria já no supply chain. Em outras palavras, muito embora o processo de supply chain seja normalmente coeso, é importante ter certeza que cada etapa não esteja comprometida. Empresas já maduras começaram a adotar práticas assim, mas isso está longe de ser a regra. Mudanças no procurement podem ser uma parte importante neste processo, incluindo conferir se seus fornecedores têm adotado as medidas certas de integridade no supply chain; isso pode significar uma mudança de visão do “menor preço” para “menor preço entre os originais”.
Boa parte da gestão de vulnerabilidades se resume ao inventário (descobrir o que se tem) e patching. Mais validação dos resultados de inventário pode resultar em um grande primeiro passo (e.g. se a empresa tem 20 roteadores de um determinado tipo, o inventário garante que são realmente 20 e do tipo especificado).
Embora os impactos da pirataria não sejam exclusivamente ligados à segurança (e.g. dispositivos médicos com defeito), organizações de segurança são as mais qualificadas para dar o exemplo de como proceder nestes casos.