Quem acompanha o noticiário por alguns anos já conhece o fenômeno: de tempos em tempos uma tecnologia alcança o seu apogeu como "buzzword" e domina o noticiário. Sua simples menção pode dar destaque a uma empresa, produto ou pessoa; ignorá-la pode levar ao esquecimento. Sabendo disto, empresas e profissionais correm atrás de alguma ligação, por mais tênue que seja. E a buzzword do momento é IoT.
O Que é IoT?
É a sigla de "Internet of Things". Mas o que exatamente é isto? A wikipedia diz que é "a interconexão em rede de dispositivos físicos ... com eletrônica embarcada ... o que permite a eles coletar e trocar dados". Uma definição bem vaga, que mesmo assim é ampliada no afã de embarcar na onda.
De um modo geral, um dispositivo IoT precisa ter alguma forma de conexão em rede, tipicamente com a internet (ou melhor, "a nuvem"). Em muitos casos a conexão à internet é direta (IPV6 já!), em outros os dispositivos usam algum tipo de conexão mais simples com um concentrador, este sim ligado à internet.
Embora normalmente se fale em sensores e/ou atuadores que serão lidos ou comandados pela rede, o termo IoT é frequentemente aplicado para qualquer dispositivo de consumo conectado à internet que não seja um computador mais tradicional (ou um smartphone ou tablet). Por exemplo, é comum textos e apresentações sobre IoT darem destaque às SmartTVs.
Ainda partindo da wikipedia, o objetivo seria a integração mais direta entre o mundo físico (as "coisas") e os sistemas baseados em computadores (a "nuvem"), resultando em "maior eficiência, precisão e benefício econômico".
As Ameaças
Antes mesmo do surgimento do nome IoT, alguns especialistas já alertavam para os problemas de segurança causados pela conexão em massa de dispositivos à internet. Antes chamados de alarmistas, estão começando a ser vistos como profetas.
Existem vários motivos para isto. De um lado, os fabricantes de produtos de consumo não tem uma visão muito atrelada a segurança. De outro, os usuários são tem os conhecimentos necessários para entender os riscos nem executar os procedimentos de proteção.
Os produtos IoT, principalmente os mais baratos, são feitos em um ritmo acelerado. Blocos prontos de hardware e software são alavancados por profissionais generalistas para reduzir o "time-to-marketing". A manutenção das vendas é gerada pelo lançamento contínuo de novas versões, com a consequente descontinuação dos modelos antigos. Desta forma, uma vulnerabilidade em um destes blocos padrões pode se disseminar por um número grande de produtos (inclusive de fabricantes diferentes) e poucas atualizações são disponibilizadas durante a curta vida do produto. O usuário, que já não tem a cultura de atualizar este tipo de produto, fica indefeso quando o fabricante descontinua o modelo.
O resultado já pode ser visto. Ataques DDOS (Distributed Denial of Service) com volumes imensos foram vistos nos meses recentes. A causa parece ser um malware chamado Mirai, que infectou dispositivos como roteadores domésticos e câmeras de segurança.
O exame do Mirai é instrutivo. Embora o artigo ao lado o chama de Trojan, ele não tem este tipo de comportamento (não tenta fingir ser um programa interessante e inocente). Também não seria um vírus, pois não se esconde em outro software. Eu diria que ele é um Worm, um programa que se replica através da rede. Uma vez instalado, o Mirai procura outras vítimas, tentando se conectar à porta do serviço Telnet em endereços gerados aleatoriamente. Conseguindo se conectar, tenta um conjunto extremamente pequeno de usuários e senhas para se logar como root. Tendo sucesso, utiliza alguns comandos simples para instalar uma cópia sua na vítima. Além disso, se conecta periodicamente a uma central de controle para saber as malvadezas que deve a realizar.
Reparem que não existe nenhuma sofisticação, nenhuma tentativa de usar alguma vulnerabilidade para obter acesso ou elevar privilégios. O Mirai tenta se conectar a um serviço normal, se logar como se fosse um administrador e executar utilitários já presentes.
Como um ataque tão simples funciona? Em primeiro lugar, existem imagens de Linux já prontas que estão com o serviço Telnet ativo (apesar de ser um serviço cada vez menos usado, justamente por ser inseguro). O fabricante não se preocupou em desativá-lo e usou nomes e senhas estúpidas (como admin e 123456) para o superusuário. O mesmo conjunto de utilitários (como o BusyBox) está presente em todas as imagens, facilitando a criação de um script de propagação genérico.
O que esperar do usuário, que comprou uma câmera de segurança e deseja configurá-la com o mínimo esforço para ver e salvar as imagem em um micro? Provavelmente a interface ao usuário nem sequer tem opções para desativar o Telnet ou mudar as senhas (se duvidar, as senhas estão hard-coded em algumas aplicações e a câmera deixa de funcionar se você mudar). Escolher um roteador com firewall e configurá-lo? Se a minha câmera está apontada para um muro ou janela, porque eu preciso bloquear uma porta?
Como dizem, tenha medo. Muito medo.
Nenhum comentário:
Postar um comentário