fbpx
ArtigosEm Destaque

Dispositivos da Internet das Coisas como um vetor de DDoS

Por Steve Olshansky
Gerente de Programas de Tecnologia da Internet

Robin Wilton
Consultor Sênior da Internet Trust

À medida que aumenta a adoção de dispositivos da Internet das Coisas, também aumenta o número de dispositivos IoT inseguros na rede. Esses dispositivos representam um conjunto cada vez maior de recursos de computação e comunicações abertos ao uso indevido. Eles podem ser sequestrados para espalhar malware (softwares destinados a danificar ou desabilitar computadores e sistemas de computadores) recrutados para formar redes de robôs para atacar outros usuários da Internet, e até mesmo usados para atacar infraestruturas nacionais críticas ou as funções estruturais da própria Internet (damos vários exemplos de manchetes recentes na Seção de Referência, no final).

O problema é o que fazer com a IoT como fonte de risco. Este artigo inclui reflexões sobre eventos que vieram à tona nas últimas semanas, apresenta algumas reflexões sobre mitigações técnicas e esboça os limites do que achamos que pode ser feito tecnicamente. Além desses limites estão os domínios das medidas políticas, que − embora relevantes para o quadro geral − não são o tópico deste post.

Por que estamos explorando essa questão agora? Em parte devido à nossa atual campanha para melhorar a confiança nos dispositivos de IoT para o consumidor.

E em parte, também, por causa de relatórios recentes que, como um passo para mitigar esses riscos, os dispositivos conectados serão submetidos a testes ativos, para detectar se eles ainda podem ser acessados usando senhas e identidades padrão de usuários. Aqui está um desses relatórios, do IEEE.

Acreditamos que a sondagem ativa aumenta os riscos práticos, de privacidade e de segurança, que devem eliminá-los como uma abordagem, ou garantir que outras opções, menos arriscadas, sejam sempre consideradas em primeiro lugar.

Dispositivos remotos: controle, propriedade e responsabilidade

Grande parte do poder de um ataque de negação de serviço distribuído (DDoS) vem da capacidade de recrutar dispositivos em todo o planeta, independentemente da localização física do invasor ou, na verdade, do alvo. Uma contra medida é tornar mais difícil para um ator mal-intencionado obter controle remoto de um dispositivo IoT.

Obter o controle de um dispositivo envolve (ou deve envolver) a autenticação como um usuário autorizado. Dispositivos de IoT que não têm controle de acesso ou têm controle de acesso com base em uma senha padrão têm pouca ou nenhuma proteção contra esse controle. Por isso, é frequentemente sugerido que um passo inicial para proteger dispositivos conectados é garantir que os usuários substituam a senha padrão por uma que seja difícil de adivinhar.

Porém, este passo apresenta obstáculos. Os usuários são notoriamente ruins para escolher e alterar senhas, frequentemente escolhendo palavras triviais, quando eles se incomodam em definir senhas, e, é claro, às vezes sem perceber que devem, em primeiro ligar, definir uma senha.

O comportamento dos consumidores também pode se basear na suposição de que seus dispositivos são seguros. Eles podem supor, por princípio, que seu provedor de serviços de Internet (ISP) ou provedor de soluções de casa conectada não está fornecendo um dispositivo que os coloque sob risco por falta de segurança − assim como eles podem esperar que o dispositivo não pegue fogo durante o uso normal.

Várias partes interessadas, expectativas e requisitos

Como se pode ver, já temos um problema cuja solução pode exigir ação de mais de uma parte interessada:

  • Os fabricantes de dispositivos precisam projetar seus produtos para exigir algum tipo de controle de acesso e solicitar que o usuário o habilite,
  • Os usuários precisam ter a consciência e a disciplina para usar o mecanismo de controle de acesso e, se necessário, lembrar e substituir senhas quando for necessário e
  • Os usuários podem supor que, sob certas circunstâncias, “outra pessoa” está cuidando de manter seus dispositivos seguros e protegidos.

E tudo isso tem que ser feito de forma a reconciliar o triângulo de requisitos, dos quais, tradicionalmente, você pode “escolher quaisquer dois”. O controle resultante deve ser:

  • Seguro (caso contrário, perde-se o sentido da coisa)
  • Utilizável (se for muito difícil de entender, ou inconveniente, os usuários irão ignorá-lo)
  • Gerenciável (deve ser possível reparar, substituir ou atualizar o controle sem comprometer a capacidade de usar o dispositivo ou manter a segurança e a privacidade do usuário).

No contexto da IoT, dois itens adicionais precisam ser abordados.

Primeiro, seja qual for a solução, ela deve ser acessível. Caso contrário, produtos “seguros, mas caros” tenderão a perder participação de mercado em favor de concorrentes “inseguros, mas baratos”, e o risco representado por dispositivos IoT inseguros continuará a crescer.

Em segundo lugar, o processo acima descrito tem uma falha, isto é, “não é de onde estamos partindo”. Dispositivos conectados com pouca segurança já estão amplamente disponíveis e implantados em grande número. Nesses casos, é muito tarde para os fabricantes projetarem segurança para o produto, consequentemente precisamos procurar meios alternativos para reduzir o risco de que dispositivos IoT sejam um vetor de ameaças.

Escolher a intervenção apropriada

Se o dispositivo foi simplesmente projetado sem os mecanismos de segurança apropriados, e sem os meios para adicioná-los uma vez implantados, além de representar um risco significativo à segurança ou ao bem-estar das pessoas, há pouco a ser feito além de tentar retirá-los do mercado (por exemplo, em 2017, as autoridades alemãs emitiram uma proibição contra uma boneca conectada, alegando que ela era, de fato, um dispositivo de vigilância e que também poderia colocar as crianças sob risco).

Se os dispositivos já implantados puderem ser protegidos pela ação do usuário, a questão será decidir como isso poderá ser melhor realizado. Nós achamos que haverá uma gama de opções, algumas mais apropriadas para diferentes tipos de dispositivos conectados do que outras.

Campanhas gerais de conscientização pública, destinadas a informar os consumidores sobre a importância da boa prática de senhas, podem ser ineficazes ou insuficientemente direcionadas para serem relevantes; mas como aumentarmos a precisão de tais mensagens sem invadir a privacidade dos usuários?

É aceitável segmentar os compradores de tipos específicos de dispositivos ou marcas específicas? Os ISPs (provedores de serviços de Internet) devem ter os meios (ou um dever) para escanear suas redes para esses dispositivos e alertar seus assinantes sobre os riscos potenciais? Devem eles testar dispositivos em suas redes para ver se a senha padrão foi alterada? Como último recurso, e dada a ameaça potencial que a IoT representa à infraestrutura nacional crítica, até mesmo os governos têm responsabilidade nesses casos, e é desejável que eles intervenham, diretamente ou através dos ISPs?

Como o artigo do IEEE observa, em comentários do Centro de Tecnologia da Informação da Universidade de Tóquio, uma iniciativa em larga escala como essa aumenta o número de interessados que devem desempenhar algum papel. Provavelmente envolverá o governo, um instituto técnico aprovado e os ISPs. Isso pode significar que os governos precisarão conciliar conflitos entre as ações que desejam realizar e as leis relacionadas à privacidade pessoal, consentimento ou acesso não autorizado a computadores. Essas decisões estão, como observamos, além do escopo deste post, exceto para notar que elas aumentam a dificuldade de garantir que a abordagem da “investigação ativa” seja gerenciável, legal e segura.

Conclusões e recomendações

Nós reconhecemos que as circunstâncias variam e situações diferentes podem exigir abordagens diferentes. Aqui está uma indicação da gama de intervenções que achamos que podem ser aplicadas. Esta não é uma lista exaustiva, mas serve para mostrar que muitas opções estão disponíveis, e várias delas podem ser necessárias.

  • Segurança do design. Em primeiro lugar, se todos os dispositivos de IoT foram bem projetados, seu risco será bastante reduzido.
  • Fixar o gerenciamento do ciclo de vida. Um bom design inclui a capacidade de gerenciar dispositivos implantados durante todo o seu ciclo de vida, incluindo atualizações seguras para firmware/software e desativação segura (isso pode implicar que alguns processos e protocolos precisem incluir uma etapa de “consentimento”).
  • Testes de laboratório de dispositivos. Avaliar novos dispositivos em relação a critérios de qualidade para segurança e gerenciamento do ciclo de vida e fornecer feedback aos fabricantes. Isso pode se estender para incluir certificação e marcas de confiança.
  • Campanhas gerais de conscientização (por exemplo, incentivar os usuários a alterar as senhas padrão).
  • Conscientização direcionada/chamada para ação (isso pode ser baseado nos resultados dos testes de laboratório, sob a forma de um aviso de “recall” do fabricante para produtos não seguros).
  • Segmentação por dispositivo “passivo” (por exemplo, um ISP pode detectar tráfego que indique um dispositivo inseguro e enviar um alerta fora de banda ao usuário sugerindo ação corretiva).
  • Segmentação por dispositivo “ativo” (por exemplo, uma entidade procura tipos de dispositivos conhecidos por terem uma falha de segurança e notifica o usuário com ações sugeridas).
  • “Sondagem ativa” (por exemplo, uma entidade pesquisa dispositivos remotamente para identificar aqueles que ainda têm senhas padrão).

Como essa lista sugere, muitas alternativas podem ser consideradas antes de embarcar em algo potencialmente contencioso, como uma investigação ativa − e das opções listadas, a análise ativa exigiria o máximo de esforço em termos de governança, gerenciamento, avaliação de impacto ético e de privacidade/medidas de segurança. Aqui estão apenas algumas das nossas preocupações com a abordagem “sondagem ativa”:

  • Fazer isso (ou mesmo tentar) sem o conhecimento e a permissão expressa do proprietário do dispositivo, independentemente da motivação, é um ataque técnico a esse dispositivo.
  • O proprietário do dispositivo não tem como distinguir um ataque mal-intencionado de um “autorizado” e legítimo e, portanto, pode reagir de forma inadequada a uma investigação legítima, ou não reagir adequadamente a uma investigação maliciosa. Isto pode dar origem a resultados não intencionais e indesejáveis. Por exemplo, se os usuários forem avisados por meio de um anúncio geral de que “sondagens legítimas serão realizadas durante a noite de quinta-feira da semana que vem”, os hackers poderão interpretar isso como uma oportunidade para lançar seus próprios ataques, sabendo que os proprietários terão menor probabilidade de reagir.
  • Isto poderia resultar na criação de um grande banco de dados de dispositivos vulneráveis, o que seria um alvo e um recurso para possíveis invasores. A criação de tal ativo não deve ser feita sem cautela e previsão.
  • É até possível que uma investigação ativa possa infringir a soberania de outra nação: por exemplo, é aceitável que um país investigue os dispositivos conectados de embaixadas estrangeiras em seu território, como parte de uma iniciativa como essa?

De modo geral, nossa opinião é que a abordagem da investigação ativa tem o maior risco de minar a confiança dos usuários na Internet, especialmente ao violar as expectativas normais dos proprietários e usuários de dispositivos em relação à privacidade, propriedade e controle. Concluímos que testar ativamente a segurança do dispositivo tentando fazer login usando senhas padrão conhecidas deve ser um último recurso, à luz de uma ameaça específica e identificada, e que deve ser utilizado somente quando outras alternativas não estiverem disponíveis ou não forem práticas.

Para decidir qual das intervenções é apropriada (e a intervenção bem-sucedida pode precisar de uma combinação de medidas), recomendamos a aplicação de princípios estabelecidos de outras disciplinas relacionadas à governança da TI:

  • Necessidade: existe uma maneira menos arriscada e menos intrusiva de atingir os mesmos fins?
  • Proporcionalidade: o resultado desejado é suficiente para justificar o impacto potencial de segurança e privacidade da intervenção?
  • Consentimento: o consentimento informado do indivíduo foi solicitado e fornecido livre e conscientemente
  • Transparência: está claro para todas as partes interessadas o que está sendo feito e por quê?
  • Responsabilização: os resultados são mensuráveis? A prestação de contas pelos resultados é clara − incluindo resultados negativos se algo der errado?

Nós reconhecemos que os dispositivos conectados inseguros representam uma ameaça substancial e crescente, que precisa de uma resposta eficaz. No entanto, também acreditamos que a resposta pode e deve ser gradativa, com base na avaliação de uma gama completa de opções e na aplicação de princípios estabelecidos de boa governança.

Exemplos recentes da IoT como um vetor de ataques

Outros recursos

Building TrustInternet of Things (IoT)SecurityDDoSDDoS attacks

Isenção de responsabilidade: Os pontos de vista expressos neste post são de responsabilidade dos autores e podem ou não refletir as posições oficiais da Internet Society.

Fonte: https://www.internetsociety.org/

Artigo traduzido e compartilhado sob licença:

Creative Commons License

Leve a Transformação Digital de IoT para a sua empresa!

Tudo está mudando muito rapidamente. Novos modelos e processos de negócios são criados com uma velocidade sem precedentes. Empresas grandes e consideradas imbatíveis foram impactadas pela disrupção em seus negócios e desapareceram da noite para o dia.

Queira ou não, o seu negócio será impactado pela Internet das Coisas (IOT), mesmo que ela não faça parte do seu negócio principal. Algum impacto importante a IOT terá no seu negócio, seja para melhorar os processos e/ou atender melhor os seus clientes.

Não espere que o seu concorrente tome a dianteira nesta corrida, venha conhecer no ABINC Summit – Conexão IOT soluções e melhorias que empresas como a sua tem implantado com sucesso.

Inscreva-se no ABINC Summit – Coenxão IOT

Veja o recado do Paulo Spacca, vice-presidente da ABINC e garanta a sua vaga! Use o cupom IOTDESC5E para receber 5% de desconto.

ABINC Summit

Tags
Mais