Predominância de configurações padrão para dispositivos de IoT e sistemas embarcados sugere que fornecedores acham que eles não representam ameaças quando se conectam a LANs
IDG – Network World USA*
Em novembro do ano passado, pesquisadores da empresa de segurança cibernética Invincea reportaram uma vulnerabilidade que poderia ter permitido que hackers infectassem sistemas de automação residencial da Belkin. As várias brechas, de acordo com a Invincea, foram encontradas em dispositivos da linha WeMo, e permitiam que invasores controlassem remotamente a iluminação e o termostato da casa, por exemplo, e até mesmo acessar a rede local (LAN).
Em 2015, quando pesquisadores de vulnerabilidades da desenvolvedora de software de segurança Rapid7 analisavam nove monitores de bebê conectados à internet encontraram credenciais fixas de acesso (hardcoded) em quatro deles. Essas contas de backdoor forneciam acesso administrativo para os dispositivos conectados à rede local.
O uso de contas ocultas, protocolos de gerenciamento não autenticados e chaves de criptografia de disco rígido-codificado ou senhas é muito comum no mundo dos dispositivos de Internet das Coisas (IoT) e sistemas embarcados. Estas situações, que remetem a configurações padrão inseguras, são frequentemente encontradas não apenas em produtos de consumo, mas também em empresas, incluindo firewalls e outros dispositivos de segurança.
No início de dezembro de 2016, por exemplo, pesquisadores da SEC Consult advertiram que 80 modelos de câmeras de segurança profissionais da Sony, usadas principalmente por empresas e agências governamentais, tinham contas de backdoor (portas dos fundos, em tradução livre). E este é apenas um dos muitos casos relatados no ano passado.
Essas deficiênciasbásicas não derivam de práticas de programação inseguras — que muitos fornecedores também são culpados — mas pelo fato de muitos fabricantes não levarem em consideração todos os tipos de ataques ao projetar seus produtos. As falhas poderiam ser mais facilmente eliminadas do que vulnerabilidades relacionadas ao código, que exigiriam investimentos em desenvolvedores de segurança e treinamento de clientes.
As configurações inseguras também poderiam ser facilmente evitadas se os fabricantes de dispositivos incluíssem, na modelagem de ameaças, ataques baseados em LAN. No entanto, a maioria dos fornecedores ainda parece tratar as redes locais como ambientes implicitamente confiáveis.
Os hackers também infectam frequentemente laptops e celulares com malware e procuram outros sistemas em LANs para estabelecer uma posição permanente, prática conhecida como movimento lateral.
“Essa mentalidade de ‘LAN de confiança’ é muito predominante”, disse Craig Young, pesquisador de segurança da Tripware. “O risco de CSRF ou o comprometimento de apps de smartphones é enorme e ninguém parece entender. Em muitos casos, a LAN não precisa ter as vulnerabilidades expostas porque os sistemas não exigem autenticação de dispositivos locais.”
Ataques a roteadores de LAN
Pesquisadores da Kaspersky Lab encontraram recentemente o primeiro malware para Android para hackear roteadores. Uma vez instalado em um telefone celular, o app mal-intencionado executa uma função que “adivinha” a senha para atacar a interface de web do admin do roteador na rede local.
“Muitos fornecedores de IoT baseiam sua estratégia de defesa no fato de que seus dispositivos serão instalados ‘atrás’ de roteadores, em vez de focarem em garantir que os próprios dispositivos tenham o grau de segurança desejado”, disse Brian Knopf, diretor sênior de pesquisa de segurança e arquiteto da Neustar. “Essa mentalidade de fabricantes é ignorante.”
Knopf, que anteriormente trabalhou na segurança de produtos da Linksys, Belkin e Wink, deu o exemplo de uma vulnerabilidade encontrada em 2013 na bridge Philips Hue que controla lâmpadas inteligentes em casas ou escritórios. A vulnerabilidade era resultado de um protocolo de gerenciamento inseguro usado em tokens de acesso baseados em endereços MAC físicos para autenticar os comandos.
Para ele, a única coisa que vai mudar a mentalidade dos fornecedores é haver requisitos obrigatórios amarrados com sanções para aqueles que não cumprirem. “Claro, existem empresas que fazem a coisa certa, mas eles agora estão em desvantagem por aqueles que não.”
“Uma das principais falhas através de dispositivos conectados é que ‘confiam’, por default, em outros dispositivos da rede local”, diz Ted Harrington, sócio executivo da Independent Security Evaluators, empresa que organiza um concurso de hackers na conferência de Def Con todos os anos. “Isto é uma violação de um princípio fundamental de um projeto seguro.”
Muitos pequenos dispositivos eletrônicos não parecem ter muito valor para os hackers à primeira vista porque eles têm baixo poder computacional. Mas isso pode ser ilusório: seu comprometimento é menos provável de ser detectado e pode ser usado para lançar ataques contra alvos mais valiosos, localizados na mesma rede. “Sem considerar adequadamente o modelo de confiança na rede local, cada dispositivo adicional instalado é uma forma de comprometer a rede,” disse Harrington.
Sombra de problema
“Antes de IoT se tornar popular, dispositivos embarcados apresentavam um risco de segurança insignificante”, diz Carsten Eiram, diretor de pesquisas da Risk Based Security. “Estes dispositivos estão, frequentemente, dez anos atrás de um software normal quando se trata de maturidade do código, a partir de uma perspectiva de segurança. Uma grande parte disso é a ausência de controle.”
É preocupante que muitas empresas não têm condições para controlar quem e em que circunstâncias podem trazer muitos dispositivos para suas redes, diz Eiram. Isso, segundo ele, cria uma sombra de problema para a TI por não manterem o controle de tais dispositivos.
Os consumidores enfrentam um problema semelhante em impor controles de acesso em suas redes, de acordo com Alex Balan, pesquisador-chefe de segurança da fornecedora de antivírus Bitdefender. “Eles colocaram estes novos dispositivos em suas casas — de termostatos inteligentes e sensores para campainhas conectado à internet a câmeras de segurança — sem restringir quem pode acessá-los. Então compartilham suas senhas de acesso Wi-Fi com amigos e familiares que trazem as suas próprias que potencialmente infectaram laptops e smartphones em suas redes.”
“Você deve se perguntar: ‘Pode minha rede doméstica ser hackeada?’”, diz Balan. “Se a resposta for sim, então pergunte-se por que tem políticas de segurança fracas, considerando todos os dados confidenciais dentro da rede — fotos, documentos, arquivos que você levou para casa do trabalho. Se a resposta for não, então você é realmente incrível ou totalmente mal informado.”
*Texto editado e condensado de matéria de Lucian Constantin, correspondente na Romenia do IDG News Service.
Fonte: computerworld.com.br