Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNIVERSIDADE ESTÁCIO DE SÁ UNIDADE NOVA AMÉRICA – RIO DE JANEIRO, RJ DEPARTAMENTO DE TECNOLOGIA DA INFORMAÇÃO GRADUAÇÃO EM CIÊNCIA DA COMPUTAÇÃO TRABALHO DISCIPLINAR ATAQUES À “INTERNET DAS COISAS” – IoT (INTERNET OF THINGS) INTRODUÇÃO À SEGURANÇA DA INFORMAÇÃO (ARA0064) - TURMA 3005 Fabio Pinto Xavier 202103057225 Rio de Janeiro 2021 Fabio Pinto Xavier 202103057225 ATAQUES À “INTERNET DAS COISAS” – IoT (INTERNET OF THINGS) Trabalho apresentado à disciplina INTRO- DUÇÃO À SEGURANÇA DA INFORMA- ÇÃO (ARA0064) - TURMA 3005 Professor: Renato Santana Rio de Janeiro 2021 “Esse é um computador no qual o usuário não pode instalar um antivírus. Pior ainda, tem uma porta traseira secreta que um ciberdelinquente pode usar e permanecer ali para sempre, obser- vando tudo sem ser detectado”. (Daniel Buentello, 2014) Introdução A interconectividade de uma rede IoT (Internet of Things) oferece recursos de racionali- zação que são atraentes para indivíduos e empresas. Usar a tecnologia para facilitar a vida - em casa ou no escritório - é uma grande vantagem. Porém, devem ser feitas considerações sobre como um aumento de dispositivos conectados também aumenta o risco cibernético, tornando as redes IoT mais vulneráveis a invasões cibernéticas e infecções. Simplificando, a Internet of Things (IoT) é qualquer rede de dispositivos físicos que conte- nham tecnologia embutida que possibilitem vários graus de acesso à internet, comunicação, comando e controle. Os dispositivos físicos conectados incluem máquinas tradicionais como laptops e tablets, mas vai além de incluir uma variedade de outros dispositivos não tradicionais, como automóveis, ter- mostatos, aparelhos, relógios de pulso, equipamentos de fabricação, dispositivos médicos e muito mais. A existência da IoT remonta à década de 1980, mas em uma versão semelhante ao filme De Volta para o Futuro. Os pesquisadores da Universidade Carnegie Mellon conseguiram criar uma máquina de venda automática de Coca-Cola conectada à Internet em 1982. Para proprietários de empresas, a IoT oferece enormes capacidades de racionalização que embalam uma produtividade. Ao ter todos os dispositivos e equipamentos de negócios sincronizados com o acesso à internet, a comunicação e a colaboração são mais fáceis e o trabalho é feito com mais rapidez. Por sua vez, os empresários reduzem os custos indiretos e podem assumir novos negócios. Transformações tecnológicas como esta podem realmente transformar a forma como as organizações fazem negócios. Os últimos anos foram enormes para a implementação real do IoT, impulsionado pela redução de custos e pelo valor convincente do negócio. Houve uma transição de ideias e protótipos para produção e implementação. No mercado, os carros inteligentes e os dispositivos portáteis com sistemas embutidos estão prontamente disponíveis. Proprietários de empresas em todas as indústrias estão procurando maneiras de tirar o melhor proveito da tecnologia IoT. No entanto, à medida que o IoT explode na cena, muitas dessas redes simplesmente não terão segurança adequada, deixando as empresas mais suscetíveis à invasão cibernética. Os ataques Você acabou de descobrir que a cafeteira inteligente do escritório foi hackeada e tem enviado milhões de e-mails de spam por meses. Pior ainda, o seu roteador de internet corporativo foi usado por invasores no exterior para conduzir ataques DDoS (que bloqueiam temporariamente servi- dores) contra outra empresa ou contra seu próprio governo. Nos dois casos, sua empresa nem foi o alvo final dos ataques. Imagine se fosse. Incidentes caros e embaraçosos como esses têm sido mais comuns e mostrado um avanço na era da Internet das coisas (IoT). Fato que pode gerar séria consequências, especialmente para pe- quenas e médias empresas, que não conseguem arcar com os danos. À medida que as redes 5G forem implantadas gradualmente nas principais cidades, o nú- mero de dispositivos conectados deverá explodir. Empresas foram as primeiras a adotar a tecnologia IoT e, portanto, os primeiros alvos para os mais novos ataques cibernéticos. Eles provavelmente con- tinuarão na vanguarda das novas tecnologias conectadas e das ameaças que os virão nos próximos anos. Você lembra de uma parte do manual de instruções do seu dispositivo que diz para trocar a senha padrão? Caso isso não seja feito, é possível que o seu dispositivo IoT comece a agir como um zumbi cibernético, já que os criadores de ataques DDoS conhecem as senhas padrão de muitos dispo- sitivos IoT e as usam para obter acesso. É como deixar as chaves de sua casa debaixo de um tapete na entrada, permitindo que qualquer pessoa as encontre. Todo aquele que possua um roteador online, uma câmera, uma TV ou inclusive uma ge- ladeira da IoT sem antes trocar a senha padrão está permitindo que realizem ataques desse tipo. As recentes pesquisas realizadas pela ESET sugerem que pelo menos 15% dos roteadores domésticos não estão protegidos, ou seja, que existe potencialmente 105 milhões de roteadores fraudulentos. Num mundo de objetos conectados e nas mãos de leigos em tecnologia, não são só as empresas que enxergam oportunidades. Os criminosos também. Não sem motivo, especialistas mais azedos já afirmam que as iniciais de IoT se referem à “internet of threats”, a internet das ameaças. O hacker britânico Daniel Kaye, de 30 anos, é réu no Reino Unido por ter lançado na Ale- manha um ataque que deixou desconectados 900 mil roteadores, em residências e empresas, em 2016. Usou um malware chamado Mirai — dedicado a infectar dispositivos desprotegidos e usá-los para procurar outros e invadi-los, sucessivamente. Nos Estados Unidos, os cibercriminosos Josiah White, de 20 anos, e Paras Jha, de 21, foram condenados em dezembro de 2017 por usar o Mirai. Depois dos ataques, a dupla oferecia às suas vítimas, serviços como consultores de segurança digital. A fabricante de roteadores MikroTik, da Letônia, até que fez a parte dela: corrigiu uma brecha de software e colocou a atualização à disposição dos clientes ao redor do mundo, muitos deles no Brasil. Como de costume, muitos dos usuários não fizeram a parte deles e, em vez de baixar a cor- reção, continuaram a usar a versão velha. Não tardou, hackers descobriram a falha e começaram um ataque global. O Brasil se tornou o alvo central do golpe e, no início de agosto de 2018, estavam cap- turados no país cerca de 72 mil roteadores e outros dispositivos sem fio da MikroTik, em residências e empresas (no mundo todo, eram cerca de 200 mil equipamentos invadidos). Essas máquinas trabalha- vam apenas parcialmente para seus donos — paralelamente, os hackers faziam os equipamentos mi- nerarem bitcoins. O caso é dos mais recentes a mostrar a vulnerabilidade de dispositivos conectados à internet das coisas (IoT). Em agosto de 2018, o FBI, polícia federal americana, achou por bem divulgar um alerta público sobre as vulnerabilidades “das coisas” conectadas à internet. Criminosos podem invadir uma rede doméstica para roubar dados ou exigir dinheiro, mas o FBI se preocupa mais com o uso indireto dos aparelhos. A maior parte dos dispositivos nas residências possui poder computacional suficiente para se tornar um ponto de conexão da rede, ou nó, capaz de receber, processar, armazenar e enviar informações pela internet, explica Sudha Jamthe, CEO e autora do projeto IoT Disruptions e professora na Universidade Stanford. Hackers capturam essas máquinas às centenas ou milhares de uma vez, para fazer ataques contra sistemas maiores, de grandes empresas ou infraestrutura, ou espalhar pela rede programas maliciosos — como vírus e espiões. “O uso dos dispositivos domésticos esconde osrastros digitais, dificultando a identificação dos responsáveis pelos crimes.” A lista do FBI inclui equipamentos como geladeiras, câmeras, TVs, rádios, portas inteligentes e roteadores, que, além de ataques ciber- néticos, são utilizados para negociar imagens e produtos ilegais nas profundezas da web. Parte da responsabilidade é das fabricantes de equipamentos e prestadoras de serviços de rede. Produtos e serviços não são concebidos para oferecer o máximo de segurança. Permitir a conexão e o gerenciamento remoto dos aparelhos traz comodidade ao consumidor, mas o torna vul- nerável a todo tipo de larápio do mundo digital. De acordo com um estudo realizado pela Universidade Ben-Gurion do Negev, Israel, divulgado em março, dispositivos conectados, como babás eletrônicas, câmeras, portas automáticas, segurança residencial e termostatos, foram facilmente invadidos por um grupo acadêmico que se dedicou a identificar as vulnerabilidades das redes domésticas. Existe solução? No momento, a segurança digital não acompanha a franca expansão da IoT e da automa- ção residencial. Annette Zimmermann, vice-presidente da empresa de pesquisas e consultoria Gartner, acredita que o setor ainda vai pegar embalo, e que as soluções de segurança digital vão acompanhar a expansão da rede. Mas admite que, no momento, a falta de segurança é um problema sistêmico na IoT residencial. Teremos, no mínimo, uma fase de transição turbulenta, enquanto as casas se tornam hiperconectadas. “Com a internet das coisas, vamos ter mais explorações de brechas de segurança. Vai ser um trabalho constante diminuir a frequência e o impacto desses ataques”, afirma Pedro Paulo Pérez, vice-presidente de segurança digital do Grupo Telefónica e CEO da ElevenPaths, unidade de segurança da companhia. As empresas podem se defender contra os ataques DDoS de diversas formas, que incluem melhorar a infraestrutura de suas redes e garantir a visibilidade completa do tráfego que entra ou saí. Isso pode ajudar a detectar ataques de DDoS, além de garantir que a empresa conta com suficiente capacidade e habilidade de mitigação. Por último, é necessário ter um plano de defesa contra os ata- ques de DDoS, mantendo-o atualizado e realizando testagens de forma periódica. Pense como uma simulação de um incêndio para a rede. Também é importante ter cuidado com os servidores Telnet. São os dinossauros do uni- verso digital e, como tais, devem ter sido extintos porque são muito mais vulneráveis e podem ser aproveitados de forma maliciosa. Nunca conecte um desses servidores a um dispositivo público. Os funcionários de um empresário e os usuários do sistema podem ser a maior linha de defesa contra a invasão cibernética ou podem ser a maior vulnerabilidade . Cabe aos líderes empresa- riais garantir que os usuários do sistema sejam informados e treinados sobre como navegar diaria- mente pelas operações da IoT de forma a salvaguardar a rede e os dados da empresa. Manter os usuários do sistema atualizados sobre as últimas ameaças e estratégias ajuda a garantir que os esforços de segurança da IoT sejam trazidos em círculo e permaneçam consistentes durante o ciclo de vida de uma empresa. A IoT vai exigir mais empenho das organizações porque, além de corrigir seus próprios produtos e serviços, empresas vão precisar pensar com a cabeça do usuário médio, sem tempo nem conhecimento para garantir sua própria segurança digital. Thiago Bordini, diretor de inteligência ciber- nética e pesquisa do Grupo New Space, explica que, até agora, não há padrões de segurança estabe- lecidos para os dispositivos domésticos. A maior parte das configurações é feita diretamente no equi- pamento e depende de ação do usuário. “Mas as pessoas não sabem que precisam configurar uma senha”, explica. Durante a entrevista, Bordini acessou o site Shodan, espécie de Google da internet das coisas. Procurou, no Brasil, por um modelo específico de TV inteligente. Em segundos, obteve a lista com o endereço de internet (IP) de 22 aparelhos. “Para sair da lista, é preciso mudar as configurações do equipamento”, indica. Especialistas vão ter muito trabalho educativo a fazer. Enquanto fabricantes de equipamentos e usuários tentam se adaptar, o setor de segu- rança digital antevê muito trabalho. Companhias tradicionais no ramo, como Symantec, McAfee e F- Secure, passaram a oferecer serviços específicos para IoT residencial. As estratégias englobam desde a oferta direta ao consumidor até a inclusão de recursos de segurança nos serviços de conexão, comu- nicação e entretenimento. “Esse modelo exige a parceria dos desenvolvedores com os provedores de serviços de internet e operadoras de telecomunicações”, explica Annette, do Gartner. As startups tam- bém estão no páreo e devem chacoalhar os modelos de negócios no ramo de proteção das casas co- nectadas. Entre as novatas, a especialista destaca a BitDefender, da Romênia, e a Cujo, de Los Angeles. Consideremos que os dispositivos IoT são como qualquer computador. Por isso, é neces- sário trocar (de imediato) a senha padrão e comprovar regularmente os patches de segurança. Use a interface HTTPS sempre possível, desligar o dispositivo quando não for mais necessário utilizá-lo, e também desativar outros protocolos de conexão (que não estejam em uso). Mesmo que essas medidas pareçam bastante simples, é assustadora a quantidade de pes- soas que optam pela conveniência em vez do sentido comum. Apenas a metade dos participantes em um questionário realizado pela ESET disseram que haviam trocado a senha do roteador. A dica para trocar a senha padrão dos dispositivos já foi destacada em muitas ocasiões. No entanto, é importante lembrar que embora possa guiar um cavalo até a água, não pode obrigá-lo a beber. Referências bibliográficas • https://www.welivesecurity.com/br/2017/03/17/ataques-a-iot/ • https://epocanegocios.globo.com/Tecnologia/noticia/2019/01/internet-das-coisas-o-maior- volume-de-dados-convida-mais-hackers.html • https://canaltech.com.br/hacker/internet-das-coisas-se-torna-alvo-facil-para-ataques-de- ycriptomineracao-119308/ • https://www.skillsit.com.br/blog/anatomia-de-um-ataque-internet-de-coisas-iot/ • https://www.kaspersky.com.br/resource-center/threats/ddos-attacks • https://canaltech.com.br/hacker/brasil-esta-entre-maiores-fontes-de-ataques-usando-inter- net-das-coisas-162317/ • https://forbes.com.br/principal/2019/08/as-tendencias-da-ciberseguranca-da-internet-das- coisas-para-2019/
Compartilhar