IoT – Internet of Things… to be hacked (9 dicas para reduzir seus riscos com a “Internet das Coisas” em 2017)

O termo “IoT” (Internet das Coisas) parece ser apenas mais uma buzzword – principalmente quando estamos falando em (In)Segurança Digital -, mas o assunto é importante e precisa ser levado a sério.

Só pra ter uma idéia do tamanho do problema:

  • Em setembro de 2016, um ataque coordenado pelo malware “Mirai” direcionou o tráfego de 150.000 destas pequenas “coisas inteligentes” para um único ponto, gerando o primeiro ataque DDoS de 1Tbps já registrado.
  • A mesma técnica de ataque foi utilizada 1 mês depois, na ação que tirou do ar o provedor de serviços “DynDNS” e impactou boa parte dos acessos à CNN, Netflix, Amazon, Spotify, Twitter e Paypal.

Mas antes de sairmos por aí culpando indiscriminadamente a IoT, vale lembrar que o maior problema não é a tecnologia em si, mas o fato de estarmos tratando estes novos dispositivos da mesma forma como tratávamos os aparelhos de vídeo cassete na década de 80 (afinal, quem sabia programar e usava com frequência o agendamento de gravação daquela coisa?).

É preciso entender que estes novos dispositivos estão cada vez mais inteligentes, conectados e, em alguns casos, com um poder computacional maior do que seu próprio computador pessoal.
Não podemos negligenciar o poder de fogo e a presença massiva destes mini-servidores em nossas casas, escritórios, carros e até do nosso corpo, ignorando o fato de que o comprometimento de um ou mais destes dispositivos pode gerar um verdadeiro arsenal de guerra digital para hackers, além de expor nossas empresas, vidas e famílias de uma forma nunca antes percebida.

 

Antes de abordar mais detalhadamente este tema em posts futuros, aqui vão 9 dicas para tentar reduzir seus riscos com IoT em 2017:

1 – Antes de comprar qualquer novo produto inteligente, investigue a fundo o produto e o fornecedor.
Escolha cada novo produto como quem contrata uma babá para seu filho ou o segurança do seu prédio.
Faça uma pesquisa na Internet pela reputação e reclamações de usuários a respeito do fabricante e do produto que você pensa em comprar.
Avalie não só o que o produto promete fazer, mas a maneira como seu fabricante lida com as falhas de segurança. (Não existe nada 100% seguro, as falhas VÃO aparecer em algum momento. A questão é como o fabricante costuma lidar com isso).

2 – Troque todas as senhas padrões de seus dispositivos (principalmente as do seu roteador!).
As senhas que constam em manuais e guias de instalação são amplamente conhecidas para facilitar a instalação do produto, mas também são facilmente utilizadas por hackers para invadir e controlar seus dispositivos sem muito esforço.
Troque-as imediatamente durante a instalação e, se possível, lembre-se de trocá-las periodicamente.

3 – Mantenha seus dispositivos sempre atualizados, principalmente em relação às atualizações de segurança. 
Se possível, configure seus dispositivos para se atualizarem de forma automática. Caso contrário, crie o hábito de verificar e atualizar seus dispositivos periodicamente.
Se não tiver paciência para fazer isso toda hora, faça pelo menos uma vez ao ano, junto com uma revisão das senhas de acesso e configuração.

4 – Ao instalar novos dispositivos como câmeras IP, trate-as como se eles já estivessem comprometidos.
Tenha sempre em mente que, por mais que você siga as melhores práticas de segurança, sempre existe o risco do seu dispositivo ser invadido e controlado por alguém em algum momento.
Sendo assim, considere colocar câmeras de segurança em lugares estratégicos (corredores, varandas, portas de acesso) mas não tão sensíveis ao conteúdo (banheiros, quartos ou áreas privadas).
Lembre-se também que algumas câmeras captam som e registram imagens em infravermelho e, mesmo com a luz apagada, podem expor sua vida privada como um verdadeiro Reality Show.

5 – Desabilite recursos e conexões que você não estiver essencialmente utilizando.
Desabilite conexões sem fio que não estejam sendo usadas (WiFi, BlueTooth) e serviços como UPnP, Telnet, etc.
Se você não pretende utilizá-los de imediato, simplesmente desabilite. Você evita que alguém use aquele serviço desneessário sem sua autorização e ainda economiza energia.

6 – Segmente sua rede em diferentes zonas de confiança (perímetros).
Muitos roteadores (mesmo alguns caseiros) permitem a criação de VLANs diferentes, permitindo segmentar sua rede em mais de uma zona de rede.
Separe seus dispositivos IoT em uma ou mais zonas diferentes, protegendo os demais computadores ou serviços que contenham dados mais sensíveis.

7 – Quanto mais rápido e descomplicado for o acesso remoto, maiores as chances de estar inseguro.
Bastou abrir o browser e colocar o IP para acessar suas câmeras? Desconfie!
Quem instalou seu sistema de câmeras foi o fulaninho, ex-namorado da empregada da vizinha? Desconfie!!! (as vezes a tecnologia é boa, mas se quem instalou não se preocupou com segurança ou tinha segundas intenções, você está igualmente enrascado).

8 – Monitore e Controle seus dispositivos.
Esta dica é mais fácil de ser seguida em ambientes corporativos pois exige algum investimento de tempo e recurso para isso, mas o conceito é simples: “Onde há fumaça, há fogo!”. Monitore o tráfego e acompanhe o comportamento de seus dispositivos IoT em busca de anomalias a serem investigadas.
Mais importante do que achar que vai impedir todos os ataques do mundo, é detectar quando uma invasão estiver em andamento e interrompê-la antes de causar um impacto maior.

9 – Adicione “SEGURANÇA DIGITAL” como um item da sua lista de leitura habitual.
Esteja sempre por dentro das principais ameaças e tendências de segurança digital.
Você pode não querer se tornar um especialista no assunto, mas não fique totalmente alheio ao que pode estar acontecendo dentro de sua própria casa sem que você perceba.

Lembre-se: O assunto é importante mas não é de outro mundo.
É tudo uma questão de adaptação à nova realidade digital.

 

Para beber mais da fonte e saber ainda mais sobre o assunto:

Intel Security – Top Tips for Securing Home Cameras
Hackers in The House : Why your IoT devices may have already joined a botnet

How to Stop Your Home From Being Hacked
Hacking IoT Devices – Apresentação do Edgard Lima sobre o tema na FISL 2016
Hack All The Things: 20 Devices in 45 Minutes – Defcon 2014

 

1 Comment

  1. Michel Campillo   •  

    Observações de bom senso. Mas com a popularisação da Internet das Coisas, já estou imaginando quando chegará no mercado um monte de produtos IoT sem procedência confiável tipo ching ling. Nessa hora vamos chorar muito. Em relação a trocar as senhas padrões, me lembrei daquele sistema CFTV online com senha padrão 123456, bastava buscar no Google e dava para ver as filmagens de sistemas de câmeras de segurança internas de milhares de condomínios e empresas do mundo inteiro.

Deixe aqui seu comentário