4 Desafios de segurança de IoT que enfrentamos em 2015

À medida que a Internet das Coisas (IoT) e os dispositivos conectados ganham popularidade e tração rapidamente, a segurança vem ganhando destaque. Já se foram os dias em que a segurança era uma questão secundária para dispositivos “inteligentes”. Hoje, os problemas de segurança estão na vanguarda das mentes dos desenvolvedores. Os desenvolvedores estão sendo treinados para lidar com os desafios de segurança da IoT e mais informações estão sendo divulgadas na comunidade Blackhat sobre a exploração desses tipos de dispositivos. Há até uma subconferência no Blackhat 2015 que terá como objetivo extrair, analisar e, para todos os efeitos, hackear dispositivos IoT com o objetivo de treinar desenvolvedores como prevenir vulnerabilidades de segurança IoT.

No Link Labs, sentimos que há quatro desafios de segurança importantes enfrentados pela comunidade IoT em 2015 , e nós os resumimos aqui.

VER TAMBÉM: Os 2 Hows Of IoT Security

1. Dispositivos habilitados para Wi-Fi estão sendo adicionados em redes locais (LAN) sem a segurança adequada.

Esta é a maior ameaça à segurança da IoT. Quando pontos de extremidade baseados em TCP / IP são permitidos em uma LAN sem protocolos de segurança de nível corporativo implantados, há um grande risco envolvido.

Para ilustrar como isso pode (e acontece) com produtos IoT, imagine que alguém comprou um dispositivo com um módulo Wi-Fi que pega seu aquário normal e o torna um aquário “inteligente”. Se alguém adquire este produto e o permite em sua LAN, agora eles permitiram um endpoint potencialmente malicioso atrás de seu firewall.

Aqui está o problema:firewalls e NATs são a primeira linha de defesa da rede contra ataques diretos de host e, se você adicionar algo dentro de sua LAN, já estará atrás do firewall. Uma vez que este dispositivo de tanque de peixes inteligente é instalado, ele pode alcançar e se conectar a servidores maliciosos. Esse processo é conhecido como “túnel reverso”, porque o dispositivo dentro do firewall pode fazer uma conexão de saída por meio do firewall e abrir uma conexão de soquete mais facilmente do que uma conexão de entrada. Os firewalls não bloqueiam a maioria das solicitações de saída, uma vez que seria difícil usar a maioria dos aplicativos de outra forma.

Software ruim não é o único desafio aqui - pessoas ruins também podem estar em jogo. Em outras palavras, os criadores do tanque de peixes inteligente podem ter más intenções e podem querer explorar todas as redes em que puderem colocar as mãos. Os produtos IoT simplesmente não têm o benefício de uma segurança robusta de sistema operacional (SO). A maioria dos principais sistemas operacionais - como os criados pela Apple e Microsoft - torna muito difícil para alguém explorar um sistema, mesmo de dentro de uma LAN. Isso não significa que não possa acontecer regularmente, mas é mais difícil. Mas com os produtos IoT - já que a maioria está executando um sistema operacional menos sofisticado - a única coisa em que os consumidores podem confiar é que as pessoas que lhes venderam o dispositivo habilitado para Wi-Fi o fizeram com boas intenções.

2. Existem problemas com capacidade de atualização e correção de endpoints de IoT.

Uma das coisas boas sobre os sistemas operacionais Mac e Windows é que eles são completamente configurados e atualizados regularmente. Ambos têm capacidade de atualização automática, portanto, quando o sistema operacional do seu computador precisa ser reparado devido a uma vulnerabilidade de segurança, ele pode entrar em contato e ser atualizado ou "corrigido" automaticamente.

Com os dispositivos IoT, cabe às empresas que os venderam ter um mecanismo para qualquer tipo de vulnerabilidade de segurança relacionada a patch. O problema é que isso pode ou não acontecer. Este não é um problema novo, mas é um problema, no entanto. (Na verdade, a indústria de equipamentos de rede lidou com - e ainda lidar com - o mesmo problema, pois às vezes os roteadores, etc., têm vulnerabilidades que não são corrigidas antes que haja um problema de segurança.)

Neste artigo da VentureBeat, o autor Michael Coates diz que “a implantação de patch eficaz é um grande problema” para a IoT. Ele explica que algumas violações de segurança passarão despercebidas, mas outras serão descobertas - e os consumidores exigirão uma solução. Ele continua explicando como um cenário como este pode se desenrolar - e por que é preocupante:

“Nessas situações, um fabricante pode se esforçar para emitir um patch. Mas e daí? Como o patch é realmente entregue ao dispositivo? Todos os clientes serão solicitados a reiniciar seu forno, carro ou marca-passo e navegar por um processo de atualização? Ou o software atualizado estará disponível apenas na próxima versão do produto físico? Isso significaria que os clientes não teriam patches até que comprassem uma nova torradeira, monitor de bebê, etc. Infelizmente, um dos nossos desafios atuais com a IoT é que, mesmo que um patch seja lançado, não há um canal eficaz para alcançar a maioria dos dispositivos em tempo hábil. ”

O que se resume a isso:quanto mais coisas são adicionadas a uma LAN, maiores são as preocupações com a segurança. Ainda temos esperança de que a indústria crie algum tipo de padrão em torno das expectativas de patches de segurança para dispositivos IoT.

3. Surgiram problemas em torno da proteção do acesso físico.

Voltemos ao exemplo de nosso aplicativo de tanque de peixes inteligente. Os consumidores muitas vezes não consideram isso, mas com qualquer dispositivo físico, há uma chance de que um hacker possa manipulá-lo e entrar em portas USB expostas ou em uma interface de depuração. Se alguém for capaz de hackear com sucesso no nível embutido na memória de um dispositivo IoT e puder ler a chave de criptografia, todo dispositivo que é ou foi enviado se torna vulnerável. Este é um problema real tanto para os consumidores quanto para a indústria como um todo.

4. Há muito entusiasmo de desenvolvedores e consumidores.

Como há uma imprensa tão frequente e intensa em torno da Internet das Coisas, há uma urgência entre as empresas de chegar ao mercado com seus dispositivos IoT mais rapidamente. Enquanto o hype atual está, por um lado, empurrando a inovação para a frente, também está colocando os desenvolvedores em um cronograma apertado. Quando o tempo é essencial e todos os esforços são centrados em uma implantação rápida, a segurança pode se tornar algo secundário. Quando isso acontece, os dispositivos IoT podem chegar ao mercado com criptografia ruim, sistemas operacionais sem correção e muito mais.

Você pode ver como a segurança da IoT se tornou sua própria disciplina e é uma questão tão importante quanto a segurança de rede padrão. A IoT deixou o “estágio inicial” de desenvolvimento e, com sua popularidade dominante, vem a responsabilidade de manter as informações do consumidor seguras. Os desenvolvedores de produtos e consumidores estão, e precisam estar, levando essas questões a sério.