Não deixe o software abrir um buraco perigoso nas redes de próxima geração e na IoT

Dmitry Kurbatov da Positive Technologies
Uma vez implantado, o negócio de gerenciamento de redes móveis costumava ser relativamente simples. Voz e texto tinham certa previsibilidade. Eventos especiais à parte, o uso desses dois serviços ocorreria dentro de um conjunto de parâmetros que a equipe de operações de rede voltada para o futuro poderia estimar com precisão suficiente para impedir a ocorrência de problemas.

Entre no admirável mundo novo da Internet móvel e com ele um novo conjunto de variáveis. As operadoras descobriram (às vezes às suas custas) que os usuários encontrariam uma maneira de surpreendê-los, seja com aplicativos pesados ​​de dados, tethering ou qualquer número de usos inesperados de conexão à Internet. A reação automática foi o estrangulamento de certos serviços, custos adicionais para usar a web móvel de certas maneiras ou, às vezes, bloqueio total, disse Dmitry Kurbatov, líder de segurança de telecomunicações da Positive Technologies .

O surgimento do mundo sedento de dados da IoT move esse problema para um mundo totalmente novo. Não apenas haverá as mesmas surpresas inesperadas, mas a promessa do 5G foi fortemente vendida como um conector universal. Uma vez que objetos inanimados agora consomem largura de banda, muitas vezes de forma ineficiente.

Felizmente, o darwinismo digital funciona nos dois sentidos. No espaço evoluiu o mundo novo e brilhante de NFV e SDN. Precisa de capacidade rapidamente ou deseja fornecer um novo serviço? Simples, clique aqui, arraste até lá e o problema está resolvido, certo?

Não exatamente. Embora o desenvolvimento de tal software sem dúvida facilite as coisas para as operadoras, ele também faz o que as pessoas da indústria de segurança cibernética mais temem, centralizando o controle de algo muito importante e conectando-o à internet. Esta é uma prática que cria um alvo para o hacker, um ativo que, com tempo e recursos suficientes por uma equipe criativa e bem equipada, pode ser explorado. Isso é algo que as empresas com grandes bancos de dados de clientes ou financeiros vêm aprendendo para seu próprio risco nos últimos anos. Colocar as joias do rei em um único baú o torna um alvo.

Compreender essa mentalidade é a primeira etapa crucial para proteger qualquer rede. Em segundo lugar, e tão importante, é realmente fazer algo a respeito. Isso parece óbvio, mas as equipes de segurança e operações de rede são bombardeadas com um milhão de tarefas enquanto se preparam para fazer a transição para sua rede recém-virtualizada, cada uma delas uma prioridade e absorvendo recursos limitados conforme os prazos passam rapidamente em uma velocidade assustadora.

Obter uma visão externa da segurança é vital aqui. Aqueles que estiveram envolvidos em seu planejamento e implantação são inatamente tendenciosos. Isso não é uma crítica, nenhuma equipe no meio de uma implantação tecnológica complexa não vai conseguir enxergar a madeira para as árvores. Dar a alguém de fora a responsabilidade de quebrar coisas pode ser um aprendizado valioso. Como mencionado anteriormente, o conhecimento da mentalidade do hacker é uma ferramenta defensiva valiosa - então, empregar uma equipe com a missão específica de encontrar problemas pode ser uma grande surpresa.

Esta equipe deve ter a liberdade de auditar tudo, desde o código que está sendo usado em áreas críticas de sua implantação até avaliar a visibilidade de sua rede "de fora". Muitas operadoras presumem que têm visibilidade zero da Internet mais ampla, mas nem sempre é o caso em nossa experiência. Às vezes, apenas um ponto de acesso visível ou conexão configurada incorretamente é tudo o que é necessário para criar um perfil de ataque. Pense nisso como uma fenda em sua armadura.

Isso vale para todas as interconexões de rede. A infraestrutura móvel subjacente, com base em protocolos SS7 desatualizados ou em seu antecessor mais recente, Diametre, está cada vez mais deficiente. As vulnerabilidades técnicas na infraestrutura subjacente oferecem aos invasores uma porta aberta para entrar. Uma vez dentro, não é um grande número de etapas laterais para um invasor ter acesso a pontos de controle centrais cruciais.

A suposta dificuldade de um invasor em obter acesso físico a esses pontos foi usada anteriormente para difundir o espectro desse risco específico. No entanto, obter acesso a um gateway é cada vez mais fácil por meio do mercado negro, ou pode até mesmo ser obtido diretamente por meio de equipamento portador hackeado ou femtocélulas.

Não sendo de medo, incerteza e dúvida, evitarei delinear os cenários apocalípticos que tais fraquezas podem causar em um mundo onde tudo está conectado. Eu nem vou fingir que sou capaz de adivinhar os múltiplos. Basta dizer que basta caminhar pelo Mobile World Congress para ver a abundância de dispositivos muito importantes que, em última instância, dependerão da conectividade móvel de alguma forma. Agora imagine alguém sobrecarregando maliciosamente áreas críticas ou desviando capacidade para outro lugar, e o impacto fala por si.

Software e virtualização são bons para a indústria móvel em geral. Ajuda os operadores a serem mais eficientes e a abraçar a inovação, ao mesmo tempo que reduz o OPEX. No entanto, eu recomendaria às redes móveis que não se precipitassem neste mundo utópico sem considerar as implicações de segurança. Executar algumas etapas relativamente simples antes da implantação e manter o monitoramento contínuo pode ser a diferença entre construir algo especial e apenas criar outro ponto de risco.

O autor deste blog é Dmitry Kurbatov, líder de segurança de telecomunicações da Positive Technologies