Um ano em análise:12 considerações de segurança de IoT

Do ponto de vista do consumidor, as maiores preocupações de segurança de IoT são a privacidade -relacionado. Uma família pode se preocupar com suas câmeras de segurança, o que pode dar a um estranho um vislumbre de sua casa. Ou que os dados coletados por seus alto-falantes inteligentes são vulneráveis.

Embora essas preocupações sejam legítimas, elas não se enquadram nos modelos de ameaças mais comuns ou representam os riscos de segurança de IoT mais significativos. Um invasor visando dispositivos IoT tem mais probabilidade de ver esses dispositivos como um meio para um fim. Talvez eles pudessem aproveitar muitos deles em um ataque distribuído de negação de serviço. Ou use-os como um ponto central para alcançar alvos mais valiosos na rede.

Em uma palestra recente na DEFCON em Las Vegas, Bryson Bort, o principal executivo da Scythe, presidente do GRIMM e consultor do Army Cyber ​​Institute em West Point lançou luz sobre algumas das tendências mais significativas no campo da segurança cibernética relacionada a IoT e sistemas de controle industrial no ano passado.

1 A atribuição de estado-nação está se tornando mais comum

Não muito tempo atrás, os grupos do crime organizado pareciam estar por trás da grande maioria dos ataques cibernéticos. Mas agora, os atores do estado-nação estão melhorando seu jogo - às vezes recrutando talentos do submundo cibernético.

O mais recente Relatório de investigações de violação de dados da Verizon mostra que o volume de violações atribuídas a grupos do crime organizado diminuiu consideravelmente desde 2015. Nesse mesmo período, a atividade afiliada ao estado aumentou.

À medida que o nível de atividade do Estado-nação aumenta, as tentativas de atribuir qual país está por trás de um determinado ataque também aumentam. Embora os pesquisadores de segurança cibernética muitas vezes se concentrem no lado técnico dos ataques, Bort disse que é essencial entender o papel das prováveis ​​motivações dos estados-nação em um determinado ataque.

2. Atacar dispositivos IoT como um ponto dinâmico é uma preocupação real

O risco de um invasor espionando você quando você sai do chuveiro por meio de uma câmera conectada à Internet é real. Mas esse tipo de violação não se alinha com os objetivos mais comuns dos atores da ameaça de ganho financeiro ou espionagem direcionada a corporações ou governos.

Uma ameaça mais significativa, no entanto, é o uso de dispositivos IoT para ataques laterais. Violar muitos dispositivos de IoT de commodities é relativamente trivial e fornece um ponto de partida para mais espionagem ou sabotagem.

O Centro de Resposta de Segurança da Microsoft relatou recentemente que observou um agente de ameaça visando “um telefone VOIP, uma impressora de escritório e um decodificador de vídeo”. A motivação aparente do invasor era obter acesso a uma variedade de redes corporativas. “Depois que o ator estabeleceu com sucesso o acesso à rede, uma simples varredura de rede para procurar outros dispositivos inseguros permitiu que eles descobrissem e se movessem pela rede em busca de contas com privilégios mais elevados que concederiam acesso a dados de maior valor”, o relatório explicado. A Microsoft atribuiu a atividade a um grupo que chama de “Strontium”, também conhecido como APT 28 do Fancy Bear. Acredita-se que o coletivo também tenha se envolvido no hack DNC em 2016.

3. Gapping de ar (ainda) não existe

Em teoria, uma rede com gap de ar é fisicamente isolada do resto do mundo, o que a torna imune a ataques que atravessam a Internet. Na realidade, as organizações que utilizam uma abordagem de segurança por obscuridade enfrentam um risco elevado de serem violadas. “Alguém já viu realmente uma lacuna de ar real?” Perguntou Bort. “Não, porque eles realmente não existem. Nem uma única vez em toda a minha vida de testes de caneta em ambientes de controle industrial [já vi um] ”, acrescentou.

O exemplo mais famoso de violação de um sistema supostamente air-gap é provavelmente o Stuxnet. Nessa violação, o invasor conseguiu obter acesso a uma rede dentro de uma instalação nuclear iraniana - provavelmente por meio de um pen drive.

4. O lado negro da energia verde é a segurança cibernética

O fato de a rede elétrica dos EUA ser vulnerável a um ataque cibernético ganhou notoriedade graças aos esforços de jornalistas experientes como Ted Koppel, cujo livro de 2015 “Lights Out” cobre esse assunto. Também em 2015, hackers supostamente russos conseguiram desligar temporariamente para cerca de 230.000 pessoas. Nesse ínterim, os jornais dos EUA publicaram uma série de artigos alegando que a Rússia tem como alvo a rede elétrica dos EUA. Mais recentemente, há revelações anônimas de que os Estados Unidos também têm como alvo os da Rússia.

A situação levanta a questão de por que os países em todo o mundo estão fazendo uso substancial da tecnologia da informação em suas redes de energia se ela apresenta uma série de novas ameaças.

Bort perguntou:“Por que simplesmente não voltamos ao analógico?”

Parte da resposta à pergunta é a energia verde. Uma série de fatores, desde pessoas em todo o mundo comprando veículos elétricos até a instalação de painéis solares em seus tetos, mudou fundamentalmente a equação para a distribuição de energia. Algumas décadas atrás, o fluxo de elétrons de uma subestação para um consumidor era unidirecional. Mas agora, os consumidores, por meio de fontes renováveis ​​como a energia solar, agora contribuem de forma intermitente com energia de volta para a rede. “Agora, preciso de computadores para lidar com a rede elétrica exponencialmente mais complexa”, disse Bort.

5. Os Estados-nação estão cada vez mais visando infraestrutura crítica

A guerra cibernética pode não ser nova, mas os estados-nações parecem estar intensificando seus esforços para visar os sistemas de controle industrial e a infraestrutura crítica dos rivais. Essa infraestrutura varia de urnas eletrônicas a infraestrutura de água e energia.

Em geral, os atores do Estado-nação com as divisões cibernéticas mais avançadas são os Estados Unidos, Reino Unido, Israel, Rússia, Coréia do Norte e Irã. O Vietnã provavelmente receberá uma menção honrosa, disse Bort. “No ano passado, vimos os vietnamitas conduzindo espionagem de estado-nação em um nível extremo.

No início deste ano, a Bloomberg relatou que “hackers do Vietnã‘ alinhados ao estado ’” têm como alvo empresas automotivas estrangeiras para apoiar as iniciativas de fabricação de veículos em crescimento do país.

6. Ataques cibernéticos ajudam a financiar países isolados

Em 2017, o The New York Times relatou que a administração Trump havia solicitado US $ 4 bilhões para ajudar a financiar armas cibernéticas para sabotar os sistemas de controle de mísseis da Coreia do Norte. O financiamento também apoiaria drones e jatos de combate para derrubar esses mísseis do céu antes que cheguem à costa dos Estados Unidos. A mesma publicação citou fontes anônimas alegando que uma campanha cibernética em andamento tinha como alvo os sistemas de mísseis do país desde pelo menos 2014.

A outra ruga dessa história é um relatório da ONU que divulga como a Coréia do Norte está ajudando a financiar seu programa de armas. Ele afirma que o país roubou US $ 2 bilhões em fundos de instituições financeiras e criptomoedas.

Bort disse que é provável que a Coreia do Norte tenha usado o financiamento para uma série de compras. “Ninguém se preocupa com a moeda [da Coreia do Norte]. Eles estão em uma economia fechada ”, disse ele. “Se o Caro Líder quer uísque e Ferrari, ele não pode comprá-los com a moeda local. Ele precisa de moeda forte ”, acrescentou. “Portanto, o motivo principal do ponto de vista cibernético é o roubo.”

7. Um único ataque cibernético pode causar centenas de milhões de dólares em danos

Em termos estritos, WannaCry e suas variantes não são explicitamente focados em IoT ou ICS. Mas o malware, que tem como alvo os sistemas operacionais Microsoft Windows, causou danos semelhantes em suas vítimas. WannaCry mostrou que um pedaço de malware pode atacar as operações do Serviço Nacional de Saúde do Reino Unido. O custo do malware para o NHS, que também levou ao cancelamento de 19.000 consultas, foi de £ 92 milhões. Enquanto isso, o primo de WannaCry, NotPetya, custou um conglomerado de remessa global entre US $ 200-300 milhões.

Depois que o malware foi introduzido na fábrica por meio de um fornecedor suscetível, a imagem de ouro da fábrica era tão antiga que não podia ser corrigida. Depois que a variante WannaCry foi implantada no ambiente, “ela comprometeu tudo que podia tocar e derrubou toda a planta”, disse Bort.

Embora os EUA tenham atribuído o WannaCry à Coreia do Norte, é improvável que o estado-nação pretendesse infectar a planta. “Era um fornecedor que tinha uma imagem infectada e a apresentou”, disse Bort. "Eu sei. É louco."

8. Trisis deve ser uma chamada de atenção

Como o WannaCry, o Trisis começou ostensivamente em 2017. Os invasores, que a FireEye acredita terem vínculos com a Rússia, usaram uma combinação de campanha de phishing e watering hole contra suas vítimas. Os invasores visaram primeiro o I.T. infraestrutura e, em seguida, movida lateralmente para seu O.T. rede, onde eles atacaram o sistema de segurança instrumentado em uma instalação de infraestrutura crítica. "Isso é um grande negócio", disse Bort. “Em sistemas de controle industrial, [o SIS está] operando os sensores e computadores, mudando as coisas no ambiente físico.”

Enquanto os controladores lógicos programáveis ​​calculam o que deve acontecer no ambiente físico para controles industriais, "eles são computadores burros", disse Bort. “Eu não preciso hackear um PLC. Tudo o que tenho a fazer é dizer a um PLC o que fazer. Eles não me validam. Eles não procuram autoridade. [..] “Isso é o que o SIS faz.”

Embora as primeiras vítimas de Trisis divulgadas estivessem no Oriente Médio, a CyberScoop relata que os autores do ataque agora têm como alvo a rede elétrica dos Estados Unidos.

9. Campanhas de infraestrutura crítica estão crescendo

Pode haver relativamente poucos exemplos para apontar onde vastas faixas de populações em todo o mundo foram afetadas por ataques cibernéticos baseados em infraestrutura crítica. Mas um número crescente de hackers está visando essa infraestrutura. “O principal ponto aqui com ataques de infraestrutura crítica é que se trata de campanhas de inteligência iterativas”, disse Bort. “Não temos muitas provas de que o que pretendia ser destrutivo. Mas definitivamente temos a prova dessa intenção de [entrar] na infraestrutura. ”

10. Ransomware tem potencial para visar dispositivos IoT

Os pesquisadores de segurança provaram a viabilidade de manter uma série de dispositivos IoT como reféns. Mas, embora o ransomware seja generalizado, os invasores que o implantam tendem a visar os dispositivos de computação tradicionais.

Bort prevê que nos próximos cinco anos, o ransomware se espalhará para novos domínios baseados em IoT. “Acho que em algum lugar do mundo alguém vai acordar de manhã e descer até o carro para trabalhar”, disse ele. “No segundo em que ligarem o carro, o sistema de infoentretenimento aparecerá com:‘ Ransomware:Envie 3 Bitcoins para ligá-lo. ’”

11. Em um mundo conectado, os fornecedores fazem parte do modelo de risco

No ano passado, a Bloomberg mexeu com a alegação de que a China se infiltrou na cadeia de suprimentos dos EUA ao comprometer um dos principais fornecedores mundiais de placas-mãe para servidores. A história foi contestada por vários líderes de grandes empresas de tecnologia mencionadas na história, incluindo SuperMicro, Apple e Amazon, bem como representantes do Departamento de Segurança Interna dos EUA e do Centro Nacional de Segurança Cibernética do Reino Unido.

Embora os fatos do artigo possam estar em questão, o chamado “viver da terra” é uma ameaça. “Os invasores não estão apenas trazendo suas próprias ferramentas para o jogo. Eles estão pegando o que já está lá naquele ambiente e usando contra você ”, disse Bort. “Qualquer coisa que diga respeito à sua infraestrutura faz parte do seu modelo de risco. Não é mais só você. "

12. Seus dados estão proliferando. É assim que é vendido.

“Você sabia que uma T.V. inteligente custa menos do que uma T.V. sem nenhuma funcionalidade inteligente?” perguntou Bort na sessão DEFCON. "Por que é que? Eles ganham dinheiro com sua telemetria e seus dados. ”

Um artigo de abril do Business Insider chega à mesma conclusão:“Alguns fabricantes coletam dados sobre usuários e vendem esses dados a terceiros. Os dados podem incluir os tipos de programas que você assiste, os anúncios que assiste e sua localização aproximada. ”

Algumas montadoras estão empregando táticas semelhantes, disse Bort. “Existem vários modelos em que os fabricantes de automóveis estão observando como e o que podem tirar de você quando você dirige.”

Um relatório para a Comissão de Revisão de Segurança e Economia dos EUA e da China expressou preocupação sobre o "acesso não autorizado a dispositivos IoT e dados confidenciais" do governo chinês, bem como a expansão da "autorização de acesso". O relatório explica:“O acesso autorizado [da China] aos dados de IoT dos consumidores dos EUA só crescerá à medida que as empresas chinesas de IoT aproveitem suas vantagens de produção e custo para ganhar participação de mercado nos Estados Unidos.”

Bort disse que muitos dispositivos IoT para consumidores enviam dados para a China. “Se você quiser realmente se divertir, conecte um dispositivo IoT em sua casa, verifique os pacotes e veja para onde eles estão indo”, disse ele. “Ainda não vi um único dispositivo que conectei não vai para a China. Agora, não estou sugerindo que isso seja nefasto ou malicioso. ” É típico desses dispositivos IoT enviar dados para o país. Ele perguntou:“Onde eles são feitos?”