<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=633097343493783&amp;ev=PageView&amp;noscript=1">
canal-comstor-logo
O blog dos negócios de TI.
Comstor Americas
  • Transformação Digital e oportunidades para revendas de TI na educação
  • 7 benefícios da videoconferência: colaboração e comunicação a favor de bons negócios
  • 14 dicas de marketing para revendas de TI
  • Transformação Digital e oportunidades para revendas de TI na educação
  • 7 benefícios da videoconferência: colaboração e comunicação a favor de bons negócios
  • 14 dicas de marketing para revendas de TI

Mudar senhas de dispositivos da IoT não impedirá novos ataques

Publicado em 19/jan/2017 5:00:00

Todo o mercado precisa urgentemente traçar estratégias para tornar os dispositivos IoT e as redes mais seguras.

Mudar senhas de dispositivos da IoT não impedirá novos ataques

A Internet das Coisas deixou de ser apenas um conceito e sua aplicabilidade já extrapolou os usos planejados para os dispositivos com essa característica. Isso porque em outubro de 2016, dispositivos de Internet das Coisas foram usados de forma massiva durante ataques DDoS (de negação de serviço) para formação de botnets que derrubaram diversos servidores da Internet, interrompendo o serviço de gigantes como Twitter, Netflix, Spotify, Airbnb, Reddit, Etsy, SoundCloud e até mesmo o The New York Times.

 

Para realizar o ataque gigantesco, que chegou até 1 Tbps, o maior do tipo já registrado até então, os hackers usaram uma botnet composta de dispositivos IoT, principalmente câmeras e outros equipamentos de vídeo conectados à internet. Por meio de um software chamado Mirai, que usa malware de e-mails de phishing para infectar desde um único computador até uma rede doméstica, o malware foi distribuído automaticamente para todo tipo de dispositivo IoT, formando a rede criada para procurar na internet dispositivos com pouca ou nenhuma segurança embutida.

 

De acordo com a empresa Symantec, esse tipo de ataque tende a crescer consideravelmente e se multiplica devido a problemas – ou até mesmo a falta - de segurança em dispositivos IoT, tornando-os alvos fáceis de serem violados por malwares pré-programados com senhas padrão de uso comum, tais como “admin” ou a famosa sequência “1234”. O próprio criador do Mirai disse posteriormente que, usando apenas as combinações de logins e senhas comuns como os citados, foi suficiente para se conectar a 380 mil dispositivos.

 

12 previsões para o futuro da Internet of Everything

 

Uma vez que os ataques tendem a crescer, o problema não pode ser solucionado apenas com a troca de senhas. A situação exige um esforço de toda a indústria e culpar apenas os usuários não vai ajudar a encontrar uma solução eficiente.

 

Dessa forma, é preciso que os fabricantes de dispositivos assumam a responsabilidade de proporcionar um ambiente seguro para a IoT, em um esforço que envolve toda a cadeia, sobretudo no que tange a instalação, conexão e integração que um dispositivo possa ter com outros dispositivos ou aplicativos, como roteadores Wi-Fi e serviços em Nuvem. Atualmente, quando um dispositivo qualquer é levado para casa, ele é adicionado à rede doméstica. As formas de sua configuração e as exigências de segurança irão estabelecer, a partir daí, segurança e privacidade desse dispositivo ao longo de seu uso.

 

No entanto, os próprios fabricantes ainda não implementaram nesse processo muitas práticas ou padrões de segurança. E é aqui que entra a atuação de toda a indústria no sentido de determinar de forma mais contundente uma série de práticas e tecnologias de segurança para o ciclo de vida desses dispositivos. Abaixo, estão listadas algumas estratégias para tornar o dispositivo IoT e as redes mais seguras:

 

- Troca de senhas padrões: embora a troca de senhas, como dito, não elimina os riscos, assegurar-se de que todas as senhas padrão sejam trocadas por senhas fortes é um passo importante, uma vez que os nomes de usuário e senhas para a maioria dos dispositivos IoT podem ser facilmente encontrados na Internet, tornando-os vulneráveis.

 

- Atualizar dispositivos IoT: sempre que patches de segurança para os dispositivos estejam disponíveis, é preciso fazer a atualização, já que um dispositivo com configuração desatualizada é um alvo fácil para hackers;

- Desabilite o Universal Plug and Play (UPnP) em roteadores;

 

- Atenção na aquisição/compra: ao adquirir dispositivos IoT, verifique se eles são de empresas que tenham uma reputação boa ao fornecer a tecnologia. Isso pode refletir no preço, mas é mais uma orientação de atenção à segurança;

 

- Utilização de tokens: ao invés de utilizar apenas senhas quando um dispositivo for adicionado à rede, pode-se exigir uma configuração por meio do uso de tokens. Uma vez que os novos aparelhos se conectem à Internet de forma “inteligente", geralmente por meio de uma rede Wi-Fi, a senha  nesse caso é empurrada para o dispositivo e armazenada. Isso torna difícil oferecer personalizações de acesso à rede para dispositivos diferentes.

 

Por isso, fornecer um token de segurança para o dispositivo seria uma alternativa que seria usada na autenticação para o roteador Wi-Fi. No caso dos dispositivos que também precisam se conectar à Nuvem, poderia ser usada essa alternativa. Com o modelo de token OAuth, as pessoas não seriam obrigadas a distribuir suas senhas para uma conta ser conectada a um dispositivo. O dispositivo não vê a senha, mas usa uma credencial de token para autenticar cada vez;

 

- Soluções que avancem para mecanismos que eliminam a necessidade de autenticação baseada em senha: para tentar mitigar os riscos associados ao uso de senhas como opção única de autenticação, a indústria de TI vem, de forma geral, trabalhando em algumas soluções, como OAuth, OpenID Connect e Fast IDentity Online, soluções que complementam ou eliminam a necessidade de autenticação baseada em senha. O mesmo deve ser feito para IoT. Já despontam, nesse sentido, iniciativas de grupos que começam a padronizar protocolos de comunicação dispositivo a dispositivo, mas que precisam, no entanto, oferecer um salto para proporcionar mais segurança na autenticação e autorização. Por exemplo: assim como computadores se comunicam através de HTTP, esses dispositivos conectados podem usar protocolos mais apropriados às suas limitações, baseando-se em um modelo OAuth para esses outros protocolos.

 

Como vimos, o cenário é bastante nebuloso quando se trata de segurança digital, sobretudo dos dispositivos IoT. A principal recomendação – e ação – é ser tão rápidos quando os cibercriminosos, o que se configura em um desafio para as indústrias fornecedoras de soluções de segurança.

 

Fontes:

http://www.darkreading.com/endpoint/changing-iot-passwords-wont-stop-attacks-heres-what-will/a/d-id/1327416?

http://cio.com.br/tecnologia/2016/10/24/ataques-provenientes-de-multiplas-plataformas-iot-devem-se-intensificar/

https://seginfo.com.br/2016/10/18/como-o-uso-de-logins-e-senhas-padrao-facilitou-a-criacao-de-uma-botnet-de-dispositivos-iot/

http://itforum365.com.br/noticias/detalhe/121919/ataques-ddos-baseados-em-internet-das-coisas-manual-de-sobrevivencia

 

Categorias: Internet das Coisas