IoT: “The Internet of Threats”

Já há alguns anos que assistimos à utilização da IoT para lançar ataques de disrupção de serviço (DDoS) em larga escala. O exemplo mais famoso terá sido a utilização de câmaras de CCTV pelo malware Mirai, que há cerca de cinco anos acabou por provocar um dos maiores ataques de DDoS conhecidos e que, com a disponibilização posterior do código fonte, permitia que qualquer pessoa pudesse criar o seu ataque com base nesse código.

A utilização de dispositivos associados à IoT para criação de botnets com fins maliciosos tem sido uma prática recorrente, servindo, na maioria dos casos, para consumar ataques de disrupção de serviço. No entanto, existem várias outras utilizações da IoT igualmente com fins menos lícitos.

Começando pelo princípio… o que é a “Internet das Coisas”? Trata-se de um conceito com origem num laboratório do MIT, que designa a ligação de dispositivos à Internet e que, segundo a Gartner, deverá ultrapassar os 30 mil milhões de dispositivos em utilização, ainda em 2021. Como dispositivos poderemos imaginar uma infinidade de variantes, tais como câmaras, televisores, frigoríficos, wearables, automóveis, etc.. De uma forma geral, a “Internet das Coisas” refere-se a dispositivos que fornecem uma interface entre o mundo virtual e o físico.

Só no que concerne à adoção de dispositivos wearable, e ainda segundo a Gartner, estima-se que a sua utilização irá gerar quase 100 mil milhões de dólares durante este ano – um aumento de quase 20% relativamente ao ano passado. Com esta variedade de dispositivos vem também uma enorme quantidade de dados e, em muitos casos, dados confidenciais.

Do ponto de vista da cibersegurança. existem então dois vetores que importa ter em conta no que respeita à IoT: por um lado, é importante evitar que estes dispositivos sejam usados para consumar crimes; por outro lado, devemos também evitar que os dados recolhidos por estes dispositivos sejam expostos com intuitos maliciosos.

Tendo em conta o primeiro vetor, tem existido alguma falta de cuidado ao nível da cibersegurança quando são configurados equipamentos que estão ligados à Internet. O exemplo mais frequente é a utilização de passwords que vêm “por defeito” com os equipamentos de fábrica.

Apenas como exemplo, foi amplamente divulgado o ataque a um casino norte americano usando como porta de entrada o termómetro do aquário. O vulgar “admin/admin” é sobejamente conhecido e basta usarmos algumas das ferramentas mais comuns para rapidamente identificarmos milhares de equipamentos com as configurações de fábrica “por defeito”. Neste ponto há que realçar que um bom programa de gestão de patches, “higienização” dos equipamentos, bem como formação aos técnicos que os instalam, poderão seguramente contribuir para uma Internet mais segura.

Quanto ao segundo vetor, é importante realçar que muitos destes wearables estão, por vezes, ligados a redes corporativas, o que, por si só, potencia vulnerabilidades que vão muito além dos dados pessoais. Os wearables ligam- -se frequentemente ao smartphone, que se liga às mais variadas redes, incluindo as empresariais. Independentemente desta eventual ligação a redes corporativas, estes dispositivos possuem uma enorme quantidade de dados, muitos deles pessoais, como sejam registos de saúde.

Estes dados são muitas vezes transferidos para soluções na Cloud, o que por si só acarreta também novos riscos.

A IoT é concebida primariamente para ser funcional e não para ser segura. E isto acontece porque a adição de uma camada de segurança implica normalmente maior necessidade de processamento, maior consumo de energia, maior complexidade e mais custos, por exemplo, fazendo com que essas preocupações fiquem para mais tarde. No entanto, tal como temos visto no passado, deixar a segurança para mais tarde poderá implicar um custo muito maior do que se for pensada de início.

Mesmo com todos os benefícios que lhe estão associados, a IoT aumenta de forma muito significativa a superfície de ataque e a exposição a novas ameaças. A minimização destes riscos fica por isso dependente da correta utilização da tecnologia, por um lado, bem como da escolha do parceiro tecnológico que permita atingir esse objetivo.

Conteúdo co-produzido pela MediaNext e pela Claranet