Conteúdo


Anatomia de uma ataque de malware de IoT

Como evitar que seus dispositivos de IoT entrem na legião de bots zumbis

Comments

Seus dispositivos de IoT estão sofrendo ataques! (Bocejo)

Sim, eu sei. Já faz um bom tempo que eu ouço falarem sobre o grau de insegurança dos dispositivos de IoT. E, francamente, eu acabei parando de prestar atenção aos ataques de malware de IoT. Isso não é nenhuma novidade... E, além disso, esse é o tipo que coisa que só acontece com os outros, certo?

Errado. Se você tem dispositivos de IoT em sua rede residencial e/ou corporativa, talvez isso já tenha acontecido com você. E, se ainda não aconteceu, é quase certeza que acontecerá. O mais assustador é que talvez seus dispositivos já tenham sido atacados e já estejam comprometidos. E talvez você nem saiba.

Agora eu ganhei sua atenção? Ótimo. Então, qual o tamanho do problema? Em neste estudo de 2015 da HP 100% dos dispositivos de segurança de IoT residencial testados tinham vulnerabilidades "significativas" e todos os dispositivos testados provavelmente fazem parte de qualquer casa inteligente atualmente: TVs inteligentes, termostatos residenciais, webcams, fechaduras inteligentes e muito mais.

As vulnerabilidades incluíam senhas fracas, falta de criptografia quando o dispositivo se comunicava na rede e enumeração de conta (ou seja, o uso do recurso de reconfiguração de senha para encontrar IDs de conta de usuário válidos).

Isso é realmente assustador. E por que os dispositivos de IoT são alvos tão frequentes de hackers e de legiões de bots, como os que lançaram Ataques Distribuídos de Negação de Serviço (DDoS) contra o blogger de segurança Brian Krebs em 20 de setembro e o provedor de DNS dos EUA Dyn em 21 de outubro de 2016?

Se você estiver no ponto em que eu estava antes de pesquisar esse assunto a fundo, você terá perguntas:

  • Como um dispositivo de IoT é por dentro?
  • Como é um ataque de malware de IoT?
  • O que fazer para proteger os dispositivos de IoT contra ataques?

Neste artigo, vou responder essas perguntas.

Anatomia de um dispositivo de IoT

Para entender o que deixa os dispositivos de IoT vulneráveis para ataques, vale a pena analisar a fundo o que acontece por trás deles.

Provavelmente você já tem uma boa ideia do significado do termo "dispositivo de IoT", mas apenas para nos alinharmos, vou definir o termo da maneira em que vou usar neste artigo.

Um dispositivo de IoT é um dispositivo com propósito definido, que se conecta por conexão wireless a uma rede para transmitir e receber dados por essa conexão wireless a fim de monitorar ou controlar uma "coisa" (que eu vou chamar de Coisa daqui para frente).

Hardware do dispositivo de IoT

Para entender o núcleo de um dispositivo de IoT, precisamos entender as principais características do hardware subjacente que faz com que os dispositivos de IoT funcionem:

  • Aquisição e controle de dados
  • Processamento e armazenamento de dados

Basicamente, os dispositivos de IoT contêm sensors, atuadores ou ambos. Os sensores adquirem dados e os atuadores controlam os dados ou executam ações nos dados.

  • Os sensoresmonitoram Coisas e fornecem dados sobre a Coisa, seja a temperatura, a intensidade da luz ou o nível de bateria.
  • Os atuadorescontrolam a Coisa por meio do hardware no dispositivo, como os controles em um termostato inteligente, o botão de intensidade de luz de uma lâmpada ou os motores de engrenagem em um aspirador robótico. Os atuadores representam a interface física com a Coisa que a faz "executar uma ação", seja para ativar o aquecimento, diminuir a intensidade da luz ou enviar o aspirador robótico para o carregador.

Todos os dispositivos de IoT têm uma maneira de processar dados do sensor, armazenar esses dados localmente (caso seja necessário) e fornecer a energia de computação que faz o dispositivo operar.

Se os dados de vários sensores precisarem ser coordenados ou se os dados precisarem ser armazenados na memória flash (por um motivo qualquer) essas ações serão executadas pelo componente de processamento de dados do dispositivo de IoT.

Firmware do dispositivo de IoT

Os websites do firmware que executa um dispositivo de IoT é o software integrado que fica entre o hardware e o mundo externo e, geralmente, cai em uma das duas categorias a seguir: firmware embarcado ou firmware baseado no sistema operacional (baseado no SO).

Firmware embarcado

Os dispositivos de IoT têm uma restrição de recursos, portanto, geralmente eles usam o firmware embarcado desenvolvido de forma customizada, que é outro termo para o software que é executado no dispositivo. Em muitos casos, a única solução com custo reduzido para fabricantes de dispositivos é envolver programadores com um entendimento profundo de hardware para escrever o firmware embarcado para interagir com o hardware.

Os engenheiros de software embarcado precisam executar dois trabalhos. Além do firmware embarcado, eles também escrevem o software para interagir com o hardware, juntamente com o software do aplicativo que fará interface com o usuário do dispositivo, por exemplo, a interface para configurar o software de aplicativo.

Firmware baseado no SO

Como os dispositivos de IoT ficaram "mais inteligentes" (ou seja, mais complexos) — mais sensores, maior processamento de dados, mais recursos de armazenamento e assim por diante — a demanda por softwares mais complicados para gerenciar e explorar os novos recursos também aumentou.

Assim como os primeiros computadores, que tinham o firmware carregado do ROM para executar as funções básicas do computador, evoluíram para um sistema operacional como o MS-DOS, os dispositivos de IoT estão amadurecendo de uma maneira semelhante. Agora, um dispositivo de IoT provavelmente executa um sistema operacional (SO) que fornece uma camada de abstração entre o hardware e os outros softwares que são executados no dispositivo.

Ao fornecer uma abstração do hardware subjacente por meio do software de aplicativo do dispositivo, o sistema operacional de IoT permite uma divisão do trabalho familiar. Os engenheiros de software embarcado (que entendem o hardware) agora podem passar o tempo escrevendo drivers de dispositivo e os programadores de aplicativos (que não precisam entender do hardware a fundo) podem passar o tempo escrevendo softwares que fazem o dispositivo ficar "inteligente".

Uma opção de SO popular para vários fabricantes de dispositivos é o Busybox, uma versão reduzida do sistema operacional UNIX que contém muitos dos utilitários mais comuns, tem uma área de cobertura muito pequena e fornece diversos recursos do UNIX em um único executável.

Comunicação wireless do dispositivo de IoT

Geralmente os dispositivos de IoT precisam se comunicar por conexão wireless, o que significa que eles podem estar em qualquer lugar da casa ou da empresa. As necessidades de comunicação do dispositivo mudam dependendo de como ele é projetado para trabalhar.

Alguns dispositivos são projetados para trabalhar fazendo uma conexão wifi 802.11 com o roteador. Assim, o dispositivo pode acessar a Internet. Uma câmera de segurança ativada por movimento é um exemplo comum desse tipo de dispositivo, que usa o wifi porque precisa de uma quantia considerável de largura da banda.

Alguns dispositivos são indicados para trabalhar como parte de grupo de dispositivos de IoT. Por exemplo, um sensor de janela aberta/fechada conectado a um dispositivo de gateway de casa inteligente (às vezes, chamado de hub) usa um protocolo de wireless como Z-Wave ou Zigbee (ou um entre meia dúzia de outros) para que ele possa relatar que a janela foi aberta.

Gerenciamento de dispositivo de IoT

É possível gerenciar o dispositivo de IoT de duas maneiras: é necessário conectar o dispositivo à rede (provisionamento) e, após a conexão, será possível monitorá-lo e controlá-lo. Vou explicar isso melhor abaixo.

Provisione o dispositivo

Muitos dispositivos de IoT (principalmente os pequenos como sensores de temperatura) não têm um hardware de interação com o usuário integrado, como uma tela touch, e são chamados de dispositivos "sem interface com o usuário". Uma maneira de configurar dispositivos sem interface com o usuário é usar o Wifi Protected Setup (WPS), que requer um dispositivo ativado para WPS e um roteador ativado para WPS. No cenário mais simples possível, você pressiona o botão WPS no dispositivo de IoT e, em seguida, pressiona o botão WPS no roteador e, assim, os dois dispositivos são conectados.

Alguns dispositivos criam um ponto de acesso wifi ao qual é possível se conectar usando um smartphone para acessar um programa de configuração e inserir as credenciais da rede wifi.

Outros dispositivos, como gateways, procuram e incluem os dispositivos detectados que estejam no modo de configuração ou de emparelhamento. Basta configurar o gateway para que ele tenha acesso à Internet, orientá-lo a detectar outros dispositivos e seguir as instruções específicas dos dispositivos para colocá-los no modo de emparelhamento para que possam se conectar ao gateway.

Monitore e controle o dispositivo

Depois que o dispositivo estiver conectado à rede, será possível monitorá-lo e controlá-lo. Uma maneira de controlá-lo é usando um smartphone, seja conectado diretamente a um gateway (dentro de casa, por exemplo) ou por uma interface com um serviço de nuvem.

Alguns dispositivos, como as câmeras de segurança CCTV, conectam-se diretamente à Internet e têm endereços IP dedicados. Esses dispositivos podem ser acessados diretamente pela Internet, sem precisar de um provedor de serviço de nuvem ou de um gateway.

Muitos dispositivos de IoT são instalados em casas ou empresas, mas são expostos diretamente à Internet por meio da modificação do firewall para permitir o encaminhamento de porta. Isso permite que o dispositivo seja facilmente acessado de qualquer lugar na Internet para que possa ser monitorado e controlado.

Segurança do dispositivo de IoT

Por último, temos a segurança. Isso mesmo. Por último. Infelizmente, este é o único grande problema com os dispositivos de IoT: a segurança geralmente é a última parte. Ela é pensada por último.

Eu entendo. É difícil criar um dispositivo confiável, com restrição de recursos, que possa se conectar a uma rede wireless, usar muito pouca energia e, ainda mais importante, que seja barato (para o consumidor). Como há muito a ser feito apenas para produzir um dispositivo funcional, é compreensível que a segurança seja a última questão a ser considerada no ciclo de vida de desenvolvimento.

É importante destacar que há vários fabricantes no mercado que levam a segurança muito a sério, mas seus dispositivos geralmente são mais caros. Esse é o preço que se paga.

Portanto, agora existem todos esses dispositivos baratos, digo, com preço acessível ou com custo reduzido na rede com um nível muito baixo de segurança. Isso, meus caros, é um ataque de malware de IoT esperando para acontecer.

Anatomia dos ataques de malware de IoT

Temos ouvido muito sobre "malware de IoT", mas o que isso realmente significa? Deixe-me explicar em detalhes, começando com o invasor.

O invasor

Quem são essas pessoas? A resposta curta (e insatisfatória) é: ninguém sabe ao certo.

Neste artigo, o renomado especialista em segurança Bruce Schneier diz que com base na escala dos ataques recentes, os perpetradores provavelmente não são ativistas, pesquisadores nem criminosos.

De acordo com Schneier, os ataques são projetados para testar as defesas dos alvos, empregando diversos vetores de ataques e fazendo com que o alvo do ataque empregue todas as suas defesas no processo. Schneier diz que os ataques executados cuidadosamente são características de agentes do estado (órgãos do governo). Isso é assustador, mas esperamos que o Schneier esteja exagerando um pouco.

De qualquer maneira, ainda não está claro quem são invasores, mas uma coisa está clara: trata-se de hackers inteligentes e equipados. Não os subestime.

O fornecedor de ataques

Para qualquer tipo de ataque (malware ou outros), o invasor precisa atingir uma área de ataque, que é definida como a soma total de todas as vulnerabilidades do dispositivo. Quando o invasor identifica a área de ataque e se familiariza com ela, ele a identifica como um vetor de ataque, que é um caminho que o invasor pode usar para explorar o dispositivo e fazer com que ele execute ações diferentes daquelas para as quais foi criado.

Vamos analisar alguns vetores comuns de ataque de dispositivo de IoT.

Senhas fracas

Apesar da baixa prioridade da segurança no ciclo de vida de desenvolvimento do dispositivo, os fabricantes desejam que o dispositivo seja fácil de instalar e usar. Eles sabem que muitos usuários finais de dispositivos de IoT geralmente não têm capacitação técnica. Para que o dispositivo seja fácil de instalar e usar, o fabricante fornece uma maneira simples de efetuar login no dispositivo, como uma combinação única de ID do usuário e senha.

Essa simplicidade cria três problemas:

  1. Depois que o dispositivo é instalado, a grande maioria dos usuários acaba não seguindo as orientações e deixando as credenciais de login do dispositivo inalteradas.
  2. Depois que o dispositivo é enviado, o ID do usuário e a senha padrão são incluídos na lista de explorações conhecidas desse dispositivo.
  3. Os fabricantes continuam a usar combinações fáceis de ID do usuário/senha (por exemplo, admin/admin, usuário/usuário e assim por diante) ou criam novas combinações igualmente simples, que entram rapidamente nas classificações de vetores conhecidos.

Falta de criptografia

Como infelizmente a segurança geralmente é pensada por último no ciclo de vida de desenvolvimento de dispositivos de IoT, os recursos de segurança, como a criptografia, geralmente são subestimados ou nem mesmo são considerados. O mercado está exigindo a a criptografia integrada, como coprocessadores de criptografia que possam manipular a criptografia e a autenticação em dispositivos de IoT. Ao projetar e criar aplicativos de IoT, proteger os dados na rede (com técnicas de criptografia de dados) precisa fazer parte do design.

Infelizmente, muitos dispositivos de IoT não suportam criptografia, o que significa que é necessário realmente se dedicar ao investigar os dispositivos que você pretende usar como parte da solução geral para assegurar-se de que eles forneçam criptografia.

Backdoors

Alguns fabricantes de dispositivos de IoT inserem mecanismos de acesso "ocultos" em seus dispositivos, chamados backdoors. O fabricante faz isso propositalmente para facilitar o suporte ao dispositivo. Mas na realidade, isso também pode abrir a porta de entrada para os hackers. Embora a maioria dos usuários não tenha o conhecimento técnico necessário para abrir uma backdoor, para um hacker, isso é brincadeira.

Não há motivo para preocupação, pois, quando uma backdoor é descoberta, o fabricante se desculpa e libera imediatamente uma atualização de firmware para fechá-la. Certo? Talvez você ache que sim. Mas, infelizmente há inúmeras histórias como esta, em que um fabricante sabe que uma backdoor foi descoberta, mas em vez de removê-la, ele apenas dificulta ainda mais o acesso (ou acha que dificulta).

Na maioria dos casos, a backdoor é um ID do usuário e senha ou uma porta aberta no dispositivo (que você não pode fechar). Chamar isso de "backdoors" é um erro. Para um hacker, trata-se de portas de entrada bem abertas. Fáceis e simples.

Exposição na Internet

Sempre que um dispositivo for exposto na Internet— significando que ele aceitará tráfego de entrada— ele estará sofrendo ataques. Isso eu garanto.

Considere este exemplo do meu trabalho. Eu arrendo vários servidores virtuais que uso para executar websites e deixo a porta 22 aberta permitindo a entrada com SSH. Com apenas as regras de firewall padrão, esses hosts estão sob ataque constante. Como em centenas de tentativas de login por hora! Obviamente, eu executo iptables para configurar as regras em cada um dos servidores que gerencio para bloquear endereços IP de logins com falha por tempo suficiente para enfraquecer os ataques com script. Agora, eu vejo "somente" de 5 a 10 logins com falha de todas as partes do mundo por hora.

Meu ponto é este: exponha qualquer coisa na Internet e isso será atacado. E, diferentemente de um servidor fortalecido no qual é possível controlar o firewall e o modo de acesso ao host, a maioria dos dispositivos de IoT têm uma segurança fraca ou inexistente e são especificamente suscetíveis a ataques.

Mas, espere, tem mais...

Como você pode ver, os dispositivos de IoT estão repletos de vulnerabilidades. Senhas fracas, somadas à exposição direta do dispositivo e às backdoors fazem com que os dispositivos de IoT sejam opções fáceis até mesmo para os hackers menos sofisticados (chamados de "script kiddies").

Você acha que somente os agentes de estado e os hackers mais sofisticados têm as aptidões necessárias para hackear seu dispositivo de IoT? Pense direito.

O Projeto Aberto de Segurança em Aplicações Web (OWASP) tem um subprojeto chamado IoT Attack Surface Area Project, no qual há uma lista de possíveis vulnerabilidades na área de ataque de IoT.

O ataque

Você já viu como um invasor entra no dispositivo de IoT, agora vamos falar sobre o ataque em si.

Para começar, o objetivo de um ataque a um dispositivo de IoT é assumir o controle do dispositivo e usá-lo de acordo com a vontade do hacker. Portanto, o ataque ocorre em duas fases: a fase de verificar e assumir o controle e a fase de iniciar o ataque. Essas duas fases geralmente são executadas por um programa de comando e controle (CNC).

Verificar e assumir o controle

O programa CNC verifica os endereços IP na Internet buscando hosts com portas abertas e, quando encontra um, tenta efetuar login usando um conjunto de combinações conhecidas de ID do usuário/senha padrão (por exemplo, admin/admin, raiz/admin, usuário/usuário e assim por diante).

Quando o login é bem-sucedido, um script é executado relatando o endereço IP do dispositivo, juntamente com as credenciais de login a serem usadas. Em seguida, o programa CNC envia o malware para o dispositivo que ele precisa para executar o ataque. Agora o dispositivo está pwned, e espera novas instruções do CNC para iniciar o ataque.

O programa de verificação de ataque continuará esse processo, assumindo o controle do máximo de dispositivos que puder. Cada dispositivo com controle assumido é chamado de bot.

Ninguém sabe ao certo quanto tempo se passa entre o momento em que o dispositivo de IoT se torna um bot e o momento em que ele é usado em um ataque. Podem se passar horas, dias, semanas ou meses até que um bot entre em ação. Durante esse período, o proprietário do dispositivo geralmente não sabe o que se passa.

Início do ataque

Um único dispositivo de IoT geralmente não é muito poderoso, portanto, um único bot não é uma ameaça muito grande. Mas crie uma legião de bots trabalhando juntos em rede para atingir um propósito comum e... Tome cuidado! Esse tipo de ataque de botnet é composto de centenas, milhares e até centenas de milhares de bots, todos sob o controle do hacker. Assustador.

O invasor geralmente usa seu exército de botnet com um ou dois objetivos: ataques de DDos ou bots de spam.

  • Uma Ataque de Negação de Serviço (DoS) é criado para prejudicar um host alvo enviando uma enorme quantidade de tráfego de HTTP (e outros) até que ele não consiga manipular o volume. Por fim, o host alvo deixa de responder, ficando inativo.

    Em vez de originar-se de um único computador poderoso (ou de um cluster de computadores), um Ataque de Negação de Serviço (DDoS) origina-se de vários computadores host (milhares ou centenas de milhares). No caso de um ataque de botnet de IoT, os computadores host são a legião de dispositivos de IoT. O alvo não tem chance.

  • Bots de spam estão abastecendo o mercado de spam. Há muito dinheiro envolvido no mercado de spam. Os administradores de sistemas gastam grandes quantidades de tempo e energia para incluir na lista de bloqueio as retransmissões de spam conhecidas, esperando que apenas uma fração dos e-mails de um spammer consiga entrar nas caixa de entradas.

    Mas e quando parece que o spam foi enviado de um endereço IP que não está incluído na lista de bloqueio? Um dispositivo de IoT em execução na rede da vovó por meio do roteador da vovó? Perfeito! É improvável que o endereço IP da vovó apareça em uma lista de bloqueio. Além disso, se a TV inteligente da vovó for apenas um dos centenas de milhares de bots que estiverem enviando spam, imagine o pesadelo administrativo de tentar descobrir quais desses endereços IP devem ser incluídos na lista de bloqueio!

Quando um invasor tem um exército de botnet à sua disposição, ele tem um oceano de pequenos dispositivos que podem ser usados para criar uma sobrecarga assustadora de tráfego da Internet ou enviar spam para o mundo todo.

Exemplos recentes de ataques de malware de IoT

Aqui estão alguns dos ataques de malware de IoT recentes dos quais talvez você tenha ouvido falar.

Mirai

Esse é um ataque de Busybox. Ele funciona procurando hosts na Internet com uma porta 23 aberta (Telnet) e usando um vetor de senha fraca para ganhar acesso a dispositivos que estejam executando o Busybox. Depois de entrar, o malware é instalado, entra em contato com o servidor CNC e fica esperando novas instruções. Ao atacar, o servidor CNC do Mirai instrui todos os bots sob seu comando a iniciarem uma sobrecarga de vários tipos de tráfego, sobrecarregando o host alvo.

O Mirai é, provavelmente, o ataque mais conhecido e (à medida que se mostra) o mais usado para infectar dispositivos de câmera de CCTV para realizar seu trabalho. O Mirai é diferente por vários motivos:

  • Ele contém uma lista de servidores que "não pode tocar", incluindo General Electric, Hewlett Packard e o Departamento de Defesa dos EUA.
  • O autor do Mirai, conhecido apenas como como "Anna-senpai" no Hack Forums lançou o código-fonte em 30 de setembro de 2016.

O Mirai atacou em várias ondas principais. O primeiro ataque foi no site do blogger de segurança Brian Kreb em 20 de setembro de 2016. Outro ataque ocorreu em 21 de outubro de 2016 contra o Dyn, um provedor de DNS dos EUA, que interrompeu o Netflix, um serviço de transmissão popular, juntamente com o Twitter, o Airbnb e outros.

O pesquisador de segurança Robert Graham do blog Errata Security apresentou uma análise do ataque na Conferência de Segurança RSA de 2017 em São Francisco, CA, EUA.

Brickerbot

A empresa de segurança Radware foi a primeira a avisar sobre um possível ataque que ela chamou de "Brickerbot", em 4 de abril de 2017.

Outro ataque baseado em Busybox, esse malware inutiliza o dispositivo, daí o nome.

Nesse tipo de ataque, conhecido como ataque de Negação de Serviço Permanente (PDoS), o Brickerbot faz isso por meio de uma série de comandos de Busybox que limpam tudo no armazenamento interno do dispositivo usando o comando rm do UNIX, juntamente com comandos que reconfiguram o kernel e, por último, reinicializam o dispositivo (agora inutilizável).

Mais tarde, em abril, um hacker "gray-hat" cujo ID do usuário no Hack Forums é "Janit0r" alegou ser o autor do malware, dizendo em um post do HackForums que o vírus foi direcionado aos "fabricantes pouco cuidadosos" de dispositivos que podem ser atacados com tanta facilidade. É possível ler mais sobre isso aqui.

Bots de spam

Os e-mails são as veias dos spammers, cujos objetivos reais são direcionar o tráfego para os websites de seus clientes por meio de e-mails com assuntos persuasivos, conteúdo obsceno e assim por diante (conhecidos como caça-clique). As táticas empregadas para caçar cliques em um link variam ("Perca 45 kg em uma noite! CLIQUE AQUI AGORA!" ou "Ganhe um iPhone gratuito. CLIQUE AQUI AGORA!").

Toda a estratégia depende se o e-mail chegará na sua caixa de entrada. O principal problema que os spammers têm é enviar e-mails que não sejam capturados nos filtros de spam, que muitas vezes usam "listas de bloqueio" de endereços IP do servidor Simple Mail Transport Protocol (SMTP) conhecidos por serem usados por spammers (como retransmissões abertas).

No entanto, se um spammer conseguir usar um proxy que pareça legítimo para seu servidor SMTP — chamado de proxy de soquete seguro — cujos endereços IP não estejam incluídos nas listas de bloqueio (lembra-se da TV inteligente da vovó?), os e-mails de spam terão uma chance maior de encontrar seu alvo (mas, mesmo assim, a pessoa não vai ganhar um iPhone gratuito, lamento).

O vírus Linux.ProxyM é um Cavalo de troia de carga útil secundária, que entra em funcionamento depois que o cavalo de troia infecta o computador. Como? Desta maneira: você é atraído a clicar no link de "Ganhe um iPhone gratuito agora!" e concorda em instalar o "plug-in simples do iPhone gratuito" (o cavalo de troia inicial), que infecta o computador. Nesse ponto, o script entra em ação, verificando se há dispositivos de IoT vulneráveis. Quando encontra um, ele usa a exploração de credencial fraca, que agora você já conhece, para ganhar acesso.

Depois que o acesso ao dispositivo é obtido, ele é infectado com a carga útil secundária que contém o malware real que promove o ataque. Esse malware conecta-se a um servidor CNC que fornece uma lista de endereços de e-mail e um servidor SMTP. Nesse ponto, agora agindo como um proxy de soquete seguro, o dispositivo envia e-mails de spam sob o comando do servidor CNC.

Como proteger seus dispositivos de IoT

Como é possível impedir que os dispositivos de IoT sejam infectados? Primeiramente, você não permite que eles sejam infectados. Eu sei... Esse foi um conselho muito útil.

Se você já tem dispositivos implementados, tenho uma notícia boa e uma ruim. A má notícia é que se os dispositivos estão expostos diretamente à Internet (como descrevi anteriormente), na melhor hipótese eles já foram analisados e na pior, já foram transformados em bots.

A boa notícia é que a maioria dos malwares de IoT reside na memória, portanto, enquanto o dispositivo está ligado, o malware está ativo. Reinicialize o dispositivo e o malware será eliminado.

Brincadeiras à parte, o melhor ainda é evitar que os dispositivos sejam infectados. Aqui estão algumas dicas, consideradas óbvias.

Sempre altere as senhas padrão

Ao provisionar um novo dispositivo, sempre mude a senha padrão. Isso parece muito simples, mas na hora de configurar tudo rapidamente para poder brincar com o dispositivo — quero dizer, usá-lo para uma função útil — é fácil acabar pulando essa etapa fundamental. Não pule essa etapa!

Entre na interface de gerenciamento e mude a senha. E se não houver uma maneira de fazer isso e você quiser expor o dispositivo na Internet, devolva o dispositivo. É possível ser otimista e torcer para que o dispositivo não seja transformado em um bot, mas os escritores de malware adoram pessoas otimistas.

Remova dispositivos com backdoors Telnet

Os fabricantes podem se considerar inteligentes por inserir essas backdoors, mas não são. Elas podem facilitar o suporte para o fabricante, mas a que custo para você?

Um dispositivo com uma backdoor Telnet aberta deve ser removido da rede, mas como saber? Existem verificadores de dispositivos de IoT como este da BullGuard, que verificam um mecanismo de procura de IoT chamado Shodan para revelar se os dispositivos estão vulneráveis com base no endereço IP do computador no qual a verificação se origina. Observe: como regra básica, somente verifique seus próprios endereços IP ou endereços IP dos quais você tenha permissão do proprietário para verificar!

Aqui está uma verificação que eu executei em meu computador.

Figura 1. Verificação de endereço IP público bruto do BullGuard
BullGuard scan of my raw public IP address
BullGuard scan of my raw public IP address

Se a verificação for semelhante a esta, é possível que haja um problema:

Figura 2. Verificação do BullGuard mostrando possíveis problemas
BullGuard scan of my VPN IP address
BullGuard scan of my VPN IP address

Nunca exponha um dispositivo diretamente à Internet

Ao encarar a questão de expor ou não expor um dispositivo à Internet abrindo o firewall, a resposta certa é sempre não.

O BullGuard fornece uma maneira de realizar uma "verificação profunda" buscando portas abertas em seus endereços IP expostos publicamente designados pelo seu ISP. Assim, eu pude verificar se havia portas abertas em meu roteador. Fiquei aliviada de ver que não havia.

Figura 3. Verificação profunda do BullGuard do meu endereço IP público bruto
BullGuard deep scan of my raw public IP address
BullGuard deep scan of my raw public IP address

Execute verificações de porta em todas as suas máquinas

Ok, então verificadores como o BullGuard podem proporcionar a tranquilidade de saber que seu endereço IP está fechado.

Eu usei o Mac Network Utility para executar uma verificação de um dos hosts virtuais que arrendei para ver quais portas estavam abertas.

Figura 4. Verificação do Mac Network Utility
Mac Network Utility scan
Mac Network Utility scan

Esses resultados não foram uma surpresa para mim. Esse servidor virtual hospeda um website, executando o Apache, com um backend Tomcat AJP e acesso SSH para propósito administrativo.

Conclusão

Neste artigo eu mostrei uma análise detalhada da anatomia de um dispositivo de IoT. Em seguida, mostrei a anatomia de um ataque de malware e alguns ataques de malware que ficaram famosos. Por último, mostrei como proteger os dispositivos de IoT mudando as senhas padrão e executando verificações de endereços IP.


Recursos para download


Temas relacionados


Comentários

Acesse ou registre-se para adicionar e acompanhar os comentários.

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=80
Zone=Internet of Things
ArticleID=1054410
ArticleTitle=Anatomia de uma ataque de malware de IoT
publish-date=12042017