Como um pesquisador de segurança está trabalhando para proteger dispositivos IoT vulneráveis

Como um pesquisador de seguranca esta trabalhando para proteger dispositivos

Os fabricantes de dispositivos foram rápidos em capitalizar sobre o surgimento da Internet das Coisas (IoT) e as possibilidades do que poderia ser realizado se os chamados dispositivos inteligentes fossem capazes de se comunicar entre si. No entanto, enquanto trabalhavam para trazer esses dispositivos ao mercado rapidamente, muitos fabricantes de hardware não conseguiram protegê-los adequadamente, fazendo coisas como não encorajar ativamente os usuários a alterar as credenciais padrão de seus dispositivos. De acordo com Segurança Hoje, os especialistas estimam que 31 bilhões de dispositivos IoT serão instalados em 2020, o que pode deixar empresas e consumidores em risco de ataques.

Pesquisador de segurança principal em Tripwire, Craig Young dedicou seu tempo e esforços para proteger esses dispositivos e, se você tiver um dispositivo IoT, provavelmente, Craig o investigou. TechRadar Pro conversou com Craig sobre o que o levou a se tornar um pesquisador de segurança e também forneceu mais detalhes sobre suas recentes descobertas de um bloqueio inteligente vulnerável, bem como uma vulnerabilidade de privacidade de localização em dois dos produtos de consumo mais populares do Google.

Você pode nos contar um pouco mais sobre seu trabalho com a Equipe de pesquisa de vulnerabilidade e exposição (VERT) do Tripwire?

Meu trabalho como Pesquisador Principal de Segurança da VERT é incrivelmente multifacetado e eu regularmente uso vários chapéus durante a semana ou até mesmo o dia. Meu trabalho envolve ficar por dentro das tendências de segurança de baixo nível e ser capaz de pular de uma tecnologia ou função para outra a qualquer momento.

Além de escrever muitos testes de vulnerabilidade remotos para IP360, estou regularmente envolvido na orientação de políticas de segurança interna, bem como alguns aspectos relacionados ao design seguro de produtos Tripwire. Também passo muito tempo apenas lendo e experimentando. Isso me levou a meus próprios projetos de pesquisa, alguns dos quais acabaram sendo objeto de apresentações ou até aulas de conferências de segurança conhecidas, como Black Hat, DEF CON e SECtor.

O que o levou a deixar de ser engenheiro para ser pesquisador de segurança?

Seja explorando o COCOT (telefones públicos) no shopping como um pré-adolescente ou mostrando ao administrador do ensino médio como eu poderia acessar facilmente o sistema de notas, sempre fui atraído pelos aspectos de segurança da tecnologia e simplesmente tive a sorte de ser capaz de fazer disso uma carreira.

Quais são as maiores ameaças à segurança para dispositivos IoT atualmente e como os fabricantes de dispositivos podem tornar seus produtos conectados mais seguros?

A IoT apresenta muitos riscos, dependendo do aplicativo, mas em um nível geral, o maior risco da minha perspectiva é a possível desestabilização da Internet decorrente do comprometimento de um grande fornecedor de IoT. Um invasor que obtém acesso à infraestrutura de nuvem de um dispositivo IoT popular pode potencialmente enviar software malicioso para residências e escritórios em todo o mundo. O dano causado por um ataque sofisticado desse tipo poderia eclipsar o de Mirai ou mesmo de WannaCry ou NotPetya.

Smart Lock

(Crédito da imagem: Wikimedia)

Recentemente, você descobriu uma vulnerabilidade em uma marca popular de bloqueio inteligente. Você pode nos contar mais sobre o que descobriu e o que o levou a pesquisar a segurança do smart lock em primeiro lugar?

Nesta fechadura inteligente em particular, descobri que o fornecedor havia efetivamente deixado a porta aberta para os invasores. Especificamente, o agente de enfileiramento de mensagens em uso não exigia nenhum nome de usuário ou senha e permitiria que qualquer pessoa no mundo troque mensagens com qualquer bloqueio conectado à nuvem do fornecedor.

Conectando-me à nuvem do fornecedor anonimamente e, em seguida, desbloqueando meu bloqueio de teste, fui capaz de observar um token criptográfico para desbloquear a porta. Eu poderia então repetir esta mensagem para destrancar a porta. Eu também poderia enviar outras mensagens que impediriam alguém de destrancar a porta com o teclado ou leitor de impressão digital ou para manter seu aplicativo desconectado indefinidamente.

A maneira como descobri essa vulnerabilidade foi um pouco atípica. Em vez de começar com um produto específico e procurar vulnerabilidades nele, comecei considerando o protocolo MQTT comumente usado na IoT e procurando exposições de dados. Eu encontrei este fornecedor de bloqueio enquanto pesquisava dados indexados pelo mecanismo de pesquisa Shodan na Internet para endereços de e-mail e termos relevantes para a IoT. O servidor chamou minha atenção porque o Shodan havia realmente bloqueado várias centenas de endereços de e-mail que foram enviados para o Shodan como nomes de tópicos MQTT.

Como um hacker pode explorar um alto-falante inteligente para obter informações sobre seu proprietário e você acredita que esses dispositivos representam uma séria ameaça à privacidade dos usuários?

Um exemplo é descrito em meu pesquisa mais antiga. Nesse cenário, o invasor poderia obter uma localização geográfica precisa do alto-falante inteligente depois que qualquer pessoa conectada a essa rede carregasse conteúdo malicioso em um navegador da Web por meio de um link direto ou de um anúncio incorporado. O Google resolveu esse problema adicionando proteções para evitar ataques de religação de DNS.

Outros ataques que conheço tendem a se enquadrar em duas categorias principais: aplicativos maliciosos e envio de comandos de voz não autorizados. Na primeira categoria, vários grupos de pesquisa analisaram várias maneiras pelas quais um desenvolvedor malicioso pode ser capaz de espionar conversas que acontecem ao redor do alto-falante inteligente. A segunda categoria freqüentemente envolve técnicas físicas aplicadas que tornam possível interagir com o falante de fora de casa. A técnica mais eficaz a este respeito parece ser o uso de lasers para induzir som diretamente no microfone do dispositivo.

Pessoalmente, não estou muito preocupado com hackers explorando alto-falantes inteligentes. É importante estar atento sobre o conteúdo de terceiros que você habilita e qual acesso você dá ao alto-falante inteligente, mas no final do dia, com a geração atual de dispositivos, não estou muito preocupado com hacking malicioso individualizado. Estou muito mais preocupado com a probabilidade de que os próprios fornecedores explorem seu acesso a nossas casas, vendendo informações coletadas sobre nós para anunciantes ou mesmo para as autoridades.

Óculos na frente da tela do computador

(Crédito da imagem: Kevin Ku / Pexels)

De todas as vulnerabilidades que você descobriu, qual foi a mais interessante e por quê?

De uma perspectiva técnica, minha pesquisa sobre falhas criptográficas tem sido muito interessante. Em 2018, tive a oportunidade de ser co-autor de The Return of Bleichenbacher’s Oracle Threat (ROBÔ), juntamente com Hanno Böck e Dr. Juraj Somorovsky. Além das falhas técnicas profundamente interessantes que estávamos descobrindo, essa pesquisa exigia que identificássemos e coordenássemos entre uma longa lista de fornecedores afetados por uma divulgação em uma escala na qual eu não estava envolvido anteriormente. Isso também levou a um prêmio Pwnie na Black Hat naquele ano e me deu a oportunidade de explorar outros problemas de criptografia, como GOLDENDOODLE e Zombie POODLE, que eu divulguei em 2019.

IoT

(Crédito da imagem: Shutterstock)

Que conselho você daria a uma empresa que está pensando em adotar IoT ou outros dispositivos conectados?

Como acontece com qualquer adoção de tecnologia, as empresas devem pesar os benefícios potenciais contra os riscos potenciais. As organizações também precisam considerar esses investimentos dentro do contexto mais amplo de seus negócios e recursos operacionais. Os tomadores de decisão devem considerar os vários cenários hipotéticos para compreender totalmente o que estão se metendo com a IoT. Algumas perguntas a serem feitas incluem:

– O que acontece se o X ficar indisponível?

-O que acontece se os dados do X caírem nas mãos erradas?

– Um invasor neste sistema pode acessar ou interromper os recursos da empresa?

Além disso, há outras coisas a serem consideradas sobre o fornecedor e as precauções de segurança específicas que ele está tomando. Idealmente, os fornecedores devem ter estabelecido processos de design seguros, incluindo modelagem formal de ameaças, revisão de segurança externa e entrega de atualização autenticada. Infelizmente, esse tipo de informação geralmente não está disponível para a maioria dos consumidores, mas espero que no futuro existam organizações independentes avaliando fornecedores com base nessas e em outras métricas críticas.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *