IoT não segura, vulnerabilidades ilimitadas

Todos nós já ouvimos a frase “vivemos em um mundo hiperconectado”. Temos acesso a vastos estoques de informações e aplicativos por meio de um dispositivo em nosso bolso. Cada vez mais nossos dados pessoais e até biométricos estão sendo ativamente processados ​​na nuvem para fornecer informações sobre como nossos corpos funcionam.

No entanto, a Internet das Coisas (IoT) não está isenta de desafios. Ao colocar mais dispositivos online (dando a eles um endereço IP e tornando-os endereçáveis), estamos aumentando ativamente a área de superfície de um mundo hackeável.

O crescimento explosivo da IoT foi combinado com um crescimento explosivo no abuso de dispositivos. Os dispositivos conectados que nos encantam com o conhecimento sobre nossos hábitos e padrões têm a capacidade de minar nossa privacidade, sitiar nossa identidade e, nos casos mais extremos, causar danos físicos reais por meio de guerra cibernética.

Canal de feedback da IoT

O Gartner previu que 322 milhões de dispositivos vestíveis seriam vendidos em 2017. O enorme salto de 48% em relação a 2015 se deve em parte à popularização da tecnologia vestível como estilo de vida. À medida que a tecnologia é integrada ao nosso cotidiano por meio da rotina, ou como hábito, estamos sendo transformados em máquinas geradoras de micro-bio-dados.

Os dispositivos e sua conectividade vão desde os muito pequenos até coisas com telas e recursos interativos. O que provavelmente não estamos pensando é na infinidade de dispositivos necessários para ter um canal de feedback.

De que serve uma medida se você não pode vê-la ou aprender o que ela significa? Esses dispositivos estão gerando uma tonelada de e-mail transacional por meio de nossos telefones e outros monitores de “saída” para que percebamos o valor de medir nossa atividade diária.

As mensagens geradas por e-mail e IoT apresentam oportunidades únicas para phishers e fraudadores.

Cada fluxo de e-mail gerado por um novo wearable precisa ser protegido porque o phishing está definitivamente em ascensão.

De acordo com o APWG (Anti-Phishing Working Group), os ataques de phishing aumentaram 65% entre 2015 e 2016.

Conexões Infinitas

Eventos em minha casa geram e-mails e notificações push me alertando sobre movimento ou quando meu dog walker traz meu cachorro para casa depois de uma brincadeira no parque. À noite, milhões de pessoas usam um Fitbit para dormir, para que possam monitorar, registrar e analisar seus padrões de sono.

Os brinquedos infantis estão sendo supercarregados com recursos digitais, animatrônicos, e podem ser acessados ​​remotamente para maior interatividade por meio de Bluetooth e outros padrões de comunicação.

Meu fogão sous vide tem uma conexão wi-fi e bluetooth para que ele possa dizer ao meu telefone se a temperatura do banho-maria mudar ou quando estiver pronto para a comida ser imersa. O GPS do meu iPhone, combinado com uma cinta no peito, se transforma em um rastreador de treino total do corpo que registra minha rota no Strava e o quanto sofri subindo o terreno montanhoso da Bay Area.

Segurança Marginal

Cada dispositivo adicionado à crescente IoT é essencialmente capaz de coletar e transmitir informações de identificação pessoal (PII). Os fabricantes desses dispositivos estão se movendo rapidamente para tentar introduzir dispositivos cada vez mais inteligentes e cada vez mais sensíveis que vão da biometria à automação residencial e conectividade automotiva. No entanto, todos esses dispositivos apresentam novos riscos e desafios de segurança no que já é um ambiente inseguro.

Talvez o compromisso mais famoso de um dispositivo do tipo IoT não tenha sido um dispositivo IoT, mas sim uma rede air-gapped. O vírus Stuxnet paralisou uma instalação de enriquecimento nuclear iraniana – um vírus de computador na verdade causou danos maciços no mundo físico. Stuxnet foi um exemplo de guerra cibernética que só imaginávamos possível nos filmes. Em uma escala menor, mas infinitamente mais tangível, foi o vazamento de milhões de gravações de voz de crianças e seus pais por meio de um ursinho de pelúcia conectado.

Cada dispositivo IoT é essencialmente um endpoint que pode ser acessado via API ou algum outro meio para enviar e receber informações.

O que é extremamente atraente para phishers e hackers é a natureza dos dispositivos IoT: sempre ligados e aproveitando a conexão mais rápida disponível.

Cada dispositivo exige que o endpoint seja seguro para garantir que não possa ser comprometido e absorvido por uma botnet capaz de montar um ataque DDoS ou outras formas de conteúdo malicioso. Como a maioria dos dispositivos é fabricada no exterior, há pouca ou nenhuma supervisão sobre como esses dispositivos são construídos ou os tipos de serviços executados neles.

Maior conscientização

Organizações preocupadas com a segurança, como a Arbor Networks, estão minerando dados de honeypot para medir a atividade de exploração em torno da IoT. Da mesma forma, o Messaging, Malware, Mobile Anti-Abuse Working Group (M3AAWG) está começando a levar muito a sério as ameaças implícitas em uma sociedade exponencialmente conectada.

Em abril de 2017, o M3AAWG anunciou um novo grupo de interesse especial de IoT para coordenar os esforços dos membros na resolução de problemas de abuso de dispositivos IoT comprometidos. O novo grupo de interesse especial desenvolverá diretrizes e processos de reputação para fabricantes de dispositivos, além de aumentar a conscientização sobre os perigos da IoT não segura.

Segurança em primeiro lugar

Assim como os submarinos, e sua caracterização de “correr em silêncio, em profundidade”, a IoT, como um subsetor de tecnologia em expansão, precisa colocar a segurança na vanguarda da marcha em direção a uma fabricação de dispositivos mais inovadora. Não há dúvida de que a IoT está enriquecendo nossas vidas. Todos podemos concordar que, do telefone celular aos relógios e rastreadores de condicionamento físico, todos somos um pouco mais inteligentes por causa disso - no entanto, os protocolos e políticas de segurança precisam acompanhar o ritmo.

Como resultado, as mensagens precisam ser protegidas como parte da proteção geral dos dados que esses dispositivos estão enviando diariamente. A IoT aumentou a quantidade de dados que nos sentimos confortáveis ​​em abrir para o mundo exterior e nosso nível de conforto com a externalização de detalhes sobre nossas rotinas. Mas, ao mesmo tempo, precisamos garantir que os maus atores não entrem e usem esses dados contra nós.

Se você quiser saber mais sobre outros golpes específicos de e-mail e como você pode se proteger, confira Phishing, Doxxing, Botnets e outros golpes de e-mail: o que você precisa saber.