A indústria da internet das coisas falhou conosco | max eddy

No fim de semana passado, a Internet dos EUA desacelerou devido a um ataque distribuído de negação de serviço, ou DDOS. Foi um ataque interessante por duas razões. Primeiro, os invasores - quem quer que sejam - não inundaram um único site com solicitações de lixo eletrônico, como é o MO habitual para ataques DDOS. Em vez disso, eles foram atrás do provedor de DNS Dyn, que fez com que vários sites desacelerassem ou parassem completamente as operações. Avisos sobre a centralização excessiva da infraestrutura DNS repentinamente se tornaram muito interessantes.

O segundo, e mais importante, é que uma parte considerável dos dispositivos envolvidos no ataque DDoS eram os chamados dispositivos inteligentes da Internet das Coisas. Geralmente, os invasores espalham malware por computadores que seguem o comando do invasor e simultaneamente solicitam informações dos sites até que o site fique travado sob a carga. Mas desta vez, o tremendo zumbi digital de zumbis incluía câmeras de segurança e roteadores sem fio.

O bule fez

No centro do ataque estava o Mirai, que não é um malware particularmente exótico. Ele procura por dispositivos conectados à Web em busca do que parecem ser dispositivos IoT movidos a Linux, aparentemente favorecendo câmeras de segurança e roteadores domésticos da Hangzhou Xiongmai Technology. Em seguida, procura a senha padrão em uma tabela e efetua login. Uma vez dentro, entrega o controle do dispositivo a um servidor central de comando e controle.

Embora esse ataque tenha sido chocante no que foi realizado, infelizmente não é nada que não vimos chegando. Na conferência da Black Hat em 2013, Craig Heffner demonstrou a capacidade de assumir facilmente as câmeras de segurança conectadas à rede. Sua demonstração incluiu empresas de grande nome que você reconheceria, incluindo D-Link, Linksys, Cisco, IQInvision e 3SVision. Quando perguntado sobre quais dispositivos eram vulneráveis ​​a ataques, ele disse que não havia encontrado uma marca que não pudesse ser controlada.

Para sua demo, Heffner levou a câmera a exibir um vídeo em loop, como em um filme de assalto. Mas a substância real de sua palestra era muito mais terrível. Dispositivos de IoT, como câmeras de segurança, chaleiras, geladeiras e sim, até os roteadores sem fio são apenas pequenos computadores conectados à Internet. Se os atacantes quiserem visar especificamente uma pessoa ou empresa, ele disse, eles podem atacar esses dispositivos mal defendidos e usá-los como cabeça de praia para explorar o resto da rede da vítima. E por serem pequenos computadores, eles podem ser persuadidos a executar o código que o invasor desejar.

Pense desta maneira: você pode comprar as portas mais fortes com as melhores fechaduras impermeáveis ​​para proteger sua casa, mas um ladrão ainda pode invadir as janelas.

IoT é diferente

No setor de segurança, gostamos de culpar as pessoas, não os computadores. Se as pessoas estivessem mais alertas, poderiam ter pegado o bug do Heartbleed antes mesmo de ser introduzido. Um ditado popular é que o maior ponto de falha em qualquer sistema de segurança é entre o computador e a cadeira. Caso em questão: o hack da conta do Gmail de John Podesta, presidente da campanha de Hillary Clinton - que nos apresentou sua receita de risoto, entre outras coisas - aparentemente começou com um golpe de phishing.

Mas no caso da segurança da IoT, os consumidores não podem ser responsabilizados da mesma maneira. Como proprietário de um carro, por exemplo, você deve ter cuidado ao dirigir e fornecer manutenção razoável. A empresa de automóveis, por sua vez, é obrigada a fornecer um produto que na verdade não o mata.

À medida que nossa sociedade mudou, as expectativas dos consumidores também mudaram. Os defensores dos consumidores apontam que alguns carros eram "inseguros a qualquer velocidade". E, como uma criatura em evolução, os carros surgiram novos apêndices: cintos de segurança, airbags e recursos menos óbvios, como zonas de dobra e materiais especialmente projetados para manter os consumidores razoavelmente seguros em um mundo em mudança.

O mesmo vale para a tecnologia do consumidor. A proliferação de software mal-intencionado e os perigos apresentados a qualquer dispositivo que apenas se conecte à Internet levaram os fabricantes a assumir um papel mais ativo na proteção dos consumidores. O Windows, por exemplo, agora é fornecido com antivírus instalado e mantido pela Microsoft. A empresa também emite patches regularmente, porque os desafios enfrentados pelos consumidores são muito complexos para serem resolvidos sozinhos.

Quando os smartphones começaram a decolar, fabricantes e desenvolvedores aprenderam com os testes dos anos do PC. Embora a segurança móvel tenha tido alguns problemas ao longo do caminho, tem sido uma caminhada em comparação com a história do PC. Não tivemos esse tipo de infecção generalizada em smartphones que vimos com o Conficker, e esperamos que nunca.

A história da IoT traçou um caminho diferente, talvez um que usasse um peixe dourado como navegador. Em vez de controlar o acesso ao dispositivo e empregar as melhores práticas aprendidas ao conectar bilhões de computadores e telefones ao longo de décadas, os fabricantes lançaram produtos baratos no mercado. Os que foram projetados, em alguns casos, para nunca serem reparados, atualizados ou corrigidos. E mesmo se os problemas pudessem ser resolvidos, é, sem dúvida, razoável esperar que os indivíduos tratem os dispositivos de economia de trabalho da mesma maneira que tratam os computadores. A grande maioria dos consumidores supõe, e com razão, que, se um dispositivo não possui uma tela ou algum tipo de método de entrada, não se destina a ser atendido por eles.

Isso não precisava acontecer

A parte mais frustrante do ataque recente de DDoS é que os fabricantes de IoT precisavam apenas olhar para 30 anos de tecnologia do consumidor para ver os escritos proverbiais na parede. E se eles não pudessem fazer isso, poderiam ter ouvido os avisos divulgados por pesquisadores de segurança (hackers corporativos e amadores). Essas pessoas disseram a qualquer um que quisesse ouvir como colocar bilhões de dispositivos na Internet sem considerar cuidadosamente como serão usados ​​é uma má idéia. Em 2014, Dan Geer abriu a conferência Black Hat dizendo que a IoT já está sobre nós e pode levar a problemas.

Apesar dos meus melhores esforços para permanecer cínico, a IoT parece inevitável e convincente. A ficção científica prometeu-nos falar de computadores e aparelhos futuristas por décadas, e talvez seja por isso que a previsão do Gartner de que existam 6, 4 bilhões de dispositivos conectados à Internet até 2020 seja viável. Esses dispositivos já estão em nossas casas: caixas de streaming, consoles de jogos, roteadores sem fio. Aos olhos de invasores e ataques automatizados, esses são apenas mais endereços IP a serem explorados.

À medida que avançamos em direção aos feriados e avançamos para uma nova geração de dispositivos de IoT, vamos colocar a segurança projetada para ser entendida pelos usuários na vanguarda. Se, até 2020, o melhor conselho que ainda tenho a oferecer às pessoas é desconectar seus dispositivos inteligentes, esse setor não merece sua reputação de inovação ou inteligência.