A F-Secure encontrou múltiplas vulnerabilidades nas câmeras Foscam IP que permitem que os dispositivos sejam controlados por um invasor. E o problema é muito maior do que apenas uma marca e modelo.
A Internet das Coisas está aqui. E com isso surgem grandes possibilidades no mercado com a economia de custos e maior eficiência. Mas há um lado sombrio para este novo mundo deslumbrante e pode ser resumido no que chamamos de Lei de Hypponen: Se é inteligente, é vulnerável.
A F-Secure e outras empresas de segurança estão descobrindo as vulnerabilidades em “coisas” conectadas à internet o tempo todo. E recentemente a Lei de Hypponen foi provada mais uma vez, com a descoberta de múltiplas vulnerabilidades dentro de duas câmeras de segurança IP feitas pela fabricante chinesa Foscam. Conforme detalhado no relatório (disponível aqui), a F-Secure identificou 18 vulnerabilidades diferentes nas câmeras que, se exploradas, permitem que um invasor adote o controle total dos recursos destes dispositivos.
Isso não é nada novo – todos ouvimos histórias sobre hackers espionando vítimas inocentes. Mas o que não deve ser esquecido é que este dispositivo não é apenas uma câmera, mas também é um servidor. Um servidor vulnerável que dá um invasor um ponto de apoio para o resto da rede, como explicou Janne Kauhanen, da F-Secure, neste vídeo:
Se este dispositivo estiver em uma rede corporativa e um invasor adquire acesso à rede, o invasor pode infectá-lo com malware que concederia ao invasor o acesso ao resto da rede e seus recursos.
Redes em fluxo
O perímetro da rede está se dissolvendo e tem ocorrido há anos. Com a “cloudificação”, a consumerização e uma força de trabalho móvel, dispositivos, ativos e dados que costumavam estar dentro do perímetro, agora estão fora. A Internet das Coisas ignora este perímetro com “coisas” inteligentes estendendo a rede muito além das estações de trabalho, laptops, smartphones ou tablets.
Kauhanen colocou assim: “IoT traz mais dispositivos em suas redes que você muitas vezes não trata como dispositivo de rede. Isso leva a uma situação de “Shadow IT”, onde as empresas não têm conhecimento de todos os dispositivos em suas redes. E se você não sabe sobre algo, você não pode protegê-lo. ”
Negligenciar a segurança
Harry Sintonen, consultor de segurança da F-Secure que encontrou as vulnerabilidades, diz que nunca viu nenhum dispositivo tão mal projetado. “Essas vulnerabilidades são extremamente ruins”, disse ele. “Eles permitem que um atacante praticamente faça o que quiser. Um invasor pode explorá-los um a um, ou misturar e combinar para obter maiores graus de privilégio dentro do dispositivo e da rede”.
Muitas das vulnerabilidades que afligem esta câmera são sobre negligência. O fabricante desconsidera o uso de senhas padrões aleatórias, negligencia bloquear usuários que tentam muitas senhas incorretas, negligencia restringir o acesso a arquivos e diretórios críticos. E alguns deles são sobre recursos que não deveriam estar lá – como o acesso escondido do Telnet ou credenciais codificadas rígidas que permitem que um invasor ignore mesmo a senha exclusiva de um usuário.
Mas todos apontam para uma coisa: a negligência cronológica dos fabricantes sobre a questão da segurança. Este problema permeia “coisas” inteligentes em geral. A segurança não é um ponto de venda, então os fabricantes não investem nele. Isso levou a legiões de câmeras inseguras, roteadores, termostatos, DVRs, aquecedores de água, carros, etc.
E esse é um problema que não apenas afeta os proprietários desses dispositivos. Em 2016, ataques DDoS sem precedentes empregaram exércitos de dispositivos IoT inseguros e infectados com malware para derrubar grandes extensões da internet. Se não tivermos a segurança da IoT correta, toda a internet está em risco.
Encontrar e infectar esses dispositivos não é um problema para os atacantes por aí, porque os fabricantes facilitaram essa situação. Diz Kauhanen: “Se um desses dispositivos estiver na sua rede, eu garanto, os bandidos vão encontrá-lo”.
O conserto
Embora possa soar com certa melancolia, há esperança, diga os especialistas da F-Secure. Embora a regulamentação nunca seja uma solução ideal, isso ajudaria a obter a atenção dos fabricantes sobre a segurança.
“Muitas indústrias passam por esse processo, onde percebemos problemas de segurança e regulamentamos para resolver”, diz Sean Sullivan, assessor de segurança da F-Secure. “Carros, por exemplo – eventualmente percebemos que o cinto de segurança seria uma boa idéia. O IoT está passando pelo mesmo processo. Em dez anos, essas questões terão funcionado. A questão é, você quer que esses problemas abalam sua vantagem competitiva enquanto isso? ”
Para os negócios, sair da frente do problema significa garantir que esses tipos de dispositivos estejam em uma rede separada, não expostos à internet. E significa adotar uma abordagem holística e multicamada de segurança. Obtenha uma boa imagem do que está acontecendo dentro de sua rede. Compreenda sua superfície de ataque e minimize-a.
Para as empresas que criam dispositivos IoT, concentrar-se na segurança agora o colocará à frente do jogo quando os regulamentos começarem a ser promulgados. Então, se você está fazendo coisas inteligentes, crie segurança no software desde o início. Ter processos de segurança de produtos no mercado e investir recursos até modestos em segurança o diferencia do resto do pacote. Isso pode resultar em sua vantagem, especialmente quando os regulamentos são implementados.
Baixe o relatório completo sobre essas vulnerabilidades do Foscam, com recomendações de mitigação para empresas e fornecedores:
Fontes consultadas: F-Secure
Imagens: F-Secure
Texto adaptado: Roberto Henrique – Analista de Seg. da Informação – ABCTec