Nova violação de IoT, mesma história de (in)segurança, amplas consequências

violação de segurança IoT

“Eu sempre sinto que alguém está me observando … Diga-me, é apenas um sonho?”

Pode ter sido um sonho em 1984, quando “Somebody’s Watching Me” liderou as paradas, mas hoje é a vida real: alguém está quase sempre assistindo. Câmeras de segurança ficam nas esquinas e semáforos, em prisões, escolas, hospitais e academias, ao redor de nossas casas e locais de trabalho. Goste ou não, a vigilância por vídeo é uma grande parte de como a sociedade protege seu povo e ativos em 2021.

Muitas dessas câmeras são baseadas na nuvem e conectadas às redes e infraestrutura de TI da empresa – às vezes, são os mesmos sistemas que armazenam dados e executam aplicativos. Essas câmeras, junto com bilhões de outros dispositivos “inteligentes” que podem se conectar e “conversar” entre si, formam a Internet das Coisas (IoT).

Mas o que acontece quando esses dispositivos interconectados não são protegidos como outros ativos de rede confidenciais?
Na semana passada, o mundo teve um vislumbre quando os invasores conseguiram violar a startup de segurança de vídeo Verkada. De acordo com relatos, os invasores obtiveram acesso a feeds ao vivo de cerca de 150.000 câmeras de vigilância habilitadas para IoT – posicionadas sobre leitos de UTI hospitalar, em instalações correcionais, em salas de aula e muito mais – e expuseram imagens confidenciais pertencentes a vários clientes da empresa de software.

Atacantes ampliam os impactos ao seguir um caminho familiar

Nesta última violação de IoT, parece que os invasores seguiram um caminho familiar – um que vimos com muita frequência. Eles teriam como alvo credenciais com privilégios, localizando nome de usuário e senha para uma conta de administrador Verkada exposta na Internet. Com isso, eles puderam se mover livremente pela rede como se fossem um membro da equipe de suporte, realizando operações de manutenção em massa nas câmeras. Posteriormente, foi confirmado que mais de 100 pessoas dentro da organização possuíam acesso de “superadministrador”, cada uma das quais podendo acessar milhares de câmeras de clientes.

Em um comunicado público, a empresa escreveu: “Ao obter acesso ao servidor, os invasores obtiveram credenciais que lhes permitiram contornar nosso sistema de autorização, incluindo autenticação de dois fatores”.

Além disso, ao obter acesso root nas câmeras, os invasores podem usá-las para executar seu próprio código malicioso, relatou a Bloomberg. E, em alguns casos, esse acesso privilegiado pode permitir que eles “usem como ponto focal e obtenham acesso à rede corporativa mais ampla dos clientes da Verkada ou sequestrem as câmeras e as use como uma plataforma para lançar ataques futuros.”

O grande debate sobre segurança de IoT

Há muita discussão sobre como lidar com o desafio da segurança de IoT, com responsabilidade no centro do debate. É o fabricante que deve projetar e construir dispositivos seguros desde o início? Ou é responsabilidade do cliente fortalecer as proteções – desde indivíduos alterando senhas padrão em dispositivos em suas casas, até empresas removendo senhas codificadas e reforçando a segurança de endpoint para dispositivos IoT conectados em rede? Há uma pressão em todo o setor por mais padrões e diretrizes para ajudar a esclarecer essas grandes questões, e a maioria concorda que há muito trabalho a ser feito antes de termos um caminho claro a seguir.

A boa notícia é que está crescendo o consenso de que os dispositivos de IoT – especialmente aqueles usados ​​por empresas e agências governamentais – devem ser tratados com a mesma atenção e gravidade que os sistemas de TI tradicionais. O bipartidário IoT Cybersecurity Improvement Act foi um marco importante neste esforço. Mas os invasores não estão esperando. Pelo contrário, eles estão ganhando confiança e aumentando a precisão dos ataques e, cada vez mais, visando a cadeia de suprimentos digital para ampliar os impactos, o que foi demonstrado em violações recentes como o da Verkada e da SolarWinds.

A IoT representa uma potencial e massiva superfície de ataque e, por mais fortes que sejam as práticas de segurança interna de uma organização, os invasores às vezes podem contorná-las. Por exemplo, os dispositivos IoT costumam receber atualizações de firmware sem fio e isso pode representar um alvo fácil para o comprometimento.

Atenção com dispositivos inteligentes

dispositivos IoT inteligentes

Os dispositivos IoT inteligentes (smart devices) representam, simultaneamente, algumas das maiores inovações e os maiores desafios para o trabalho moderno. Aqui estão algumas maneiras pelas quais seu negócio digital pode ficar mais inteligente (e mais seguro) ao usá-los:

• Catalogue dispositivos conectados em sua rede. Identifique todos os dispositivos na rede (incluindo dispositivos “BYO”) e entenda o que eles fazem. Isso inclui câmeras, impressoras, campainhas, equipamento audiovisual, sistemas HVAC ou qualquer outra coisa que se conecte à Internet e / ou se autodenomine “inteligente”.

• Gerencie os dispositivos centralmente. Os dispositivos IoT são freqüentemente fabricados com senhas embutidas ou codificadas – tornando-os alvos fáceis. Substitua-as por senhas fortes e exclusivas e automatize o armazenamento, rotação e gerenciamento de credenciais para minimizar o risco de erro humano.

• Desative o acesso root automático. Isso normalmente é integrado em dispositivos IoT, como câmeras de segurança. Sim, esse nível de acesso será necessário ocasionalmente, mas mesmo os usuários de confiança devem passar por alguns obstáculos para validar sua identidade e caminho de acesso para obtê-lo. O que nos leva à próxima dica …

• Implemente o conceito de “privilégio mínimo”. Limitar o que as pessoas e dispositivos têm acesso em uma rede é uma das melhores maneiras de reduzir a superfície de ataque e evitar que os invasores causem danos. Antes de conceder acesso, sempre verifique a identidade, valide o dispositivo e, em seguida, limite o acesso apenas ao que é necessário – e remova-o quando não for.

• Acesso remoto seguro. Para neutralizar as fraquezas inerentes da IoT, limite o acesso remoto (para atualizações de firmware, manutenção e muito mais) para partes verificadas, locais e portas estabelecidas.

Quem vigia os vigias?

A violação do Verkada nos mostrou o lado escuro e muito perigoso da IoT. Em conseqüência disso, novas questões estão surgindo sobre como a tecnologia de vigilância deve (e não deve) ser usada, como os dados confidenciais devem ser armazenados e como o acesso a esses dados deve ser gerenciado. Além de enfatizar os riscos atuais da IoT, esse ataque tem potencial para afetar a privacidade e ter implicações regulatórias, incluindo, por exemplo, a HIPAA.

Embora as câmeras conectadas estejam sendo manchetes hoje, a realidade é que qualquer dispositivo, terminal, servidor ou sistema que se conecta à Internet, de qualquer forma, representa uma vulnerabilidade potencial. Na maioria das empresas hoje, mais de 30% de todos os endpoints conectados à rede são dispositivos IoT – e isso sem contar os dispositivos móveis. Não espere pelo consenso sobre os padrões ou empurre-o para baixo na lista de prioridades: a hora de abordar a segurança da IoT em sua organização é agora.

Posts sugeridos: Trabalho remoto aumenta as ameaças de dispositivos IoT do consumidor / ENISA Publica Diretrizes sobre Segurança na Cadeia de Suprimentos de IoT / Vulnerabilidade injetada em sistemas da SolarWinds viabiliza ataques de grandes proporções nos EUA.

Informações obtidas/adaptadas de https://www.cyberark.com/resources/blog