Por Nathan Drier, Consultor Sênior de Segurança da Trustwave
 |
A
internet está se tornando "a rede das coisas" ao invés de uma
tradicional rede de computadores. As "coisas" podem abranger desde
smartphones e tablets, até aparelhos que controlam o aquecimento e a ventilação
do ambiente, além é claro, do roteador que fornece internet sem fio para a casa
ou escritório.
Esta nova subclasse de dispositivos de Internet, representada pelas "coisas", é constituída pelos chamados dispositivos embarcados (embedded) e está se tornando cada vez mais popular entre empresas de todos os tamanhos.
Sistemas embarcados são pequenos computadores que existem para realizar tarefas específicas. Eles podem controlar estações meteorológicas ou executar comandos de bordo do seu carro. As empresas podem usá-los para controlar as luzes e a temperatura em seus escritórios, e algumas vezes até para administrar as fechaduras de portas.
Embora tais dispositivos tragam conveniência e flexibilidade para os empresários e os trabalhadores, eles também podem trazer uma variedade preocupante de questões de segurança.
Atuando como um "hacker ético" da Trustwave, uma empresa que fornece serviços e tecnologia para segurança da informação, com frequência sou assignado para realizar testes de intrusão em redes e aplicações das empresas.
Estes testes, também conhecidos como "ethical hacking", ajudam os dirigentes empresariais a identificar e eliminar vulnerabilidades de segurança dentro de suas redes e aplicações e banco de dados antes que os criminosos possam explorá-las. Quando realizo um teste, emprego as mesmas táticas que um criminoso real usaria para que as empresas saibam exatamente o que necessitam corrigir.
No início de 2013, uma rede de postos de combustível me contratou para realizar, em sua rede, uma bateria de testes de penetração que incluíam a checagem de segurança de um dispositivo embarcado usado para medir o nível de combustível dos tanques subterrâneos de seus postos.
Para executar sua tarefa, esse aparelho precisa estar conectado à rede, de modo que o responsável pelo abastecimento de combustíveis possa verificar o nível do tanque e mantê-lo no nível ideal.
Ao realizar este teste, saltam à vista uma série de vulnerabilidades não documentadas que, em apenas noventa minutos, me habilitariam a comprometer o controle dos tanques que é um dos elementos críticos do negócio daquela empresa. O próprio aparelho de medição, aliás, serviu como ponto de partida para o ataque.
Esta nova subclasse de dispositivos de Internet, representada pelas "coisas", é constituída pelos chamados dispositivos embarcados (embedded) e está se tornando cada vez mais popular entre empresas de todos os tamanhos.
Sistemas embarcados são pequenos computadores que existem para realizar tarefas específicas. Eles podem controlar estações meteorológicas ou executar comandos de bordo do seu carro. As empresas podem usá-los para controlar as luzes e a temperatura em seus escritórios, e algumas vezes até para administrar as fechaduras de portas.
Embora tais dispositivos tragam conveniência e flexibilidade para os empresários e os trabalhadores, eles também podem trazer uma variedade preocupante de questões de segurança.
Atuando como um "hacker ético" da Trustwave, uma empresa que fornece serviços e tecnologia para segurança da informação, com frequência sou assignado para realizar testes de intrusão em redes e aplicações das empresas.
Estes testes, também conhecidos como "ethical hacking", ajudam os dirigentes empresariais a identificar e eliminar vulnerabilidades de segurança dentro de suas redes e aplicações e banco de dados antes que os criminosos possam explorá-las. Quando realizo um teste, emprego as mesmas táticas que um criminoso real usaria para que as empresas saibam exatamente o que necessitam corrigir.
No início de 2013, uma rede de postos de combustível me contratou para realizar, em sua rede, uma bateria de testes de penetração que incluíam a checagem de segurança de um dispositivo embarcado usado para medir o nível de combustível dos tanques subterrâneos de seus postos.
Para executar sua tarefa, esse aparelho precisa estar conectado à rede, de modo que o responsável pelo abastecimento de combustíveis possa verificar o nível do tanque e mantê-lo no nível ideal.
Ao realizar este teste, saltam à vista uma série de vulnerabilidades não documentadas que, em apenas noventa minutos, me habilitariam a comprometer o controle dos tanques que é um dos elementos críticos do negócio daquela empresa. O próprio aparelho de medição, aliás, serviu como ponto de partida para o ataque.
Tão logo o tenha
controlado, pude obter acesso imediato à rede da companhia e a todos os
computadores a ela conectados. A partir daí eu poderia facilmente ter obtido
qualquer dado sensível armazenado nos servidores da empresa, incluindo dados de
cartões de crédito, números de seguro social, propriedade intelectual e
informações pessoais de toda ordem.
Como os dispositivos embarcados não são tradicionalmente considerados
computadores, eles geralmente são esquecidos quando se trata de segurança,
deixando uma porta aberta para os cibercriminosos que procuram roubar
informações.
O que pode ser feito
para proteger a rede?
1. Instale um firewall e limite quem pode acessá-lo. Ameaças em qualquer
dispositivo embarcado (ou qualquer coisa conectada à sua rede para esse fim)
servem como um possível ponto de entrada para um atacante. De um modo geral,
apenas pessoas autorizadas deveriam poder acessar os sistemas embarcados. Se a
internet não for indispensável para acessá-lo, tenha certeza de limitar o
acesso usando um bom firewall.
2. Segurança de Acesso remoto - Implante tecnologia de segurança para
monitorar quem acessa a rede, fornecendo acesso exclusivamente a usuários
específicos. Você também deve usar um duplo fator de autenticação quando
usuários conectarem à rede.
3. Assegurar-se de que os dispositivos são testados para falhas de segurança -
Muitas empresas fazem vista grossa sobre os dispositivos embarcados quando
realizam testes de penetração em suas redes, bancos de dados e aplicações.
Entretanto, testes envolvendo dispositivos embarcados são essenciais para
ajudar as empresas a encontrar e corrigir as falhas de segurança antes que seja
tarde demais.
4. Manter-se atualizado quanto aos patches e atualizações do fabricante.
Mantenha contato com o desenvolvedor do dispositivo embarcado e tenha a certeza
de estar atualizado quanto aos patches de segurança. Assim que um novo patche
de segurança for lançado, certifique-se de tê-lo instalado.
5. Certifique-se que as senhas padrão sejam trocadas. Com frequência,
dispositivos embarcados vêm com nomes de usuário e senhas conhecidos
publicamente. Esses são definidos na fábrica, de modo que é necessário entrar
no dispositivo e alterar os logins. Esteja certo de que toda e qualquer conta
padrão tenha sido trocada antes que o dispositivo seja conectado à rede.
Também, certifique-se de usar senhas fortes, que incluem uma combinação de letras
e números e que contém, ao menos, oito caracteres. "Frases-senha" são
a melhor opção quando combinadas com letras maiúsculas e minúsculas tal como
"meuGatinh0Mi0u"
6. Traga de fora uma equipe de especialistas em segurança. Gerenciamento de
redes e monitoramento podem ser complexos e consumir muito tempo. Portanto,
considere aumentar seu staff através de parceria com um provedor de serviços
gerenciados de segurança, que pode realizar a instalação, ajuste e
gerenciamento de seus controles e políticas de segurança.
Nenhum comentário:
Postar um comentário