Por Nathan Drier, Consultor Sênior de Segurança da Trustwave
 |
Esta nova subclasse de dispositivos de Internet, representada pelas "coisas", é constituída pelos chamados dispositivos embarcados (embedded) e está se tornando cada vez mais popular entre empresas de todos os tamanhos.
Sistemas embarcados são pequenos computadores que existem para realizar tarefas específicas. Eles podem controlar estações meteorológicas ou executar comandos de bordo do seu carro. As empresas podem usá-los para controlar as luzes e a temperatura em seus escritórios, e algumas vezes até para administrar as fechaduras de portas.
Embora tais dispositivos tragam conveniência e flexibilidade para os empresários e os trabalhadores, eles também podem trazer uma variedade preocupante de questões de segurança.
Atuando como um "hacker ético" da Trustwave, uma empresa que fornece serviços e tecnologia para segurança da informação, com frequência sou assignado para realizar testes de intrusão em redes e aplicações das empresas.
Estes testes, também conhecidos como "ethical hacking", ajudam os dirigentes empresariais a identificar e eliminar vulnerabilidades de segurança dentro de suas redes e aplicações e banco de dados antes que os criminosos possam explorá-las. Quando realizo um teste, emprego as mesmas táticas que um criminoso real usaria para que as empresas saibam exatamente o que necessitam corrigir.
No início de 2013, uma rede de postos de combustível me contratou para realizar, em sua rede, uma bateria de testes de penetração que incluíam a checagem de segurança de um dispositivo embarcado usado para medir o nível de combustível dos tanques subterrâneos de seus postos.
Para executar sua tarefa, esse aparelho precisa estar conectado à rede, de modo que o responsável pelo abastecimento de combustíveis possa verificar o nível do tanque e mantê-lo no nível ideal.
Ao realizar este teste, saltam à vista uma série de vulnerabilidades não documentadas que, em apenas noventa minutos, me habilitariam a comprometer o controle dos tanques que é um dos elementos críticos do negócio daquela empresa. O próprio aparelho de medição, aliás, serviu como ponto de partida para o ataque.
Tão logo o tenha controlado, pude obter acesso imediato à rede da companhia e a todos os computadores a ela conectados. A partir daí eu poderia facilmente ter obtido qualquer dado sensível armazenado nos servidores da empresa, incluindo dados de cartões de crédito, números de seguro social, propriedade intelectual e informações pessoais de toda ordem.
Como os dispositivos embarcados não são tradicionalmente considerados computadores, eles geralmente são esquecidos quando se trata de segurança, deixando uma porta aberta para os cibercriminosos que procuram roubar informações.
O que pode ser feito para proteger a rede?
1. Instale um firewall e limite quem pode acessá-lo. Ameaças em qualquer dispositivo embarcado (ou qualquer coisa conectada à sua rede para esse fim) servem como um possível ponto de entrada para um atacante. De um modo geral, apenas pessoas autorizadas deveriam poder acessar os sistemas embarcados. Se a internet não for indispensável para acessá-lo, tenha certeza de limitar o acesso usando um bom firewall.
2. Segurança de Acesso remoto - Implante tecnologia de segurança para monitorar quem acessa a rede, fornecendo acesso exclusivamente a usuários específicos. Você também deve usar um duplo fator de autenticação quando usuários conectarem à rede.
3. Assegurar-se de que os dispositivos são testados para falhas de segurança - Muitas empresas fazem vista grossa sobre os dispositivos embarcados quando realizam testes de penetração em suas redes, bancos de dados e aplicações. Entretanto, testes envolvendo dispositivos embarcados são essenciais para ajudar as empresas a encontrar e corrigir as falhas de segurança antes que seja tarde demais.
4. Manter-se atualizado quanto aos patches e atualizações do fabricante. Mantenha contato com o desenvolvedor do dispositivo embarcado e tenha a certeza de estar atualizado quanto aos patches de segurança. Assim que um novo patche de segurança for lançado, certifique-se de tê-lo instalado.
5. Certifique-se que as senhas padrão sejam trocadas. Com frequência, dispositivos embarcados vêm com nomes de usuário e senhas conhecidos publicamente. Esses são definidos na fábrica, de modo que é necessário entrar no dispositivo e alterar os logins. Esteja certo de que toda e qualquer conta padrão tenha sido trocada antes que o dispositivo seja conectado à rede. Também, certifique-se de usar senhas fortes, que incluem uma combinação de letras e números e que contém, ao menos, oito caracteres. "Frases-senha" são a melhor opção quando combinadas com letras maiúsculas e minúsculas tal como "meuGatinh0Mi0u"
6. Traga de fora uma equipe de especialistas em segurança. Gerenciamento de redes e monitoramento podem ser complexos e consumir muito tempo. Portanto, considere aumentar seu staff através de parceria com um provedor de serviços gerenciados de segurança, que pode realizar a instalação, ajuste e gerenciamento de seus controles e políticas de segurança.
Como os dispositivos embarcados não são tradicionalmente considerados computadores, eles geralmente são esquecidos quando se trata de segurança, deixando uma porta aberta para os cibercriminosos que procuram roubar informações.
O que pode ser feito para proteger a rede?
1. Instale um firewall e limite quem pode acessá-lo. Ameaças em qualquer dispositivo embarcado (ou qualquer coisa conectada à sua rede para esse fim) servem como um possível ponto de entrada para um atacante. De um modo geral, apenas pessoas autorizadas deveriam poder acessar os sistemas embarcados. Se a internet não for indispensável para acessá-lo, tenha certeza de limitar o acesso usando um bom firewall.
2. Segurança de Acesso remoto - Implante tecnologia de segurança para monitorar quem acessa a rede, fornecendo acesso exclusivamente a usuários específicos. Você também deve usar um duplo fator de autenticação quando usuários conectarem à rede.
3. Assegurar-se de que os dispositivos são testados para falhas de segurança - Muitas empresas fazem vista grossa sobre os dispositivos embarcados quando realizam testes de penetração em suas redes, bancos de dados e aplicações. Entretanto, testes envolvendo dispositivos embarcados são essenciais para ajudar as empresas a encontrar e corrigir as falhas de segurança antes que seja tarde demais.
4. Manter-se atualizado quanto aos patches e atualizações do fabricante. Mantenha contato com o desenvolvedor do dispositivo embarcado e tenha a certeza de estar atualizado quanto aos patches de segurança. Assim que um novo patche de segurança for lançado, certifique-se de tê-lo instalado.
5. Certifique-se que as senhas padrão sejam trocadas. Com frequência, dispositivos embarcados vêm com nomes de usuário e senhas conhecidos publicamente. Esses são definidos na fábrica, de modo que é necessário entrar no dispositivo e alterar os logins. Esteja certo de que toda e qualquer conta padrão tenha sido trocada antes que o dispositivo seja conectado à rede. Também, certifique-se de usar senhas fortes, que incluem uma combinação de letras e números e que contém, ao menos, oito caracteres. "Frases-senha" são a melhor opção quando combinadas com letras maiúsculas e minúsculas tal como "meuGatinh0Mi0u"
6. Traga de fora uma equipe de especialistas em segurança. Gerenciamento de redes e monitoramento podem ser complexos e consumir muito tempo. Portanto, considere aumentar seu staff através de parceria com um provedor de serviços gerenciados de segurança, que pode realizar a instalação, ajuste e gerenciamento de seus controles e políticas de segurança.
