Uma lista dos principais problemas de segurança em dispositivos IoT em 2018, de acordo com o OWASP.
A Fundação OWASP (Open Web Application Security Project) é uma organização dedicada à análise e divulgação de temas, documentos e ferramentas relacionadas com a segurança do software a nível global. Publicaram recentemente o seu “IoT Top 10 2018” como parte do seu projeto focado na Internet das Coisas. Um breve documento no qual são indicados os 10 principais problemas de segurança associados a dispositivos de IoT e que deveriam ser considerados por todos aqueles que desenvolvam, confiem ou lidem com os mesmos.
1. Passwords fracas, previsíveis ou internas
O uso de credenciais não modificáveis, publicamente disponíveis ou fáceis de adivinhar; incluindo backdoors em firmware ou software do cliente que permita obter acesso não autorizado a sistemas aproveitando estas passwords vulneráveis.
2. Serviços de rede inseguros
Os serviços de rede inseguros e desnecessários a correr no próprio dispositivo, especialmente nos que têm acesso à Internet, que comprometam a confidencialidade, autenticidade ou disponibilidade da informação, ou permitam o controle não autorizado de forma remota.
3. Ecossistema de interfaces inseguros
Problemas de segurança em interfaces web, móveis, na nuvem, ou API de backend em ecossistemas que estão fora dos dispositivos e que permitem que tanto os dispositivos como certos componentes relacionados possam ser comprometidos.
4. Falta de mecanismos de atualização seguros
Ausência de um sistema simples para atualizar o dispositivo de forma segura. Isto inclui: falta de validação do firmware no dispositivo, falta de segurança no envio (trânsito desencriptado), falta de mecanismos que permitam evitar dar um passo atrás, e a falta de notificações sobre alterações de segurança devido a atualizações.
5. Uso de componentes pouco seguros ou antiquados
Uso de componentes/livrarias de software obsoletas e/ou inseguras que comprometem o dispositivo. Isto inclui personalizações inseguras da plataforma do sistema operativo e o uso de software de terceiros ou componentes de hardware de uma cadeia de fornecimento comprometida.
6. Proteção de privacidade insuficiente
Informação pessoal do utilizador armazenada no dispositivo ou no ambiente no qual se liga o dispositivo que é utilizada de forma pouco segura, imprópria ou sem permissão.
7. Transferência e armazenamento de dados de maneira pouco segura
Falta de encriptação ou controle de acesso para dados sensíveis que estão dentro do ecossistema; incluindo dados que não estão a ser utilizados, em trânsito ou durante o seu processamento.
8. Falta de controlo de gestão
Falta de suporte de segurança em dispositivos liderados para produção, incluindo a gestão de ativos, gestão de atualizações, cofre desarmado, monitoramento de sistemas e capacidades de resposta.
9. Configuração pouco segura por defeito
Dispositivos ou sistemas lançados com configurações por defeito pouco seguras ou sem a possibilidade de tornar mais seguro o sistema mediante a aplicação de restrições a partir alterações na configuração.
10. Falta de hardening
Falta de medidas que permitam tornar mais robustos os dispositivos do ponto de vista físico, o que permite a potenciais atacantes chegar a informação sensível que poderia ser utilidade num futuro ataque remoto ou tomar o controlo local dos dispositivos.
A falta de segurança dos dispositivos IoT não têm passado despercebidos e estão a ser tomadas algumas medidas, como é o caso do estado da Califórnia, nos Estados Unidos, que aprovou uma nova lei para o ano 2020 que vai exigir que todos os dispositivos inteligentes comercializados venham configurados com passwords únicas.
De acordo com o investigador da ESET, na América Latina, Camilo Gutiérrez, é de esperar que em 2019 assistamos com mais frequência a casos de ameaças desenvolvidas especificamente para dispositivos IoT.
