Na última edição do Congresso Ibero-Americano de Segurança da Informação, Tony Anscombe, Security Evangelist da ESET, deu uma conferência sobre os riscos de segurança presentes em edifícios inteligentes e quais os desafios que se colocam a esta realidade.
Em países como os Estados Unidos, estima-se que o crescimento de edifícios inteligentes seja de 16,6% até 2020, em comparação com 2014 – essa realidade de expansão está a acontecer de forma global. Em grande medida, esse crescimento deve-se ao facto de vivermos num mundo cada vez mais baseado em tecnologia e no qual a automação de processos e a busca pela eficiência energética representam não apenas uma contribuição para a sustentabilidade, mas também uma redução de custos – objetivo que persegue qualquer tipo de indústria, do setor público ao setor privado.
Os edifícios inteligentes utilizam a tecnologia para controlar diferentes dinâmicas que são parte dos respetivos ambientes, com o objetivo de proporcionar mais conforto, contribuir para a saúde e produtividade de quem o habita. Para fazer isso, os edifícios inteligentes usam o que é conhecido como Building Automation Systems. Com o advento da Internet das Coisas (IoT), os edifícios inteligentes foram redefinidos, e através de sensores inteligentes, o equipamento tecnológico desses edifícios é usado para analisar, prever, diagnosticar e manter os diferentes ambientes, bem como automatizar processos e monitorizar em tempo real diferentes variáveis, tais como: temperatura dos quartos, iluminação, câmaras de segurança, elevadores, estacionamento, gestão de água, entre muitos outros recursos automatizados que atualmente já se apoiam na tecnologia.
Para colocar em perspetiva o que este tipo de infraestrutura inteligente representa, Tony Anscombe deu o exemplo de um hotel em Las Vegas que há dois anos decidiu colocar um sofisticado sistema de automação para controlar a utilização do ar condicionado (é de notar que Las Vegas tem um clima de deserto que se caracteriza por ser quente com o registo de muito pouca chuva) que só ligava o ar condicionado quando havia pessoas presentes no edifício. Essa decisão representou no primeiro ano de instalação do sistema inteligente uma economia de 2 milhões de dólares graças à economia de energia que a automação desse processo significou.
Outro exemplo de automação através do uso de dispositivos inteligentes mencionado pelo Security Evangelist da ESET foi o de um supermercado no Reino Unido, que instalou um sistema inteligente no seu estacionamento que utiliza a circulação de automóveis para gerar energia, que é, por sua vez, usada para alimentar as arcas frigoríficas.
Embora, e à primeira vista, situações destas possam não parecer arriscadas em termos de segurança em edifícios inteligentes, é provável que em algum momento todas estas redes inteligentes estejam ligadas a um único banco de dados, e é aí que reside o risco, especialmente se tivermos em conta que muitos dispositivos IoT são fabricados por fornecedores diferentes que talvez não tenham tido em consideração aspetos de segurança durante o processo de fabricação. E enquanto muitos podem pensar que nunca viverão neste tipo de edifícios, Anscombe destacou que “é bastante provável que muitas pessoas que atualmente não vivem num edifício com estas características, passarão a viver nestes espaços em algum momento no futuro”, já que o mercado de construção de edifícios inteligentes usando a IoT está a crescer substancialmente.
Probabilidade de um edifício inteligente ser atacado
O risco de sofrer um incidente de segurança neste tipo de infraestrutura está associado às motivações dos hackers, que visam principalmente a obtenção de lucro através das suas ações, gerar impacto e transmitir medo.
Atualmente, existem ferramentas como o Shodan que permitem encontrar dispositivos IoT vulneráveis e/ou inseguros ligados à Internet de maneira pública. Conforme referiu Anscombe, se pesquisar por BAS de forma específica nessa ferramenta, poderá encontrar milhares de sistemas de automação de edifícios nessas listas com informações que podem ser usadas por um hacker para comprometer um dispositivo – em fevereiro de 2019 existiam cerca de 35.000 sistemas BAS, no Shodan, disponíveis para o público na Internet a nível global.
Portanto, qualquer pessoa poderia tomar o controlo de um BAS depois de o encontrar. Se, por exemplo, um criminoso usa o Shodan e procura por sistemas de automação de edifícios para atacar, ele encontrará endereços IP, que se colocados num browser, permitirão deparar-se em muitos casos com uma interface de acesso na qual deverá inserir nome de utilizador e uma password. No caso de ter uma password padrão ou que possa ser facilmente quebrada por um ataque de force brute, o hacker terá acesso ao painel de gestão do sistema com informações semelhantes às que os habitantes do edifício inteligente podem visualizar através dos seus dispositivos. Por vezes, nem necessita de um nome de utilizador e password, pois esses painéis de gestão são acessíveis a qualquer pessoa na Internet sem a necessidade de credenciais.
Ao ter acesso a estas informações públicas e monitorizar, por exemplo, o funcionamento do ar-condicionado, um hacker pode realizar uma ligação e, fazendo-se passar pela empresa de manutenção, informar que irá enviar um técnico porque observou que os ventiladores estão a funcionar de forma incorreta. Nesse momento, o atacante pode aproveitar a ocasião para solicitar que o morador forneça acesso remoto e, desta forma, será possível aceder ao servidor e controlar todo o edifício. Depois de obter o controle, o atacante pode alterar os sistemas de aquecimento ou ar condicionado de um edifício ou modificar o funcionamento de outro sistema automatizado e solicitar o pagamento de um resgate em bitcoins para evitar que os hackers fechem o edifício.
Siegeware: uma ameaça real
Como mencionado pelo especialista em segurança da ESET, Stephen Cobb, num artigo publicado em fevereiro deste ano, em que ele narrou os detalhes de um ataque informático contra edifícios inteligentes, esse fenómeno não é um evento isolado, mas que a partir de um facto concreto e depois de pedir ajuda às autoridades, estes lhe disseram (para sua surpresa) que “já tinham visto isso antes”. O que significa que é uma prática comum dos hackers. Este tipo de ataque, chamado Siegeware, é aquele pelo qual um hacker tem a capacidade de, por meio de códigos, tentar a extorsão de dinheiro depois de assumir o controlo das funcionalidades digitais de um edifício, explicou Cobb.
Conclusão, o baixo custo dos dispositivos IoT para edifícios e o avanço da tecnologia para sistemas de automação de edifícios está a dar origem a mudanças que afetam a segurança. Essa procura pela automação e o uso de dispositivos inteligentes que coletam dados para oferecer conforto aos seus moradores, além de tornar mais eficiente o uso de recursos, como a energia, também está a aumentar o risco para a segurança. Neste sentido, a possibilidade de um hacker realizar um ataque de ransomware que afete um edifício inteligente já faz parte da realidade.
Considerações
No final da sua apresentação, Tony Anscombe fez algumas considerações e abordou alguns dos requisitos de segurança que devem estar sempre presentes:
- Rever as especificações de segurança dos dispositivos e trabalhar alinhado ao conceito de segurança por design;
- Destinar um orçamento para a segurança;
- Selecionar parceiros que tenham conhecimento no campo da segurança;
- Contar com um programa de gestão de vulnerabilidades;
- Cooperação entre as diferentes áreas e/ou departamentos.
Em relação às recomendações do ponto de vista operacional:
- Atualizar os dispositivos regularmente;
- Estabelecer um plano de substituição se o ciclo de vida de um dispositivo terminar;
- Prevenção sobre o que está ligado;
- Monitorização dos dispositivos ligados.
