Antes apenas um conceito, a Internet das Coisas tornou-se, agora, tangível. Isso acontece porque, no final de outubro, milhares de dispositivos IoT foram usados de forma massiva durante ataques DDoS (de negação de serviço) que praticamente derrubaram a Internet nos EUA. A empresa mais atingida pelo uso de sensores IoT “zumbis” por hackers foi a Dyn. Como a Dyn é o provedor de DNS para muitos grandes portais, o ataque DDoS baseado em IoT acabou derrubando gigantes como Twitter, Netflix, Spotify, Airbnb, Reddit, Etsy, SoundCloud e até mesmo o The New York Times.
A Botnet de onde surgiram os ataques automatizados a esses portais usou como base pequenos roteadores domésticos, decodificadores de TVs a cabo e câmeras de vídeo. São dispositivos IoT com alta capacidade de CPU – capazes, portanto, de abrigar malware sofisticado – e uplinks de alta largura de banda, o que permitiu que esses dispositivos fossem usados para lançar ataques de até 100 Mb/s cada.
Os hackers responsáveis pelos mega ataques de outubro usaram o software Mirai, que usa malware de e-mails de phishing para infectar inicialmente um único computador ou uma única rede doméstica. A partir daí, o malware é distribuído automaticamente para todo tipo de dispositivo IoT, que se transforma em submisso elemento de uma Botnet.
Vale destacar que, ao final do dia, o poder de fogo coletivo de milhares de dispositivos IoT inseridos numa Botnet é até dez vezes maior do que o das Botnets baseadas em computadores tradicionais. A força destruidora pode ficar acima de terabits por segundo.
O que aconteceu em outubro mudou o modo como se pensa a segurança de TIC, obrigando o mercado a analisar as estratégias para, simultaneamente, tornar o dispositivo IoT e a rede corporativa mais seguras.
Como tornar o dispositivo IoT mais seguro
As sugestões aqui listadas são para pessoas e empresas que compram ou simplesmente utilizam dispositivos IoT em seus ambientes, seja um carro, o quarto de um bebê ou o chão de fábrica de uma indústria.
- Assegurar-se de que todas as senhas padrão sejam trocadas por senhas fortes. Isso é importante porque nomes de usuário e senhas para a maioria dos dispositivos IoT podem ser facilmente encontrados na Internet. Isso torna os dispositivos com senhas padrão extremamente vulneráveis.
- Atualizar dispositivos IoT com patches de segurança logo que estes se tornam disponíveis. Um IoT com configuração desatualizada é um alvo fácil para hackers.
- Desabilitar o Universal Plug and Play (UPnP) em roteadores.
- Adquirir dispositivos IoT de empresas que tenham reputação de fornecer tecnologia segura. Como preço é um fator-chave em tudo o que diz respeito aos sensores IoT, essa orientação pode encontrar resistência em alguns consumidores/usuários.
Como tornar a rede corporativa mais segura
Devido à complexidade dos ambientes corporativos, são muitas as frentes de batalha contra os ataques DDoS baseados em Botnets de dispositivos IoT “zumbis”.
Contrate “limpadores de nuvem” – Ataques semelhantes ao realizado em outubro só podem ser mitigados por cloud scrubbers (limpadores de nuvem) especializados em defesa em escala. É a nuvem protegendo a nuvem. Os serviços de segurança cloud scrubbers interceptam o tráfego de ataque, limpam esse fluxo de dados e devolvem para a corporação usuária deste serviço de segurança somente o tráfego “bom”.
As organizações devem certificar-se de que têm contratos com um ou mais cloud scrubbers antes de ser atacadas. Configurar os túneis pré-estabelecidos não é algo que possa ser feito facilmente em meio a um ataque volumétrico.
Construa um plano resiliente de DNS – O ataque sofrido pela Dyn tornou urgente renovar a forma de se trabalhar com DNS, enfatizando a importância das empresas usuárias manterem um “plano B”. O objetivo é saber o que fazer se o seu provedor de DNS ficar offline em decorrência de um desses novos tipos de ataques. Para evitar essa situação, é essencial que as empresas construam um plano resiliente, que inclua múltiplos provedores de DNS para servir endereços para as aplicações críticas de cada corporação usuária de TIC.
Uma alternativa interessante é alocar o DNS em uma nuvem segura. Neste caso, transfere-se o DNS para um serviço de scrubbing center ou “limpador de nuvem”. Grandes provedores de serviços no Brasil já estão tomando esta precaução, uma atitude que pode evitar situações como as vivenciadas pelos clientes da Dyn.
Aposte no firewall da rede – A camada de defesa da rede é construída em torno do firewall da rede. Ela é projetada para mitigar alguns dos mais terríveis ataques computacionais. Mas atenção: muitos firewalls só resistirão a ataques DDoS se forem adequadamente configurados. Verifique as configurações com o seu fornecedor de firewall de rede. Alguns clientes instalam dispositivos anti-DDoS antes do firewall para repelir ataques.
Defenda suas aplicações – Vimos que a Botnet Mirai tem capacidade para gerar impressionantes inundações de solicitações de acesso. Devido a essas solicitações parecerem aos dispositivos de defesa da rede um tráfego normal, essas ameaças acabam sendo enfrentadas na camada de aplicação (4 a 7). Diante disso, alguns especialistas recomendam o que se chama “login-wall”. Um login wall exige que uma conexão seja autenticada antes de começar a acessar a aplicação. Essa checagem é feita antes do sistema, para atender a essa solicitação, passar a consumir recursos computacionais da corporação.
Hacker vivem em bando, experts em segurança farão o mesmo
Ficou claro, portanto, que estamos em uma nova fase de ataques DDoS – a era da Internet das Coisas usada em Botnets. Nesta nova era, os criminosos trocam informações entre si o tempo todo. Nos ataques de outubro, por exemplo, hackers de todo o mundo compartilharam entre si o Mirai. A comunidade de Segurança da Informação precisa copiar essa estratégia e aprender a trabalhar unida para resolver as ameaças que surgem com a disseminação do IoT.
Nos próximos anos, os ataques DDoS crescerão em tamanho, os serviços de limpeza da nuvem ampliarão a largura de banda para acomodar esses grandes ataques, e os fabricantes de dispositivos IoT descobrirão como lidar com as inseguranças dos seus dispositivos.
Essa evolução é certa.
Ainda assim, governos, empresas e pessoas terão de constantemente reaprender como lidar com a ameaça crescente das Botnets baseadas em dispositivos IoT. A batalha pela segurança é uma história sem fim, e o uso da Internet das Coisas pelos hackers está apenas começando.
* Rita D’Andrea é country manager da F5 Networks Brasil