O seu frigorifico é um soldado de um exército de robots cibernautas?

IoTNa última sexta-feira diversas partes importantes da internet estiveram indisponíveis durante horas devido a ataques cibernéticos. Houve duas coisas que me impressionaram nesses ataques. Em primeiro lugar o facto de o ataque não ter sido direccionado para um site (bem conhecido) específico, mas sim para a Dyn, uma empresa que detém uma grande parte dos endereços DNS de sites bem conhecidos. Ou seja, apesar de os sites, eles próprios, estarem bem e a funcionar, estavam simultaneamente indisponíveis na medida em que o caminho para lhes chegar estava indisponível. O segundo ponto que me impressionou neste ataque, foi o de ter sido levado a cabo por um exército de dispositivos IoT (Internet of Things) em modo zombie – os hackers conseguiram controlá-los porque, aparentemente, eram um alvo fácil. Nalguns casos porque os proprietários não mudaram as passwords de administração (que vêm de fábrica), ou, noutros, porque são equipamentos que não foram projectados para precisar de protecção. Na verdade, estes são componentes de hardware pequenos, baratos e comuns e, dado o seu elevado número, os hackers podem encontrar dispositivos suficientes com uma protecção fraca para criar um exército capaz de atacar, em força, a uma escala global.

Na verdade, não é a primeira vez que isto acontece. Apenas há algumas semanas um ataque similar ocorreu em França, onde os hackers atacaram a OVH, empresa líder em alojamento online, para “deitar” abaixo o site de um dos seus clientes. Num padrão semelhante mais de 100 mil câmaras de segurança hackeadas foram usadas para conduzir o ciberataque.

Quais as consequências de um ataque deste tipo? Uma vez que o único objectivo destes ataques é o tornar o serviço indisponível e não o de roubar ou alterar directamente os dados?

O impacto pode ser que os dados são alterados de forma indirecta. Por exemplo: E se os hackers conseguissem interromper a internet durante uma parte de um dia….., como o dia das eleições presidenciais? poderiam causar congestionamentos por não disponibilizar informações de trânsito; paralisar partes do transporte público, perturbar os principais sites de notícias, etc. Isso significaria que menos pessoas iriam votar. E, se conseguissem perturbar mais uns Estados do que outros isso poderia influenciar o resultado final das eleições.

Ou, e se esses ataques também perturbassem a infra-estrutura usada nos hospitais? Os dispositivos de monitorização de pacientes poderiam ficar indisponíveis, dado que, provavelmente, a sua disponibilidade depende de uma ligação à internet, ou, talvez, de algum serviço de cloud.

Como é que isto pode ser evitado? Não há uma resposta fácil. É claro que a segurança dos dispositivos conectados deverá fazer parte do desenho (da resposta) e não surgir, à posteriori, uma vez que, nessa altura, será, provavelmente, demasiado tarde para “cobrir” todos os buracos e garantir que não ficou nenhuma backdoor aberta.

Mas como pode uma organização proteger-se contra estes ataques? Claro que há ferramentas altamente especializadas disponíveis para analisar a segurança dos arquivos de acesso e proteger contra ataques específicos. Tipicamente como as usadas, ao nível da infra-estrutura, na protecção contra os ataques da semana passada.

Muitas destas ferramentas são feitas para reconhecer tipos específicos de ataques, confiando num conjunto de regras que foram criadas com técnicas de ataques conhecidos. Mas a análise e o machine learning também têm um papel a desempenhar porque podem ajudar a detectar técnicas desconhecidas – através da procura de comportamento anormal. Especialmente quando combinado com os recursos para analisar dados de fluxo contínuo pode ajudar a visualizar comportamento malicioso quando este está a ocorrer e não apenas muito depois de ter ocorrido, na base de dados de acessos. A análise do fluxo contínuo (ou streaming) também pode ser implementada “at the edge” (na borda), o que significa que pode mesmo ser incorporada perto ou mesmo dentro do dispositivo que pode ser vulnerável a hackers. Isto permite que o equipamento se auto diagnostique através de técnicas de machine learning – aprende quando está no estado normal e quando pode ter sido hackeado.

Estes ataques mostram-nos, novamente, que ainda há falhas na internet (pontos únicos) e quão frágil esta parece ser (às vezes). Por outro lado, também revela que, apesar dos muitos esforços já efectuados, a segurança ainda é uma dimensão muito importante a ter em conta em qualquer arquitectura de IoT.

Mathias Coopmans

Mathias Coopmans

Mathias Coopmans combina a curiosidade corporativa com conhecimentos técnicos. Apaixonado por big data e por analíticas, Mathias ajuda empresas de todo o Sudoeste europeu a criar valor nas suas iniciativas de IoT. Muitas vezes pioneiro e inovador, mas sempre à procura de novas formas de integrar a IoT nos seus negócios, quer no lado técnico como ao nível estratégico.

 

Deixar uma resposta