summary
Contribuição de: Mario Ballano
(imagem: Natal em uma casa inteligente – Não deixe que os ajudantes domésticos inteligentes do Papai Noel estraguem seu Natal)
Com a aproximação das festas de final de ano, a hora das decorações luminosas chegou novamente. Como um geek, eu sou naturalmente atraído por luzes piscantes que podem ser controladas por meio de dispositivos eletrônicos e logo fiquei empolgado ao ver todas as diferentes ferramentas inteligentes e recursos de automação residencial disponíveis no mundo da Internet das Coisas (IoT).
No entanto, considerando a quantidade de possíveis problemas de segurança que os aparelhos IoT podem gerar, será que eu abriria a Caixa de Pandora ao instalá-los em casa? Antes de utilizar esses aparelhos IoT, queria saber mais sobre o real nível de segurança destes aparelhos para lares inteligentes.
Há uma variedade enorme de dispositivos domésticos inteligentes que podem ser utilizados na temporada de festas, como por exemplo:
- Interruptores inteligentes para controlar luzes de Natal;
- Câmera CFTV de vigilância inteligente para filmar o Papai Noel;
- Detector de fumaça inteligente, caso minha árvore de Natal pegue fogo;
- Sistema inteligente de entretenimento para que as músicas festivas me acompanhem de um cômodo a outro;
- Termostato inteligente para deixar minha casa quente e aconchegante;
- Travas inteligentes para portas que impedem a entrada de visitantes indesejados;
- Sistema de alarme de segurança na janela, que deixe minha casa segura quando sair de férias, entre outros.
Muitos destes dispositivos têm conexão sem fio com um hub central, que me permite gerenciar os aparelhos a partir de um smartphone ou navegador de internet. Além de se conectarem ao Wi-Fi, eles também utilizam uma ampla variedade de protocolos de comunicação, como Powerline, Z-Wave, Zigbee e protocolos customizados de rádio.
Assim, começamos nossa análise com duas combinações de interruptores inteligentes e o hub.
Hubs inteligentes e segurança
O primeiro hub utiliza Wi-Fi e seu próprio protocolo de rádio para a comunicação. Para garantir que ele esteja rodando a versão mais recente do firmware, ele verifica periodicamente a internet em busca de atualizações. Essa é uma boa prática, já que é improvável que os usuários atualizem seus dispositivos IoT manualmente, o que poderia criar o risco de vulnerabilidades exploráveis sem patches.
Entretanto, infelizmente neste caso, as atualizações de firmware não continham assinatura digital e eram baixadas de um servidor aberto de Protocolo de Transferência de Arquivos Triviais (TFTP). Tal fato pode permitir que um cibercriminoso na mesma rede redirecionasse o aparelho para um servidor TFTP malicioso, por exemplo, através de modificações no Protocolo de Resolução de Endereços (ARP) ou alterando os ajustes de sistema de nome de domínio (DNS). O servidor TFTP poderia, então, enviar uma atualização maliciosa de firmware para o dispositivo doméstico inteligente. E, se isso acontecer, toda a instalação seria comprometida e outros aparelhos poderiam ser atacados, já que o criminoso teria controle total sobre o hub.
O mesmo smart hub utiliza um protocolo customizado de transmissão por rádio para enviar comandos aos aparelhos conectados sem nenhuma autenticação adicional ou implementação de segurança. Infelizmente, isso permite o sucesso de ataques simples de replay. Se um atacante estiver próximo à rede, por exemplo, do lado de fora da casa, ele pode interceptar parte do tráfego e repetir os pacotes para apagar as luzes ou abrir o portão da garagem. E, mesmo que ele não entenda o protocolo, ele pode conduzir um replay de uma sessão gravada para repetir um comando.
Além disso, o usuário pode armazenar os detalhes de configuração do hub em um serviço de nuvem, possibilitando que o aparelho de smart hub seja gerenciado pela internet, a partir de qualquer navegador. A conta do usuário é protegida por um código PIN simples, de quatro dígitos, que definitivamente é curto demais para o mundo atual. Mas, além do problema de um atacante adivinhar o código (principalmente se considerarmos que “1234” é uma escolha comum e insegura para muitos usuários), há outras questões com este serviço de nuvem em particular. Constatamos que o servidor de backend é suscetível a um ataque de injeção cega de SQL. E isso tem o potencial de revelar outros detalhes de configuração do usuário ou até permitir que o atacante assuma o controle de outras contas. Ou seja, o atacante pode até mesmo desligar as luzes da árvore de Natal sem ao menos estar perto da casa.
Infelizmente, o segundo hub que analisamos não foi muito melhor. Este não utiliza nenhum método de autenticação para comandos enviados na rede interna. Se um atacante estiver na mesma rede Wi-Fi do hub, ele pode adquirir o controle sobre todos os outros aparelhos. Ele pode até ir um passo além, já que o hub tinha uma vulnerabilidade de execução de código remoto, executando comandos arbitrários com privilégios raiz sobre o hub.
Riscos para sua casa inteligente
Estes hubs são apenas dois exemplos do que conseguimos comprometer em um período curto. Há muitos outros aparelhos para casas inteligentes que podem ter falhas de segurança.
Já foi constatado que alguns dispositivos domésticos têm o mesmo tipo de problema, como casos onde pessoas alteraram o termostato do ex-cônjuge ou desativaram travas de segurança. Relatórios recentes alertam sobre como milhares de webcams de IP e babás eletrônicas são acessíveis a qualquer pessoa na internet. Também houve relatos de pessoas ganhando o controle sobre sistemas de automação residencial de terceiros.
De modo geral, vemos que sensores de dispositivos domésticos inteligentes podem ser diretamente afetados, por exemplo, modificando o firmware através de acesso físico à interface JTAG do aparelho. Os criminosos podem, assim, vender o aparelho modificado a outra pessoa, comprometendo outros aparelhos ou redes de sua casa.
E, dependendo dos ajustes de segurança da rede de Wi-Fi, os atacantes podem interceptar as comunicações do dispositivo IoT para o hub central, smartphone ou nuvem, e injetar seus próprios comandos.
Além disso, se o servidor de backend da nuvem for utilizado para administração remota, essa parte deve estar protegida, já que atacantes podem tentar forçar senhas para obter acesso a este servidor.
Você pode dizer que acender ou apagar as luzes de outra pessoa não traz um grande problema. Pode ser, mas os efeitos de um ataque à casa inteligente são mais relevantes para a segurança quando você está de férias. Algumas pessoas podem usar luzes controladas remotamente para fingir que ainda há alguém em casa e afastar ladrões. Ladrões inteligentes poderiam usar webcams de IP abertas para verificar se os donos estão em casa e onde estão seus itens mais valiosos.
Outra possível via de acesso que pode ser explorada por atacantes seria aplicar o modelo de ransomware (rapto de softwares) à residência inteligente. O dono da casa seria, então, coagido a pagar um resgate para poder aumentar a calefação ou até mesmo assistir TV.
Este é um assustador paraíso para perseguidores, ladrões e outros personagens obscuros. Se eles encontrarem falhas nos sensores de segurança ou travas de portas, conseguem tudo de que precisam para arruinar seu fim de ano.
Proteção inteligente
É por isso que você deve estar atento ao instalar dispositivos domésticos inteligentes e garantir que entende bem os ajustes de configuração dos aparelhos. Nós da Symantec ficaremos de olho no mercado de aparelhos domésticos inteligentes e continuaremos a informar os fornecedores sobre pontos fracos descobertos.
A segurança varia muito em diferentes aparelhos domésticos inteligentes, portanto é difícil dar conselhos genéricos aos usuários. Seguem alguns pontos a serem considerados ao instalar aparelhos domésticos inteligentes:
- Habilite a administração remota pela internet apenas se for realmente necessário
- Defina uma senha forte para os aparelhos quando possível
- Utilize senhas fortes e criptografia WP2 para proteger sua rede de Wi-Fi
- Utilize marcas confiáveis para casas inteligentes, que invistam em segurança.