Quais as ameaças da Internet das Coisas (IoT)

A Internet das Coisas (IoT) tem como principal objectivo facilitar o dia-a-dia dos utilizadores. Porém vai além dos ecrãs dos computadores e dos smartphones, abrindo caminho para que novos objectos passem a ser ligados à internet.internet-coisas

Esta novidade representa uma grande parcela dos investimentos na área de tecnologia, gerando fortes expectativas para o sector nos próximos anos. Prevê-se uma rápida expansão desta tendência, no entanto, parece estar um pouco desligada relativamente à protecção do utilizador.

As expectativas, nesse caso, abrem espaço para um alerta, fazendo-nos refletir sobre como a mudança poderá ter impacto nas nossas vidas, trazendo vulnerabilidades do ambiente virtual para o nosso quotidiano.

 

Os Riscos da Exposição Excessiva

Graças aos avanços da Internet das Coisas, logo poderemos contar com dispositivos capazes de tomar decisões de modo automático. As possibilidades são infinitas, englobando desde opções destinadas ao uso no trabalho, durante momentos de lazer e, até mesmo, enquanto se realizam tarefas domésticas.

Quanto maior o número de dispositivos ligados à internet, portanto, maior o volume de dados gerados e partilhados peles seus utilizadores. Por outras palavras, tendem a crescer factores como a exposição online, o risco de invasões, roubo de informações, aparelhos hackeados e demais ameaças digitais.

O problema maior passa a ser a evolução desses ataques, que devem desenvolver-se tão ou mais rápido que a própria tecnologia. Logo, é preciso criar consciência sobre o papel da indústria neste cenário, focando esforços na construção de sistemas mais seguros para estes dispositivos.

 mi_marketing_e_internet_aplicativos

 

Utilizadores e Empresas Lado a Lado

Ainda antes da tecnologia da Internet das Coisas se infiltrar por completo na rotina dos utilizadores, cabe às empresas fabricantes dedicarem-se à revisão e implementação criteriosa de políticas de segurança. Os aparelhos, por sua vez, devem seguir normas rígidas de segurança, englobando desde o seu desenvolvimento até à chegada nos lares dos consumidores.

Se por um lado, as empresas devem ser cobradas pela qualidade dos produtos comercializados, por outro, cabe ao próprio utilizador tomar consciência do seu papel no que diz respeito ao uso seguro da internet.

internet-das-coisas

É nestas alturas que a educação e o bom senso são as principais recomendações. Ou seja, é preciso educar as pessoas sobre a utilização segura das tecnologias, abordando tópicos como as informações postadas em redes sociais, o uso de softwares piratas, a actualização de sistemas e, principalmente, a importância de fazer o download de um bom antivírus, responsável por proteger os seus dados e dispositivos.

 

Ameaças da internet das coisas IoT e contra-medidas

IoT parece ser uma palavra da moda em TI e negócios no momento. Simplificando, a IoT é definida como objetos do cotidiano com dispositivos de computação embutidos neles que têm um meio de enviar e receber dados pela Internet.

Os dispositivos IoT têm muitos aplicativos concebidos para tornar a vida mais fácil e mais simples. Pense nos engenheiros que podem aceder um dispositivo, realizar diagnósticos remotos e corrigir qualquer problema. Isso ocorre depois que o dispositivo informou a equipe de engenharia de um problema iminente antes que se torne um grande problema! Outro exemplo é poder acender as luzes em sua casa ou aquecer antes de chegar em casa utilizando seu smartphone.

Como você pode imaginar, com essa troca de dados pela Internet, surgem problemas de segurança. No restante deste artigo, verificarei as conclusões do projeto OWASP sobre as dez principais coisas da Internet, que destaca os dez principais problemas de segurança com dispositivos de IoT e algumas contra-medidas sugeridas.

1. Interface Web Insegura

a)  O primeiro ponto diz respeito a questões relacionadas à segurança com as interfaces da Web incorporadas nos dispositivos IoT que permitem que um utilizador interaja com o dispositivo, mas ao mesmo tempo pode permitir que um invasor obtenha acesso não autorizado ao dispositivo. Vulnerabilidades de segurança específicas que podem levar a esse problema incluem:

  • Enumeração de conta
  • Credenciais Padrão Fracas
  • Credenciais expostas no tráfego de rede
  • Scripts entre sites (XSS)
  • SQL-Injeção
  • Gestão de Sessões
  • Configurações de bloqueio de conta fraca.

b) Sugeridas abaixo estão algumas contra-medidas para proteger contra as ameaças mencionadas acima:

  • Senhas padrão e idealmente nomes de utilizador padrão a serem alterados durante a configuração inicial
  • Garantir mecanismos de recuperação de senha é robusto e não fornece ao invasor informações que indiquem uma conta válida
  • Garantir que a interface da web não é suscetível a XSS, SQLi ou CSRF
  • Garantir que as credenciais não sejam expostas no tráfego de rede interno ou externo
  • Garantir que senhas fracas não sejam permitidas
  • Assegurando o bloqueio da conta após 3 a 5 tentativas de login com falha.

 

2. Autenticação / Autorização Insuficiente

a)  Essa área lida com mecanismos ineficazes em vigor para autenticar a interface de utilizador da IoT e / ou mecanismos de autorização inadequados pelos quais um utilizador pode obter níveis de acesso mais altos do que o permitido. Vulnerabilidades de segurança específicas que podem levar a esse problema incluem:

  • Falta de complexidade da senha
  • Credenciais mal protegidas
  • Falta de autenticação de dois fatores
  • Inseguro Password Recovery
  • Privilege Escalation
  • Falta de controlo de acesso baseado em função.

 

  • Garantir que as senhas fortes sejam necessárias
  • Garantir o controlo de acesso granular está em vigor quando necessário
  • Garantir que as credenciais sejam devidamente protegidas
  • Implementar autenticação de dois fatores sempre que possível
  • Garantir que os mecanismos de recuperação de senha sejam seguros
  • Garantir a nova autenticação é necessário para recursos sensíveis
  • Garantir opções estão disponíveis para configurar controlos de senha.

 

3. Serviços de Rede Inseguros

a) Esse ponto está relacionado a vulnerabilidades nos serviços de rede que são usados ​​para aceder o dispositivo IoT que podem permitir que um intruso obtenha acesso não autorizado ao dispositivo ou aos dados associados. Vulnerabilidades de segurança específicas que podem levar a esse problema incluem:

  • Serviços Vulneráveis
  • Estouro de buffer
  • Portas Abertas via UPnP
  • Serviços UDP Exploráveis
  • Denial-of-Service 
  • DoS via Fuzzing de Dispositivo de Rede.

 

b) Sugeridas abaixo estão algumas contra-medidas para proteger contra as ameaças mencionadas acima:

  • Garantir que apenas os portos necessários estejam expostos e disponíveis
  • A garantia de serviços não é vulnerável a ataques de buffer overflow e fuzzing
  • A garantia de serviços não é vulnerável a ataques DoS que podem afetar o próprio dispositivo ou outros dispositivos e / ou utilizadores na rede local ou em outras redes
  • Garantir portas ou serviços de rede não são expostos à internet via UPnP, por exemplo.

 

4. Falta de Criptografia de Transporte

a) Trata dos dados que estão sendo trocados com o dispositivo IoT em um formato não encriptados. Isso poderia facilmente levar um intruso a farejar os dados e capturar esses dados para uso posterior ou comprometer o próprio dispositivo. Vulnerabilidades de segurança específicas que podem levar a esse problema incluem:

  • Serviços não encriptados via Internet
  • Serviços não encriptados através da rede local
  • Implementado mal SSL / TLS
  • SSL / TLS configurado incorretamente.

b)  Sugeridas abaixo estão algumas contra-medidas para proteger contra as ameaças mencionadas acima:

  • Garantir que os dados sejam encriptados utilizando protocolos como SSL e TLS enquanto transitam por redes
  • Garantir que outras técnicas de criptografia padrão do setor sejam utilizadas para proteger os dados durante o transporte, se o SSL ou o TLS não estiverem disponíveis
  • Garantir que apenas padrões de criptografia aceitos sejam usados ​​e evitar o uso de protocolos de criptografia proprietários.

 

5. Preocupações com privacidade

a) Preocupações com a privacidade são geradas pela recolhe de dados pessoais, além da falta de proteção adequada desses dados. As preocupações com privacidade são fáceis de descobrir, basta revisar os dados que estão sendo recolhidos à medida que o utilizador configura e ativa o dispositivo. As ferramentas automatizadas também podem procurar padrões específicos de dados que possam indicar a recolhe de dados pessoais ou outros dados confidenciais. Vulnerabilidades de segurança específicas que podem levar a esse problema incluem:

  • recolhe de Informações Pessoais Desnecessárias.

 

b) Sugeridas abaixo estão algumas contra-medidas para proteger contra as ameaças mencionadas acima:

  • Garantir que apenas dados críticos para a funcionalidade do dispositivo sejam recolhidos
  • Garantir que quaisquer dados recolhidos sejam de natureza menos sensível (ou seja, tentar não recolher dados sensíveis) 
  • Assegurar que quaisquer dados recolhidos sejam anónimos
  • Assegurar que todos os dados recolhidos sejam devidamente protegidos com criptografia
  • Assegurar que o dispositivo e todos os seus componentes protejam adequadamente as informações pessoais
  • Garantir que apenas pessoas autorizadas tenham acesso a informações pessoais recolhidas
  • Garantir que os limites de retenção sejam definidos para os dados recolhidos
  • Assegurar que os utilizadores finais recebam “Aviso e escolha” se os dados recolhidos forem mais do que o esperado do produto.

 

6. Interface de Nuvem Insegura

a) Este ponto refere-se a questões de segurança relacionadas à interface da nuvem usada para interagir com o dispositivo IoT. Normalmente, isso implicaria em controlos de autenticação inadequados ou em dados que viajam em um formato não encriptados, permitindo que um atacante aceda o dispositivo ou os dados subjacentes. Vulnerabilidades de segurança específicas que podem levar a esse problema incluem:

  • Enumeração de conta
  • Nenhum bloqueio de conta
  • Credenciais expostas no tráfego de rede.

 

b) Sugeridas abaixo estão algumas contra-medidas para proteger contra as ameaças mencionadas acima:

  • Senhas padrão e idealmente nomes de utilizador padrão a serem alterados durante a configuração inicial
  • Garantir que as contas de utilizador não possam ser enumeradas utilizando funcionalidades como mecanismos de redefinição de senha
  • Assegurando o bloqueio da conta após 3 a 5 tentativas de login com falha
  • Garantir que a interface da Web baseada em nuvem não seja suscetível a XSS, SQLi ou CSRF
  • Garantir que as credenciais não sejam expostas pela Internet 
  • Implementar a autenticação de dois fatores, se possível.

 

7. Interface Móvel Insegura

a) Semelhante ao ponto acima, a autenticação fraca ou canais de dados não encriptados podem permitir que um invasor aceda o dispositivo ou os dados subjacentes de um dispositivo IoT que use uma interface móvel vulnerável para interação do utilizador. Vulnerabilidades de segurança específicas que podem levar a esse problema incluem:

  • Enumeração de conta
  • Nenhum bloqueio de conta
  • Credenciais expostas no tráfego de rede.

 

b) Sugeridas abaixo estão algumas contra-medidas para proteger contra as ameaças mencionadas acima:

  • Senhas padrão e idealmente nomes de utilizador padrão a serem alterados durante a configuração inicial
  • Garantir que as contas de utilizador não possam ser enumeradas utilizando funcionalidades como mecanismos de redefinição de senha
  • Assegurando o bloqueio da conta após 3 a 5 tentativas de login com falha
  • Garantir que as credenciais não sejam expostas enquanto estiverem conectadas a redes sem fio
  • Implementando a autenticação de dois fatores, se possível.

 

8. Configuração de Segurança Insuficiente

a) A configurabilidade de segurança insuficiente está presente quando os utilizadores do dispositivo têm pouca ou nenhuma capacidade de alterar seus controlos de segurança. A capacidade de configuração de segurança insuficiente é aparente quando a interface da Web do dispositivo não tem opções para criar permissões de utilizador granulares ou, por exemplo, forçar o uso de senhas de alta segurança. O risco disso é que o dispositivo IoT poderia ser mais fácil de atacar, permitindo o acesso não autorizado ao dispositivo ou aos dados. Vulnerabilidades de segurança específicas que podem levar a esse problema incluem:

  • Falta de modelo de permissão granular
  • Falta de opções de segurança por senha
  • Sem controlo de segurança 
  • Nenhum log de segurança.

b) Sugeridas abaixo estão algumas contra-medidas para proteger contra as ameaças mencionadas acima:

  • Garantir a capacidade de separar utilizadores normais de utilizadores administrativos
  • Garantir a capacidade de encriptar dados em repouso ou em trânsito
  • Assegurando a capacidade de forçar políticas de senhas fortes
  • Garantindo a capacidade de ativar o registo de eventos de segurança
  • Garantindo a capacidade de notificar os utilizadores finais sobre eventos de segurança.

 

9. Software / Firmware Inseguro

a) A falta de capacidade de atualização de um dispositivo apresenta uma falha de segurança por conta própria. Os dispositivos devem ter a capacidade de serem atualizados quando as vulnerabilidades são descobertas e as atualizações de software / firmware podem ficar inseguras quando os ficheiros atualizados e a ligação de rede em que são entregues não estão protegidos. O Software / Firmware também pode ser inseguro se eles contiverem dados confidenciais codificados, como credenciais. A incapacidade de atualização de software / firmware significa que os dispositivos permanecem vulneráveis ​​indefinidamente ao problema de segurança que a atualização deve resolver. Além disso, se os dispositivos tiverem credenciais confidenciais codificadas, se essas credenciais forem expostas, elas permanecerão assim por um período indefinido de tempo. Vulnerabilidades de segurança específicas que podem levar a esse problema incluem:

  • Criptografia não usada para buscar atualizações
  • Atualizar ficheiro não encriptados
  • Atualizar não verificado antes do envio
  • Firmware contém informações confidenciais
  • Não há funcionalidade de atualização óbvia.

 

b) Sugeridas abaixo estão algumas contra-medidas para proteger contra as ameaças mencionadas acima:

  • Garantir que o dispositivo tenha a capacidade de atualizar (muito importante)
  • Garantir que o ficheiro de atualização seja encriptados utilizando métodos de criptografia aceitos
  • Garantir que o ficheiro de atualização seja transmitido por meio de uma ligação encriptada
  • Garantir que o ficheiro de atualização não exponha dados confidenciais
  • Assegurar que a atualização seja assinada e verificada antes de permitir que a atualização seja carregada e aplicada
  • Garantir que o servidor de atualização esteja seguro.

 

10. Má Segurança Física

a) Fraquezas de segurança física estão presentes quando um invasor pode desmontar um dispositivo para aceder facilmente o meio de armazenamento e quaisquer dados armazenados nesse meio. Pontos fracos também estão presentes quando portas USB ou outras portas externas podem ser usadas para aceder o dispositivo utilizando recursos destinados a configuração ou manutenção. Isso pode levar a um acesso não autorizado fácil ao dispositivo ou aos dados. Vulnerabilidades de segurança específicas que podem levar a esse problema incluem:

  • Acesso ao software através de portas USB
  • Remoção de mídia de armazenamento.

 

Sugeridas abaixo estão algumas contra-medidas para proteger contra as ameaças mencionadas acima:

  • Garantir que o meio de armazenamento de dados não possa ser facilmente removido
  • Garantir que os dados armazenados sejam encriptados em repouso
  • Garantir portas USB ou outras portas externas não pode ser usado para aceder maliciosamente o dispositivo
  • Garantir que o dispositivo não seja desmontado com facilidade
  • Garantir que apenas as portas externas necessárias, como o USB, sejam necessárias para que o produto funcione
  • Garantir que o produto tenha a capacidade de limitar os recursos administrativos.

 

IoT está aqui e está aqui para ficar. Em 2020, prevê a Gartner , a Internet das Coisas será composta de 26 biliões de “unidades”. Os controlos específicos mencionados acima não darão em nada se os fabricantes de dispositivos de IoT não os levarem em consideração. As ações são simples, conforme indicado abaixo:

  • Realize uma revisão de segurança de seus dispositivos para determinar quaisquer vulnerabilidades
  • Documentar e implementar padrões mínimos de segurança para todos os dispositivos e garantir que esses padrões sejam cumpridos como parte do processo de fabricação
  • Conforme acima, garantir que a segurança é parte integrante do ciclo de vida de desenvolvimento do produto, de modo que ele seja incorporado ao dispositivo e não como uma reflexão tardia.

 

Para as empresas, as mensagens são bem simples também. Considere o seguinte:

  • Identifique seus ativos de informações críticas e os isole / proteja. Os controlos de segurança tradicionais aqui ainda são eficazes
  • Saiba que você será violado! Verifique se você tem uma maneira de detectar isso e responder 24×7 .

 

Os dispositivos de IoT têm um grande potencial para facilitar nossas vidas. No entanto, se os problemas de segurança não forem considerados e resolvidos, os dispositivos podem cautilizar muito mais problemas do que o valor deles .

Qual a sua perspectiva em relação à Internet das coisas (IoT)?

post_title
Quais as ameaças da Internet das Coisas (IoT) 1

post_excerpt

Editor's Rating:
5
António Almeida

António Almeida

Licenciado em engenharia Informático e Telecomunicações, mestre em Sistemas e Tecnologias de Informação e doutorando em Informática é um apaixonado por todo o tipo de tecnologia. Apostava na troca de informações e acaba de criar uma rede de informáticos especialistas interessados em tecnologia.

PRÓXIMOS ARTIGOS:

  • Últimas Notícias sobre Tecnologia
  • Promoções de produtos e serviços
  • Ofertas e Sorteios de equipamentos

RECEBER GRÁTIS:

Como gostaria de receber mais informação do Informatico.pt?

Pode cancelar quando quiser clicando no link que aparece no rodapé dos e-mails.

DEIXAR COMENTÁRIO:

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

AVISO:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de carácter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.
Whatsapp Viber Telegram Ligar Agora Skype Enviar SMS
Share on facebook
Share on pinterest
Share on twitter
Share on email
Share on linkedin

Formulário Agendamento

assistencia ao domicilio

Formulário Contato

formulario de contato