Mirai Attack e a vingança da Internet das Coisas

Este ano conversamos com o especialista em pentests Ken Munro sobre a segurança da Internet das Coisas. Quando perguntamos sobre a segurança desses dispositivos (que incluem, por exemplo, campainhas wireless, máquinas de café e outros gadgets inteligentes), ele respondeu: “Você já está dando um grande passo presumindo que os fabricantes pensaram em ataques hackers”.

“Privacidade desde a concepção” (em inglês, Privacy by Design) é algo que não faz parte do vocabulário dos fabricantes de dispositivos de Internet das Coisas.

O próprio blog de Ken Munro é cheio de exemplos de negligência de fornecedores em relação à privacidade desde a concepção. Munro tem até cenários de ataque montados para câmeras IP, o mesmo tipo de dispositivo que levou ao ataque direcionado à Dyn, que prejudicou diversas plataformas de serviços na web e ficou conhecido como Mirai Attack.

Basta entender algumas dessas técnicas para descobrir o que chamamos de “regra de ouro do Munro” para lidar com dispositivos de Internet das Coisas voltados para o consumidor: mude as configurações de fábrica se quiser proteger seu gadget dos hackers.

Quando os hackers tomam o controle de um dispositivo conectado – já que é bem fácil adivinhar senhas de administradores que nunca foram alteradas – geralmente também encontram acesso à rede WiFi sem esforço. Depois disso, é simples transformar o ataque em algo mais sério.

O que aprendemos com o Mirai Attack

Esse tipo de ataque exige que o hacker esteja ao alcance do sinal de WiFi. Eles então desautenticam o gadget de Internet das Coisas e o forçam a se reconectar com o ponto de acesso do hacker. Isso mostra que você deve se preocupar mais com os filhos do vizinho ou com praticantes de wardriving.

Depois de entrevistarmos Munro, vimos que o nível de segurança da Internet das Coisas não é muito alta, mas isso é relativamente benigno, e envolve fraquezas já conhecidas de alguns profissionais de segurança. No entanto, o Mirai Attack mudou isso.

O incidente tornou a Internet das Coisas um tema de interesse até da mídia não técnica. Ainda há muito para entendermos sobre o ataque, mas está claro que as câmeras WiFi estão envolvidas – talvez mais de 30 mil.

Isso não explica como os hackers conseguiram evoluir de um ataque às câmeras de uma rede WiFi específica para uma dominação de milhares de câmeras WiFi ao melhor do mundo.

Condenados de fábrica

Os hackers perceberam que, assim como os profissionais de TI das empresas, os consumidores também são péssimos em trocar senhas de fábrica. Se até profissionais de segurança e outros usuários mais experientes usam senhas como “12345”, o que podemos esperar de um usuário médio?

O que teoricamente seria mais difícil, que é descobrir o endereço das câmeras, acabou se tornando fácil por causa de uma configuração de fábrica dos roteadores WiFi que os consumidores nunca se incomodam em alterar, o Universal Plug and Play (UPnP), um protocolo que deixa dispositivos conectados abrirem automaticamente uma porta no roteador que permite se comunicar com outros gadgets conectados remotamente.

Isso faz sentido quando falamos de câmeras WiFi: você pode querer ver remotamente o que está acontecendo nos ambientes monitorados usando seu browser ou alguma outra plataforma remota. Nesse caso, seria necessária uma porta pública mapeada pelo roteador para o dispositivo. O protocolo UPnP não faz isso e, apesar de ser conveniente, acaba gerando um ambiente menos seguro se não houver um cuidado maior com senhas fortes.

Os hackers por trás do Mirai Attack exploraram uma série de configurações de fábrica. Eles usaram uma abordagem de força bruta, escaneando dezenas e até centenas de milhares de roteadores ao redor do mundo em busca de portas expostas, que provavelmente usavam o protocolo UPnP.

Eles então ganharam acesso privilegiado tentando uma série de senhas de fábrica típicas, como “admin” e “12345”, até conseguirem se conectar ou mover para o próximo roteador.

Uma vez no dispositivo, eles então baixaram o malware Mirai e transformaram o dispositivo em um replicador de pacotes direcionados à Dyn.

No futuro, podemos esperar mais incidentes em que as configurações de fábrica dos dispositivos de internet das coisas sejam alvo de hackers. Um passo importante que os fornecedores desses equipamentos precisam dar é investir em criptografia e na assinatura do firmware disponível em seus sites, tornando mais difícil para o hacker a exploração por meio de scanners.

Os consumidores também precisam cultivar um mindset de segurança e não presumir que seus gadgets de internet das coisas podem tomar conta de tudo sozinhos. Se você não é alertado de que precisa mudar sua senha durante a instalação, algo provavelmente está errado.