BLOG

Thingbots se transformando em plataformas de ataque

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 29 de novembro de 2018

Isto não é um exercício. A ameaça dos Thingbots é existencial e cresce a cada dispositivo conectado que instalamos.

Tenho um pastor de Shetland que tem algo contra minha torradeira. Sempre que está ligado, ele late e pula como se fosse uma ameaça. Meu marido e eu brincamos que o cachorro acha que a torradeira é um Decepticon. Ou fazíamos isso até eu ler o último relatório do F5 Labs . Agora estou me perguntando se talvez meu cachorro saiba de algo que nós não sabemos.  

Há anos, o F5 Labs vem monitorando e relatando ataques contra dispositivos IoT. Além das câmeras IP e roteadores SOHO óbvios, isso inclui sua TV, forno, geladeira e sua cafeteira Keurig.

Você leu corretamente - a F5 Labs detectou tráfego de ataque vindo de uma cafeteira Keurig. O que faz com que a suspeita do meu cachorro em relação à minha torradeira não pareça tão louca quanto parecia há pouco, não é?

O último relatório do F5 Labs, que abrange dados sobre ataques globais contra dispositivos IoT de janeiro a junho de 2018, é preocupante. Não apenas porque os dispositivos de IoT continuam sendo atacados ou mesmo porque estão vulneráveis a ataques, mas por causa da transformação que está ocorrendo.

O relatório observa que 74% dos " thingbots" que conhecemos foram desenvolvidos nos últimos dois anos. Treze thingbots foram descobertos somente em 2018, e eles não são mais bots de propósito único ou duplo. Houve uma mudança para bots de ataque multifuncionais para aluguel que implantam servidores proxy.

Os Thingbots estão sendo transformados em plataformas de ataque. Eles são dinâmicos e configuráveis, capazes de lançar uma infinidade de ataques - desde sequestro de criptografia a farejadores de pacotes, sequestros de DNS e preenchimento de credenciais. Os invasores não estão apenas recrutando dispositivos de IoT, eles os estão treinando para serem supersoldados em seus exércitos digitais.

Dada a facilidade com que os invasores conseguem comprometer dispositivos, essa transformação é angustiante. A capacidade de utilizar um único dispositivo comprometido para vários tipos de ataque dá aos "proprietários" dessas botnets uma vantagem econômica. Alugar redes de dispositivos comprometidos é um negócio lucrativo há muito tempo, mas a capacidade de diversificar seu portfólio é uma vantagem em qualquer mercado.

Não se iluda achando que isso não é um mercado. E é isso mesmo que acontece. Ao transformar os thingbots em plataformas, os invasores estão garantindo que esse seja um mercado em crescimento.

É frustrante que continuemos a alimentar esse mercado. Fabricantes e provedores de serviços fazem isso confiando em credenciais padrão fracas que são facilmente descobertas - ou adivinhadas. O relatório do F5 Labs observa: "Oitenta e oito por cento (88%) das credenciais na lista dos 50 mais atacados de 1º de janeiro de 2018 a 30 de junho de 2018 têm o mesmo nome de usuário e senha. Isso inclui 'root:root', 'admin:admin' e 'user:user'.

Os invasores sabem disso e exploram esse fato com taxas de sucesso alarmantes. Esse sucesso é auxiliado pela falha do consumidor em alterar essas credenciais padrão.  E quando os invasores assumem o controle de um roteador SOHO, é simples atacar todos os dispositivos dentro da rede que, de outra forma, não seriam acessíveis.

Como sua cafeteira. Ou talvez minha torradeira.

Será interessante ver se a proibição de senhas padrão na Califórnia — que entrará em vigor em 1º de janeiro de 2020 — terá algum impacto mensurável. O projeto de lei exige que qualquer dispositivo conectado vendido na Califórnia tenha uma senha exclusiva no momento da fabricação ou exija a criação de uma na primeira interação do usuário. Dada a natureza global do mercado, esse requisito provavelmente afetará dispositivos vendidos em qualquer lugar. Mas isso inclui apenas dispositivos vendidos após 1º de janeiro de 2020. Isso não afetará os dispositivos vendidos agora ou pelos próximos dois anos. Até lá, a rede global de dispositivos comprometidos pode ser tão grande que não será tão útil quanto poderia ter sido se ela — ou uma lei semelhante em outro estado — tivesse sido implementada anos atrás.

Vale a pena ler o último relatório do F5 Labs para entender a grave ameaça que os thingbots representam não apenas para as propriedades digitais, mas também para as pessoas. Todos os aspectos de nossas vidas estão sendo transformados digitalmente, e a IoT é uma contribuidora significativa para essa transformação. Ao se apropriarem dos dispositivos dos quais nossos policiais, bombeiros e profissionais médicos dependem, os invasores podem afetar nossa saúde e segurança. O controle da sinalização digital que orienta e direciona o tráfego nas rodovias pode levar a resultados desastrosos.

Quanto mais dependemos de dispositivos de IoT, maior se torna a ameaça de comprometimento deles.