Código em câmera mostra vulnerabilidade do conceito IoT
A recente descoberta do pesquisador de segurança Mike Olsen, de um "iFrame" malicioso, incorporado no código de controle de um conjunto de câmeras de segurança comprado da Amazon, destaca uma das ameaças emergentes para a Internet das coisas: é relativamente fácil para envenenar a cadeia de abastecimento dos consumidores.
Olsen descobriu um link para um domínio malicioso conhecido. Muito corretamente, ele escreveu para o fornecedor e advertiu que ele teria que informar a Amazon, com vista a ter o produto removido da venda. Olsen não sugeriu "culpa" ou responsabilidade tanto a Amazon ou do fornecedor - apenas que ele tinha encontrado um grave problema.
Mas o fornecedor é inflexível: a culpa não é dele.
- "Nenhuma de nossas câmeras, software ou sites têm qualquer spyware, vírus ou qualquer coisa desse tipo", disse ele em uma resposta por escrito.
- "Nós utilizamos três programas de spyware inhouse, além de uma empresa externa que contratamos para executar uma verificação de nossos sistemas em uma base semanal. Além disso, a partir das mais de 200 câmeras que temos vendido este ano (somos uma pequena empresa com 3 funcionários ), nenhum teve quaisquer problemas nem perto do que Mike demonstra."
O link para a Amazônia para as câmeras (que já foi removido ou alterado) foi: http://www.amazon.com/Sony-Chip-Camera-1080P-CCTV/dp/B00YMEVSGA .
Uma publicação especializada contatou a Sony para um comentário sobre o assunto. A Sony respondeu, dizendo que "... as câmeras mencionados no artigo não são produtos da Sony no entanto eles aparentemente usar componentes Sony de acordo com a descrição do produto, especificamente o chip sensor CMOS para capturar a imagem ... Então a Sony não está envolvida."
No entanto, o código malicioso estava lá.
Considere isso como uma hipótese: um cara mau compra um dispositivo de Internet das coisas de um fornecedor de Internet; ele mexe com ela e devolve o produto. Uma vez que é, aparentemente, não utilizado, o fornecedor pode devolvê-lo direto para inventário - e o próximo cliente - que pode não ter a capacidade de Olsen para inspecionar e avaliar o código - recebe e utiliza um dispositivo comprometido.
Isso já pode estar acontecendo.
De acordo com Sean Sullivan, pesquisador de segurança da F-Secure:
- "Neste cenário," disse Sullivan, "eu não acho que você chamaria isso de software malicioso. Em vez disso, o firmware do dispositivo foi alterado, provavelmente para incluir uma backdoor. Antivirus tradicionais não vão ter visibilidade neste caso".
David Soria, um engenheiro de segurança com iTrust França , confirmou este ponto de vista.
Mas, enquanto as empresas teriam a capacidade técnica para controlar o seu perímetro, os consumidores normalmente não o fazem.
Portanto, a hipótese acima onde um único dispositivo infectado pode dar margem a um processo de "busca & infecção" de outros dispositivos, iguais ou diferentes, é um cenário concreto e tecnicamente factível - mesmo que não utilizando firmware-write para isso, mas comprometendo o roteamento do dispositivo, forçando-o a enviar dados para um link malicioso - como num ataque conhecido como "homem no meio".
Multiplique isso por milhões de dispositivos, e mais uma vez multiplique pelo número de diferentes utilitários em cada lar ou escritório que compartilha a mesma banda, o mesmo roteador, a mesma conexão LAN ou WAN.
