Prolongar
Elena Lacey
comentários do leitor
89
com 63 pôsteres participantes
Compartilhe esta história
Compartilhar no Facebook
Compartilhar no Twitter
Compartilhe no Reddit
Nos últimos anos, os pesquisadores descobriram um número chocante de vulnerabilidades em códigos aparentemente básicos que sustentam como os dispositivos se comunicam com a Internet. Agora, um novo conjunto de nove vulnerabilidades está expondo cerca de 100 milhões de dispositivos em todo o mundo, incluindo uma variedade de produtos de Internet das coisas e servidores de gerenciamento de TI. A grande questão que os pesquisadores estão lutando para responder, no entanto, é como estimular mudanças substantivas - e implementar defesas eficazes - à medida que mais e mais desses tipos de vulnerabilidades se acumulam.
Apelidado
Nome: Naufrágio
, as falhas recentemente divulgadas estão em quatro pilhas TCP / IP onipresentes, código que integra protocolos de comunicação de rede para estabelecer conexões entre dispositivos e a Internet. As vulnerabilidades, presentes em sistemas operacionais como o projeto open source FreeBSD, bem como no Nucleus NET da firma de controle industrial Siemens, estão todas relacionadas a como essas pilhas implementam a lista telefônica da Internet “Domain Name System”. Todos eles permitiriam que um invasor travasse um dispositivo e o colocasse offline ou ganhasse o controle dele remotamente. Ambos os ataques podem potencialmente causar estragos em uma rede, especialmente em infraestrutura crítica, assistência médica ou configurações de fabricação, onde a infiltração em um dispositivo conectado ou servidor de TI pode interromper um sistema inteiro ou servir como um valioso ponto de partida para se aprofundar mais em um rede da vítima.
Todas as vulnerabilidades, descobertas por pesquisadores das empresas de segurança Forescout e JSOF, agora têm patches disponíveis, mas isso não se traduz necessariamente em consertos em dispositivos reais, que geralmente executam versões de software mais antigas. Às vezes, os fabricantes não criaram mecanismos para atualizar esse código, mas em outras situações eles não fabricam o componente em que está sendo executado e simplesmente não têm controle do mecanismo.
Propaganda
“Com todas essas descobertas, sei que pode parecer que estamos apenas trazendo os problemas para a mesa, mas estamos realmente tentando aumentar a conscientização, trabalhar com a comunidade e descobrir maneiras de resolver isso”, diz Elisa Costante, vice-presidente de pesquisa da Forescout, que fez outras pesquisas semelhantes por meio de um esforço que chama de Projeto Memória. “Analisamos mais de 15 pilhas TCP / IP, tanto proprietárias quanto de código aberto, e descobrimos que não há diferença real na qualidade. Mas essas semelhanças também são úteis, porque descobrimos que elas têm pontos fracos semelhantes. Quando analisamos uma nova pilha, podemos ir e olhar para esses mesmos lugares e compartilhar esses problemas comuns com outros pesquisadores, bem como desenvolvedores. ”
Os pesquisadores ainda não viram evidências de que os invasores estão explorando ativamente esses tipos de vulnerabilidades em liberdade. Mas com centenas de milhões - talvez bilhões - de dispositivos potencialmente afetados por várias descobertas diferentes, a exposição é significativa.
O diretor de segurança cibernética da Siemens USA, Kurt John, disse à Wired em um comunicado que a empresa “trabalha em estreita colaboração com governos e parceiros da indústria para mitigar vulnerabilid
ades ... Neste caso, estamos felizes por ter colaborado com um tal parceiro, Forescout, para identificar rapidamente e mitigar a vulnerabilidade. "Os pesquisadores
coordenado
divulgação
das falhas com os desenvolvedores lançando
remendos
, a Agência de Segurança de Infraestrutura e Cibersegurança do Departamento de Segurança Interna e outros grupos de rastreamento de vulnerabilidade.
Falhas semelhantes
encontrado por Forescout e JSOF em outro proprietário e de código aberto
Pilhas TCP / IP
já foram encontrados expondo centenas de milhões ou mesmo possivelmente bilhões de dispositivos em todo o mundo.
Os problemas aparecem com tanta frequência nesses protocolos de rede onipresentes porque eles foram amplamente transmitidos intocados ao longo de décadas, conforme a tecnologia em torno deles evolui. Essencialmente, como não está quebrado, ninguém conserta.
“Para o bem ou para o mal, esses dispositivos contêm códigos que as pessoas escreveram há 20 anos - com a mentalidade de segurança de 20 anos atrás”, disse Ang Cui, CEO da empresa de segurança de IoT Red Balloon Security. “E funciona; nunca falhou. Mas uma vez que você o conecta à Internet, fica inseguro. E isso não é surpreendente, visto que tivemos que realmente repensar como fazemos a segurança para computadores de uso geral ao longo desses 20 anos. ”
Propaganda
O problema é
notório
neste ponto, e é um que a indústria de segurança não foi capaz de reprimir, porque o código zumbi cheio de vulnerabilidades sempre parece ressurgir.
“Existem muitos exemplos de recriação não intencional desses bugs de rede de baixo nível dos anos 90”, disse Kenn White, codiretor do Open Crypto Audit Project. “Muito se trata da falta de incentivos econômicos para realmente focar na qualidade deste código.”
Há algumas boas notícias sobre a nova lista de vulnerabilidades que os pesquisadores encontraram. Embora os patches possam não proliferar completamente tão cedo, eles estão disponíveis. E outras mitigações paliativas podem reduzir a exposição, nomeadamente evitando que tantos dispositivos quanto possível se conectem diretamente à Internet e usando um servidor DNS interno para rotear os dados. Costante do Forescout também observa que a atividade de exploração seria bastante previsível, tornando mais fácil detectar tentativas de tirar proveito dessas falhas.
Quando se trata de soluções de longo prazo, não há solução rápida, dados todos os fornecedores, fabricantes e desenvolvedores que participam dessas cadeias de suprimentos e produtos. Mas Forescout lançou um
script de código aberto
que os gerentes de rede podem usar para identificar dispositivos e servidores IoT potencialmente vulneráveis em seus ambientes. A empresa também mantém uma biblioteca de código aberto de consultas de banco de dados que pesquisadores e desenvolvedores podem usar para encontrar vulnerabilidades semelhantes relacionadas ao DNS com mais facilidade.
“É um problema generalizado; não é apenas um problema para um tipo específico de dispositivo ”, diz Costante. “E não se trata apenas de dispositivos IoT baratos. Há cada vez mais evidências de como isso é generalizado. É por isso que continuamos trabalhando para aumentar a conscientização. "
Esta história apareceu originalmente em
wired.com
.
