Estas previsões foram escritas por Eoin Carroll, Taylor Dunton, John Fokker, German Lancioni, Lee Munson, Yukihiro Okutomi, Thomas Roccia, Raj Samani, Sekhar Sarukkai, Dan Sommer e Carl Woodward.
Com o encerramento de 2018, devemos ser gratos pelo ano não ter sido inteiramente dominado pelo ransomware, embora a ascensão do GandCrab e de variantes do SamSam comprove que a ameaça continua ativa. Nossas previsões para 2019 não consistem em meramente fazer uma avaliação da ascensão ou queda de uma determinada ameaça e, em vez disso, concentram-se nos atuais rumores que vemos no submundo do crime cibernético e que deverão se transformar em tendências e, subsequentemente, ameaças à solta.
Testemunhamos uma colaboração maior entre criminosos cibernéticos explorando o mercado clandestino, o que lhes permitiu desenvolver eficiências em seus produtos. Há anos os criminosos cibernéticos fazem esse tipo de parceria e em 2019 essa economia de mercado irá se expandir. O jogo de gato e rato que o setor de segurança joga com os desenvolvedores de ransomware aumentará de intensidade e o setor terá de responder com mais rapidez e eficácia do que nunca.
As mídias sociais são parte de nossas vidas há mais de uma década. Recentemente, governos de países utilizaram plataformas de mídias sociais para disseminar desinformação. Em 2019, prevemos que os criminosos começarão a aproveitar essas táticas em benefício próprio. Da mesma forma, o crescimento contínuo da Internet das Coisas (IoT) nas residências inspirará os criminosos a atacar tais dispositivos para obter ganhos financeiros.
Uma coisa é certa: nossa dependência de tecnologia tornou-se predominante. Considere as violações de plataformas de identidade, com relatos de que 50 milhões de usuários foram afetados. Atualmente, as violações não se limitam à plataforma em questão. Tudo está conectado e você não pode ser mais forte que o elo mais fraco. No futuro, estaremos diante da questão de qual de nossos elos mais fracos será comprometido.
— Raj Samani, cientista-chefe e associado da McAfee na equipe do McAfee Advanced Threat Research
Twitter @Raj_Samani
Previsões
O submundo do crime cibernético se consolida e cria mais parcerias para incrementar as ameaças
Inteligência artificial, o futuro das técnicas de evasão
As ameaças sinérgicas vão se multiplicar, exigindo respostas combinadas
Desinformação e tentativas de extorsão para desafiar as marcas das organizações
Os ataques de vazamento de dados vão visar a nuvem
Assistentes digitais controlados por voz, o próximo vetor no ataques contra dispositivos IoT
Os criminosos cibernéticos aumentarão os ataques contra plataformas de identidade e os dispositivos periféricos serão sitiados
O submundo do crime cibernético se consolida e cria mais parcerias para incrementar as ameaças
Grupos de chat e fóruns ocultos de hackers atuam como um mercado para os criminosos cibernéticos, os quais podem comprar malware, explorações, redes de bots e outros serviços ilícitos. Com esses produtos prontos, criminosos com vários graus de experiência e sofisticação podem lançar ataques facilmente. Para 2019, prevemos que o submundo irá se consolidar, criando famílias de malware como serviço em menor quantidade, mas mais fortes, que colaborarão ativamente. Essas marcas cada vez mais poderosas impulsionarão uma mineração de criptomoedas mais sofisticada e uma exploração rápida de novas vulnerabilidades, aumentando o malware móvel e o roubo de credenciais e de cartões de crédito.
Mais afiliados deverão se unir às maiores famílias, devido à facilidade de operação e às alianças estratégicas com outros serviços essenciais de nível superior, incluindo kits de exploração, serviços de criptografia, misturadores de Bitcoin e serviços contra-antimalware. Há dois anos vimos, por exemplo, muitas das maiores famílias de ransomware utilizarem estruturas de afiliados. Ainda vemos o surgimento de diversos tipos de ransomware, mas apenas alguns sobrevivem porque a maioria não consegue captar negócios na medida necessária para competir com as marcas fortes, que oferecem taxas de infecção mais altas, bem como segurança operacional e financeira. No momento as maiores famílias anunciam ativamente suas ofertas; os negócios estão prosperando porque são marcas fortes (vide GandCrab) aliadas a outros serviços de nível superior, como lavar dinheiro ou tornar o malware indetectável.
Esses negócios clandestinos são bem-sucedidos porque são parte de um sistema baseado em confiança. Pode não ser um “código de honra entre bandidos”, mas os criminosos parecem à vontade, acreditando que não serão incomodados no círculo interno de seus fóruns. Vimos essa confiança no passado, por exemplo, com as populares lojas de cartões de crédito da primeira década deste século, que eram uma fonte expressiva de crime cibernético até que uma grande operação policial quebrou o modelo de confiança.
À medida que a detecção de endpoint se torna mais forte, o protocolo de desktop remoto (RDP) vulnerável constitui um caminho alternativo para os criminosos cibernéticos. Para 2019, prevemos que o malware, e especificamente o ransomware, utilizará cada vez mais o RPD como ponto de entrada para uma infecção. Atualmente, a maioria das lojas do submundo anuncia acesso RDP para fins diferentes de ransomware, tipicamente utilizando-o como meio para obtenção de acesso a contas da Amazon ou como proxy para roubar cartões de crédito. Modelos de ransomware como serviço (RaaS) e grupos de ransomware direcionado certamente utilizarão RDP. Já vimos esquemas abaixo do radar e altamente bem-sucedidos utilizando essa tática. Os atacantes encontram um sistema com RDP fraco, atacam-no com ransomware e se propagam por redes, seja aproveitando a funcionalidade existente ou utilizando funcionalidade de worm (EternalBlue). Há evidências de que o autor do GandCrab já está trabalhando em uma opção RDP.
Também prevemos que o malware relacionado a mineração de criptomoedas se tornará mais sofisticado, selecionando qual moeda minerar na máquina da vítima com base no hardware de processamento disponível (WebCobra) e no valor da moeda em questão no momento.
Para o ano que vem, prevemos que o ciclo de vida de uma vulnerabilidade, da detecção à armamentização, ficará ainda menor. Temos notado uma tendência dos criminosos cibernéticos se tornarem mais ágeis em seus processos de desenvolvimento. Eles coletam dados sobre falhas em fóruns on-line e no banco de dados Common Vulnerabilities and Exposures (CVE) para adicionar ao seu malware. Prevemos que os criminosos levarão, eventualmente, um dia ou apenas algumas horas para implementar ataques contra os mais recentes pontos fracos em software e hardware.
Nossa espectativa é de um aumento em discussões clandestinas sobre malware móvel, principalmente com ênfase em Android, relacionadas a redes de bots, fraude bancária, ransomware e como contornar segurança com autenticação por dois fatores. Atualmente, o valor da exploração de plataformas móveis é subestimado, pois os telefones oferecem muito aos criminosos cibernéticos, considerando-se o acesso que têm a informações confidenciais, como contas bancárias.
A fraude de cartões de crédito e a demanda por dados de cartões de crédito roubados continuarão, com um foco maior em operações de “skimming” on-line visando plataformas de pagamento de terceiros em grandes sites de e-commerce. A partir desses sites, os criminosos podem roubar subrepticiamente milhares de dados de cartões de crédito novos de uma vez só. Além disso, as mídias sociais estão sendo utilizadas para recrutar usuários incautos, os quais podem não saber que estão trabalhando para criminosos ao reenviar mercadorias ou oferecer serviços financeiros.
Nós prevemos um aumento no mercado de credenciais roubadas — alimentado por grandes violações de dados recentes e pelos maus hábitos dos usuários em relação a senhas. As violações levam, por exemplo, à venda de registros de eleitores e à invasão de contas de e-mail. Esses ataques ocorrem diariamente.
Inteligência artificial, o futuro das técnicas de evasão
Para aumentar suas chances de sucesso, os atacantes há muito empregam técnicas de evasão para contornar medidas de segurança e evitar detecção e análise. Ferramentas de compactação, encriptação e outras são componentes comuns nos arsenais dos atacantes. Com efeito, surgiu toda uma economia clandestina, oferecendo produtos e serviços específicos para viabilizar atividades criminosas. Prevemos que, em 2019, devido à facilidade com a qual os criminosos agora podem terceirizar componentes essenciais de seus ataques, as técnicas de evasão tornar-se-ão mais ágeis devido à aplicação de inteligência artificial. Você acha que o setor de contra-antivírus é pervasivo agora? Isso é apenas o começo.
Em 2018 vimos novas técnicas de injeção de processos, como “doppelgänging de processos”, com o ransomware SynAck, e injeção de PROPagate entregue pelo RigExploit Kit. Ao adicionar tecnologias como inteligência artificial, as técnicas de evasão serão capazes de contornar as proteções ainda mais facilmente.
Evasões diferentes para malware diferente
Em 2018, observamos o surgimento de novas ameaças, como mineradores de criptomoedas, que sequestram os recursos das máquinas infectadas. Cada ameaça é acompanhada de técnicas de evasão criativas:
- Mineração de criptomoedas: os mineradores implementam várias técnicas de evasão. Um exemplo é o WaterMiner, que simplesmente interrompe seu processo de mineração quando a vítima abre o Gerenciador de Tarefas ou executa uma varredura antimalware.
- Kits de exploração: técnicas de evasão populares incluem injeção de processos ou manipulação do espaço de memória e acréscimo de código arbitrário. A injeção em memória é um vetor de infecção popular para evitar detecção durante a entrega.
- Redes de bots: técnicas antidisassembly ou de ocultação de código costumam ser utilizadas por grandes redes de bots que infectam milhares de vítimas. Em maio de 2018, a rede AdvisorsBot foi flagrada utilizando código lixo, instruções condicionais falsas, criptografia XOR e até mesmo hashing de API. Como os bots tendem a se espalhar amplamente, os autores implementaram diversas técnicas de evasão para retardar qualquer engenharia reversa. Eles também utilizaram mecanismos de ocultação para as comunicações entre os bots e os servidores de controle. Criminosos utilizam redes de bots para atividades como DDoS de aluguel, proxies, spam ou entrega de outros tipos de malware. O uso de técnicas de evasão é fundamental para que os criminosos evitem ou retardem a derrubada das redes de bots.
- Ameaças persistentes avançadas: certificados roubados, comprados no submundo do crime cibernético, costumam ser utilizados em ataques direcionados para contornar detecções antimalware. Os atacantes também utilizam malware de baixo nível, como rootkits ou ameaças com base em firmware. Por exemplo, em 2018 a ESET descobriu o LoJax, primeiro rootkit de UEFI. Pesquisadores de segurança também viram características destrutivas sendo utilizadas como técnicas antiforenses: o malware OlympicDestroyer atacou a organização dos Jogos Olímpicos e apagou backups e registros de eventos para evitar investigação.
Inteligência artificial, a próxima arma
Nos últimos anos, vimos malware utilizando técnicas de evasão para contornar mecanismos de autoaprendizagem. Por exemplo, em 2017 o ransomware Cerber inseriu arquivos legítimos em sistemas para enganar o mecanismo responsável por classificar os arquivos. Em 2018, o ransomware PyLocky utilizou o InnoSetup para encapsular o malware e evitar detecção por autoaprendizagem.
Evidentemente, contornar mecanismos de inteligência artificial é algo já presente na lista de afazeres dos criminosos. No entanto, os criminosos também podem implementar inteligência artificial em seu software malicioso. Prevemos que as técnicas de evasão comecem a utilizar inteligência artificial para automatizar a seleção de alvos ou para verificar os ambientes infectados antes de distribuir os estágios mais avançados e, com isso, evitar detecção.
Esse tipo de implementação está mudando as regras do jogo no cenário de ameaças. Prevemos que isso será encontrado à solta em breve.
As ameaças sinérgicas vão se multiplicar, exigindo respostas combinadas
Este ano vimos ameças cibernéticas adaptarem-se e reorientarem-se mais rapidamente do que nunca. Vimos o ransomware evoluir para se tornar mais eficaz ou atuar como uma cortina de fumaça. Vimos a ascensão do cryptojacking, que oferece um retorno de investimento melhor e mais seguro do que o ransomware. Vemos que o phishing continua forte, encontrando novas vulnerabilidades para explorar. Também observamos que as ameaças sem arquivo e que se aproveitam da funcionalidade existente estão mais evasivas do que nunca, e até vimos a incubação do malware de esteganografia na campanha dos Jogos Olímpicos de Pyeongchang. Para 2019, prevemos que os atacantes combinarão essas táticas com mais frequência para criar ameaças multifacetadas ou sinérgicas.
O que poderia ser pior?
Os ataques são normalmente centrados no uso de uma única ameaça. Os elementos maliciosos concentram seus esforços na iteração e evolução de uma ameaça de cada vez, para aprimorar sua eficácia e evasão. Quando um ataque é bem-sucedido, ele é classificado como ransomware, cryptojacking, vazamento de dados, etc. e defesas são instauradas. A essa altura, a taxa de sucesso do ataque é significativamente reduzida. Contudo, se um ataque sofisticado envolve não uma, mas cinco ameaças avançadas trabalhando juntas sinergeticamente, o panorama da defesa se torna bastante indefinido. O desafio surge ao se fazer uma tentativa de identificar e neutralizar o ataque. Como os objetivos últimos do ataque são desconhecidos, é possível se perder nos detalhes de cada ameaça que desempenha algum papel nessa cadeia.
Uma das razões pelas quais as ameaças sinérgicas estão se tornando uma realidade é o fato de que os perpetradores estão aprimorando suas capacidades, desenvolvendo bases, kits e componentes de ameaça reutilizáveis. Conforme os atacantes organizam seus esforços em um modelo de negócios de mercado negro, eles podem se concentrar em agregar valor aos componentes anteriores. Essa estratégia os permite orquestrar múltiplas ameaças em vez de apenas uma para atingir seus objetivos.
Um exemplo vale mil palavras
Imagine um ataque que comece com uma ameaça via phishing — não uma campanha típica que utilize documentos do Word, mas uma técnica nova. Esse e-mail de phishing contém um vídeo em anexo. Quando você abre o vídeo, o seu player de vídeo não o reproduz e solicita a atualização do codec. Quando você executa a atualização, um arquivo polyglot esteganográfico (um simples GIF) é inserido no seu sistema. Como se trata de um polyglot (um arquivo que assume mais de um formato simultaneamente), o arquivo GIF agenda uma tarefa que busca um script sem arquivo hospedado em um sistema comprometido. Esse script executado em memória avalia o seu sistema e decide executar um ransomware ou um minerador de criptomoedas. Trata-se de uma perigosa ameaça sinérgica em ação.
O ataque levanta muitas questões: com o que você está lidando? É phishing 2.0? É stegware? É sem arquivo, aproveitando-se da funcionalidade existente? Cryptojacking? Ransomware? É tudo isso ao mesmo tempo.
Esse exemplo sofisticado, mas plausível, demonstra que o foco em uma única ameaça pode não ser suficiente para detectar ou neutralizar um ataque. Ao pretender classificar o ataque em uma única categoria, você pode perder de vista o cenário como um todo e, com isso, ser menos eficaz em neutralizá-lo. Mesmo que você detenha o ataque no meio da cadeia, descobrir os estágios inicial e final é igualmente importante para se proteger contra tentativas futuras.
Seja curioso e criativo; conecte suas defesas
Enfrentar ataques sofisticados baseados em ameaças sinérgicas requer o questionamento de cada ameaça. E se esse ataque de ransomware foi parte de algo maior? E se esse e-mail de phishing mudar para alguma técnica para a qual os funcionários não tenham sido treinados? E se não estivermos enxergando o verdadeiro objetivo do ataque?
Levar essas questões em consideração não apenas o ajudará a captar todo o cenário, mas também a obter o máximo das soluções de segurança. Prevemos que os malfeitores acrescentarão sinergia aos seus ataques, mas as defesas cibernéticas também podem trabalhar sinergeticamente.
— German Lancioni e Carl Woodward
Criminosos cibernéticos utilizarão campanhas de extorsão e desinformação em mídias sociais para desafiar as marcas das organizações
As eleições foram influenciadas, as notícias falsas (fake news) predominam e nossos seguidores nas mídias sociais são todos robôs controlados por governos estrangeiros. Pelo menos é como o mundo parece ser, às vezes. Dizer que os últimos anos foram problemáticos para as empresas de mídias sociais é minimizar a gravidade da situação. Durante esse período houve um jogo de gato e rato: enquanto contas automatizadas são canceladas, as táticas dos adversários evoluem e surgem contas de redes de bots parecendo mais autênticas do que nunca. Para 2019, prevemos um aumento em campanhas de desinformação e extorsão via mídias sociais, com foco em marcas e tendo como origem não apenas governos nacionais, mas também grupos criminosos.
Governos nacionais utilizam batalhões de bots para entregar mensagens ou manipular opiniões, e sua eficácia é extraordinária. Frequentemente, há bots em ambos os lados de uma história para instigar debates, e essa tática funciona. Ao empregar um sistema de amplificação de nós, bem como de teste do envio de mensagens (incluindo hashtags) para determinar suas taxas de sucesso, os operadores de redes de bots demonstram ter uma compreensão real de como moldar a opinião pública sobre questões críticas.
Em um exemplo, uma conta com apenas duas semanas de idade e apenas 279 seguidores, muitos dos quais outros bots, iniciou uma campanha hostil contra uma organização. Por amplificação, essa conta gerou 1.500 seguidores adicionais em apenas quatro semanas, simplesmente tuitando conteúdo malicioso sobre seu alvo.
Atividades para manipulação da opinião pública estão bem documentadas e há bots a postos, bem versados em manipulação de conversas para promover determinadas agendas. Para o ano que vem, prevemos que os criminosos cibernéticos readequarão essas campanhas para extorquir empresas desafiando suas marcas. As organizações estão diante de uma ameaça grave.
Os ataques de vazamento de dados vão visar a nuvem
Nos últimos dois anos, as empresas adotaram amplamente o modelo de software como serviço (por exemplo, Office 365), bem como modelos de infraestrutura como serviço e plataforma como serviço (por exemplo, AWS e Azure). Atualmente, em decorrência dessa medida, muito mais dados residem na nuvem. Para 2019, prevemos um aumento significativo nos ataques que seguem os dados rumo à nuvem.
Com o aumento na adoção do Office 365, notamos um surto de ataques contra o serviço — especialmente tentativas de comprometer o e-mail. Uma ameaça que a equipe de nuvem da McAfee revelou foi a rede de bots KnockKnock, que visava contas de sistema que não costumam ter autenticação por múltiplos fatores. Também vimos o surgimento de explorações do modelo de confiança no padrão Open Authorization. Uma delas foi lançada pelo Fancy Bear, grupo russo de espionagem cibernética, que utilizou um aplicativo de segurança falso da Google para praticar phishing contra os usuários e obter acesso a seus dados.
Da mesma forma, nos últimos dois anos vimos muitas violações de dados de alto perfil atribuídas a buckets Amazon S3 mal configurados. Evidentemente, não se trata de uma falha do AWS. Com base no modelo de responsabilidade compartilhada, o cliente fica encarrregado de configurar devidamente a infraestrutura de IaaS/PaaS e proteger adequadamente seus dados corporativos e o acesso dos usuários. Para complicar a situação, muitos desses buckets mal configurados pertencem a fornecedores em suas respectivas cadeias de suprimentos, em vez de às corporações visadas. Com acesso a milhares de credenciais e buckets abertos, os malfeitores estão, cada vez mais, optando por esses alvos fáceis.
A McAfe descobriu que 21% dos dados na nuvem são confidenciais — como propriedade intelectual e dados pessoais e de clientes — segundo o relatório da McAfee sobre adoção de nuvem e riscos. Com o aumento de 33% na participação dos usuários nesses dados ao longo do ano passado, os criminosos cibernéticos sabem como buscar mais alvos:
- Ataques nativos de nuvem visando APIs fracas ou endpoints de API desgovernados para obtenção de acesso aos dados em SaaS, bem como em PaaS e cargas de trabalho sem servidor
- Vazamento de dados e reconhecimento ampliado em bancos de dados de nuvem (PaaS ou aplicativos personalizados distribuídos em IaaS) expandindo o vetor de vazamento S3 para dados estruturados em bancos de dados ou “data lakes”
- Aproveitamento da nuvem como ponto de partida para ataques de interceptação (“man-in-the-middle” ou MITM) nativos de nuvem (como o GhostWriter, que explora buckets S3 graváveis publicamente, introduzido devido a configuração incorreta por parte do cliente) para lançar ataques de cryptojacking ou ransomware em outras variantes de ataques MITM
Assistentes digitais controlados por voz, o próximo vetor no ataques contra dispositivos IoT
Enquanto os fãs de tecnologia enchem suas casas de aparelhos eletrônicos, sejam plugues, TVs, cafeteiras, refrigeradores, sensores de movimento ou luzes inteligentes, os meios de se entrar em uma rede domiciliar crescem rapidamente, especialmente se considerarmos como tantos dispositivos IoT continuam mal protegidos.
Contudo, a verdadeira chave para a porta da rede no ano que vem será o assistente digital controlado por voz, um dispositivo criado, em parte, para gerenciar todos os dispositivos IoT de uma residência. Com o aumento das vendas — e com a provável explosão na adoção dessa tecnologia neste Natal — os incentivos para que os criminosos cibernéticos utilizem assistentes para chegar aos dispositivos realmente interessantes de uma rede continuarão a crescer.
Por enquanto, o mercado de assistentes de voz ainda está sendo definido, com muitas marcas ainda procurando dominar o mercado de várias maneiras e não está claro se um único dispositivo se tornará predominante. Se um deles assumir a liderança, seus recursos de segurança ficarão sob o escrutínio da mídia, mas provavelmente não antes das questões de privacidade serem completamente avaliadas.
(No ano passado, destacamos a privacidade como principal preocupação em relação aos dispositivos IoT domiciliares. A privacidade continuará sendo uma preocupação, mas os criminosos cibernéticos vão se empenhar mais em criar redes de bots, exigir pagamento de resgate e ameaçar a destruição de propriedade, tanto de residências quanto de empresas).
Essa oportunidade de controlar os dispositivos de uma residência ou escritório não passará despercebida pelos criminosos cibernéticos, os quais terão muito o que escrever em relação ao líder de mercado: código malicioso desenvolvido para atacar não apenas os dispositivos IoT, mas também os assistentes digitais que tanto se comunicam com esses dispositivos.
Smartphones já atuaram como porta de entrada para ameaças. Em 2019, eles podem muito bem se tornar a chave mestra de uma porta muito maior. Já vimos duas ameaças que demonstram o que os criminosos cibernéticos podem fazer com dispositivos desprotegidos: a rede de bots Mirai, que atacou pela primeira vez em 2016, e o IoT Reaper, em 2017. Esse malware de IoT surgiu em diversas variantes para atacar dispositivos conectados, como roteadores, gravadores de vídeo em rede e câmeras IP. Eles expandiram seu alcance quebrando senhas e explorando vulnerabilidades conhecidas para criar redes mundiais de robôs.
Para o ano que vem, acreditamos que haverá dois vetores principais para ataques contra dispositivos IoT domiciliares: roteadores e smartphones/ tablets. A rede de bots Mirai demonstrou a falta de segurança em roteadores. Smartphones infectados, que já monitoram e controlam dispositivos domiciliares, estarão entre os alvos preferenciais dos criminosos cibernéticos, os quais empregarão técnicas atuais e novas para assumir o controle.
Os autores de malware vão se aproveitar de telefones e tablets, já na condição de controladores confiáveis, para assumir o controle sobre dispositivos IoT quebrando senhas e explorando vulnerabilidades. Esses ataques não parecerão suspeitos porque o tráfego de rede virá de um dispositivo confiável. A taxa de sucesso dos ataques aumentará e as rotas de ataque serão difíceis de identificar. Um smartphone infectado pode ser o próximo exemplo de sequestro das configurações de DNS de um roteador. Vulnerabilidades em aplicativos móveis e de nuvem também são terreno fértil para exploração, com os smartphones no centro da estratégia dos criminosos.
Dispositivos IoT infectados fornecerão redes de bots, as quais poderão lançar ataques DDoS, bem como roubar dados pessoais. O malware de IoT mais sofisticado explorará assistentes digitais controlados por voz para ocultar suas atividades suspeitas dos usuários e do software de segurança da rede domiciliar. Atividades maliciosas, como abrir portas e conectar servidores de controle, podem ser acionadas por comandos de voz do usuário (“Tocar música” e “Qual é a previsão do tempo para hoje?”). Talvez em breve os próprios dispositivos IoT infectados exclamem: “Assistente! Abra a porta dos fundos!”
— Lee Munson e Yukihiro Okutomi
Os criminosos cibernéticos aumentarão os ataques contra plataformas de identidade e os dispositivos periféricos serão sitiados
Violações de dados em grande escala em plataformas de identidade — que oferecem autenticação segura centralizada e autorização de usuários, dispositivos e serviços em diversos ambientes de TI — foram bem documentadas em 2018. Enquanto isso, os dados capturados estão sendo reutilizados para prejudicar ainda mais as vítimas. Em 2019, prevemos que grandes plataformas de mídias sociais implementarão medidas adicionais para proteger as informações dos usuários. No entanto, com aumento na quantidade dessas plataformas, prevemos que os criminosos concentrarão ainda mais seus recursos em tais ambientes atraentes e ricos em dados. O embate entre criminosos e plataformas em larga escala será o próximo campo de batalha.
O malware Triton, que ataca sistemas de controle industrial (ICS), demonstrou as capacidades dos adversários ao visar remotamente ambientes de manufatura por meio de seus ambientes de TI adjacentes. Violações em plataformas de identidade e “dispositivos periféricos” fornecerão as chaves para os adversários lançarem futuros ataques remotos contra ICS devido ao uso de senhas estáticas entre ambientes e dispositivos periféricos restritos que não atendem requisitos de sistema seguro por limitações de projeto. (Um dispositivo periférico é qualquer protocolo ou hardware de sistema conectado à rede dentro de um produto de IoT). Prevemos que a autenticação por múltiplos fatores e a inteligência de identidade se tornarão os melhores métodos para oferecer segurança nessa guerra cada vez mais acirrada. Também prevemos que a inteligência de identidade complementará a autenticação por múltiplos fatores, reforçando as capacidades das plataformas de identidade.
A identidade é um componente fundamental na proteção da IoT. Nesses ecossistemas, os dispositivos e serviços precisam identificar com segurança os dispositivos confiáveis, de modo a poder ignorar o resto. O modelo de identidade mudou do foco no usuário, próprio dos sistemas de TI tradicionais, para o foco na máquina, característico dos sistemas de IoT. Infelizmente, devido à integração entre tecnologia operacional e projeto inseguro de “dispositivos periféricos”, o modelo de confiança da IoT baseia-se no princípio fraco de confiança presumida e segurança com base em perímetro.
Na Black Hat USA e na DEFCON 2018, 30 palestras versaram sobre a exploração de dispositivos periféricos da IoT. Trata-se de um aumento grande na comparação com as 19 palestras sobre o assunto em 2017. O aumento no interesse foi principalmente em relação aos segmentos verticais de ICS, varejo, saúde e cidades inteligentes. (Veja a figura 1). Dispositivos periféricos inteligentes, combinados com conectividade de alta velocidade, estão viabilizando ecossistemas de IoT, mas a taxa na qual eles estão avançando está comprometendo a segurança desses sistemas.
Figura 1. O número de sessões de conferência sobre a segurança dos dispositivos de IoT aumentou, acompanhando a ameaça cada vez maior contra dispositivos mal protegidos.
A maioria dos dispositivos periféricos de IoT não oferece autodefesa alguma (isolamento de funções críticas, proteção de memória, proteção de firmware, privilégios mínimos ou segurança por padrão), bastando uma exploração bem-sucedida para que o dispositivo seja capturado. Os dispositivos periféricos de IoT também são vítimas de ataques do tipo “break once, run everywhere” (quebrar uma vez, executar em qualquer lugar) — devido a componentes inseguros utilizados em diversos segmentos verticais e tipos de dispositivos. (Consulte estes artigos sobre WingOS e engenharia reversa.)
Os engenheiros da equipe McAfee Advanced Threat Research da McAfee demonstraram como os protocolos de dispositivos médicos podem ser explorados para colocar vidas humanas em risco e comprometer a privacidade dos pacientes devido à confiança presumida. Esses exemplos ilustram apenas alguns dos cenários possíveis que nos levam a acreditar que os adversários escolherão os dispositivos periféricos de IoT como caminho mais fácil para atingir seus objetivos. Os servidores foram fortalecidos ao longo da última década, mas o hardware de IoT está muito atrasado nesse aspecto. Ao compreender as motivações e oportunidades dos adversários (superfície de ataque e capacidade de acesso), podemos definir um conjunto de requisitos de segurança independente de um vetor de ataque específico.
A figura 2 nos dá uma classificação dos tipos de vulnerabilidades dos dispositivos periféricos de IoT, destacando os pontos fracos a serem resolvidos pela incorporação de capacidades de identidade e integridade no hardware periférico para assegurar que esses dispositivos possam repelir ataques.
Figura 2. Protocolos inseguros são a principal superfície de ataque em dispositivos periféricos de IoT.
A segurança de IoT precisa começar no perímetro com um modelo de confiança zero e oferecer uma raiz de confiança de hardware como componente de uma proteção contra ataques do tipo “hack and shack” e outras ameaças. A McAfee prevê um aumento no comprometimento de plataformas de identidade e dispositivos periféricos de IoT em 2019 devido à adoção do conceito de cidade inteligente e ao aumento da atividade de ICS.
— Eoin Carroll
Mantenha-se atualizado
Siga-nos para se manter atualizado sobre a McAfee e ficar por dentro das mais recentes ameaças à segurança móvel e do consumidor.
