“Haunted House”: A simulação de uma casa inteligente

Haunted House

As casas inteligentes utilizam dispositivos que as tornam “independentes” e inteligentes, mas existem muitos perigos escondidos neste tipo de tecnologia, que são testados e revelados no estudo “Haunted House”.

Os dispositivos do futuro serão inteligentes: vão comunicar com o mundo exterior através da Internet, oferecendo-nos entretenimento e facilitando as tarefas maçadoras do dia-a-dia. Mas ainda que os utilizadores já estejam conscientes da importância de proteger os seus computadores ou dispositivos móveis, esta sensibilização ainda está muito aquém quando falamos de dispositivos para casas inteligentes – ainda que estes dispositivos IoT compatíveis com Web, sejam nada mais nada menos que pequenos computadores dentro da própria rede do utilizador.

A “Haunted House” – a simulação de uma casa inteligente

A Sophos, em parceria com a Koramis, criou a infraestrutura de uma casa inteligente como um sistema deteção de intrusos (honeypot): a “Haunted House”. Numa superfície de 4 x 2,5 metros, desenhada para parecer um apartamento, foram instalados 13 dispositivos IoT e sistemas de controlo de diferentes fabricantes, ligados e conectados à Internet – à semelhança do que se faz atualmente nas residências mais modernas.

Três fases de teste

Em duas das três fases de teste, foi registado a natureza e a frequência das tentativas para aceder aos dispositivos da Haunted House. A primeira fase foi realizada com passwords seguras criadas especificamente para o teste, durante seis semanas. A segunda fase com a mesma metodologia durou três semanas, mas com as configurações predefinidas dos fabricantes – tal como costumamos ver nos dispositivos instalados em residências privadas.

Para permitir a classificação destes resultados num contexto mais amplo, uma terceira fase foi levada a cabo com objectivo de realizar verificações de Internet activas para dispositivos IoT típicos e abertos através de motores de busca de IoT, SHODAN e Censys. Os resultados foram representados num “mapa de calor” para a região de Portugal e Espanha, e o resto do mundo.

Este slideshow necessita de JavaScript.

Os resultados: pouco surpreendentes, mas alarmantes

O número de tentativas para aceder à Haunted House foi elevado, excedendo às nossas expectativas. Desde quase todos os países do mundo surgiu pelo menos uma tentativa de contacto com um dispositivo IoT presente na casa, durante o período de teste:

  • Na primeira fase, que decorreu na primavera de 2017, registou-se aproximadamente 1.500 tentativas diárias de acesso;
  • Na segunda fase, no outono de 2017, foram registadas 3.800 tentativas.

A distribuição das tentativas de acesso desde países individuais difere nas duas fases de teste. Enquanto que a China e os EUA ocupam os primeiros lugares do pódio, o país em terceiro lugar muda drasticamente: apesar de surgir em 3º lugar na primeira fase, o México não aparece nem no Top 10 na segunda fase. O Brasil, que se situa em 5º lugar na primeira fase, ocupa o lugar deixado pelo México na segunda fase.

O mais surpreendente é que no segundo período de apenas três semanas, foi possível identificar 27 tentativas diretas de acesso. É possível deste modo concluir que na fase em que as configurações standard prevaleciam, em média mais convidados indesejados visitaram a Haunted House por dia. Não foram feitas alterações nos sistemas – embora tivesse sido possível.

As verificações de Internet ativas revelaram várias portas de acesso de Internet para os dispositivos de IoT, com uma tendência crescente. Na região da Península Ibérica, verificou-se um aumento dos pontos de acessos de 3,3% até os 1.549 em apenas dois meses – de meados de setembro a meados de novembro. Esta taxa é ligeiramente mais alta que a média anual de crescimento – 3,1%.

Como nos podemos proteger?

“Em primeiro lugar, o utilizador deve ter em mente que muitos dispositivos IoT são computadores de pequenas dimensões e compatíveis com Web, que podem ser controlados desde o exterior”, diz Michael Veit, IT Security Expert na Sophos. Por isso, se pretende evitar que hackers acedam aos seus ficheiros ou utilizem o poder de processamento dos seus dispositivos para realizar ciberataques de grande escala, deve tem em conta algumas dicas:

  • • A minha casa é o meu castelo: nunca partilhar a sua rede doméstica com ninguém;
  • Faça uma simples pesquisa na Internet para descobrir como aceder ao nível de segurança do dispositivo IoT / para casa inteligente em questão;
  • Altere as passwords que vêm por defeito com passwords seguras logo que o dispositivo é instalado;
  • Se existem actualizações disponíveis (este é um pré-requisito de segurança), faça sempre as atualizações de firmware;
  • Sempre que possível retire os dispositivos IoT da sua rede doméstica. Um exemplo: se o seu sinal de televisão é recebido principalmente por cabo ou antena, a sua televisão pode funcionar sem acesso à internet sem fios;
  • Na sua rede doméstica, faça uma distinção entre dispositivos importantes e não importantes. Estes devem ser configurados em redes diferentes para assegurar que dispositivos não seguros não têm acesso à informação confidencial;
  • Áreas de rede “seladas”: o mais seguro é criar áreas de rede “seladas” para o escritório em casa, para electrodomésticos de consumo, para sistemas de construção e segurança e para a rede dos convidados com diferentes redes sem fios. Isto é possível através de uma firewall que apenas permite a comunicação necessária para utilizar os dispositivos, evitando uma infecção de se espalhar de um dispositivo IoT para outro;
  • Utilize tecnologia VPN segura: em vez de permitir acesso remoto da Internet ao dispositivo IoT configurando o reencaminhamento de porta não seguro no router, é mais prudente utilizar a tecnologia VPN no seu smartphone ou Mac/PC;

A descrição detalhada do estudo “Haunted House” e dos resultados foram publicados nesta página