A cada ano, os profissionais de segurança da informação se deparam com um número maior e mais variado de dispositivos digitais conectados que precisam proteger contra ameaças digitais. E não vai faltar assunto nessa área para conferência Black Hat 2014, especialmente no que diz respeito à Internet das Coisas (IoT).
Esta semana, durante o evento anual em Las Vegas, os pesquisadores Charlie Miller e Christopher Valasek vão apresentar a pesquisa A survey of remote automotive attack surfaces e vão mostrar como os atacante – geralmente de forma remota – podem utilizar as vulnerabilidades para hackear veículos e, em alguns casos, com sérias consequências.
Outro pesquisador, Logan Lamb, vai mostrar na apresentação Home Insecurity: No Alarms, False Alarms and SigInt como os sistemas domésticos de segurança são suscetíveis a ataques.
Os pesquisadores Don Bailey e Zach Lanier vão mediar uma mesa redonda sobre segurança com o tema Embedding the Modern World, Where Do We Go From Here. O painel vai examinar como computadores embutidos em equipamentos eletrônicos, smartwatches, câmeras, sistemas de controle industrial e outros dispositivos vão impactar o cenário da segurança da informação nos próximos anos.
A boa notícia é que a indústria da segurança está bem familiarizada com as formas de garantir a segurança da IoT e de coisas como gestão de identidade e desenvolvimento de software seguro. A má notícia é que ainda temos que dominar a maior parte do cenário.
Don Bailey, CEO da Lab Mouse Security, lembra que a gestão de identidades e a permissão de uso de dispositivos para diferentes usuários serão itens críticos no que diz respeito a confiar na IoT. “A questão número 1 é identidade. Vamos ter esse monte de dispositivos que não estarão sendo vigiados por ninguém”, diz Bailey.
“Você vai ter esses dispositivos complexos controlando a sua geladeira, seu carro, ou qualquer outra coisa que você possa imaginar. Mas, como atribuir as ações que estão sendo tomadas nesse dispositivo a um indivíduo específico? Como garantir que qualquer ação tomada por esses dispositivos é uma ação iniciada pelo usuário autorizado?” – pergunta ele.
Além disso, a segurança da Internet das Coisas e dos dispositivos embarcados depende de uma pilha inteira de confiança quando se trata de redes interconectadas, hardware, aplicativos, sistemas operacionais e protocolos. “Exige muito da participação de diferentes organizações, e não acredito que as pessoas entendam como essas complexidades acabam por criar muito mais oportunidades de subversão do que as pessoas imaginam”, diz Bailey.
Por exemplo, a maneira mais comum de invadir sistemas da Internet das Coisas é através da rede celular, em grande parte porque assume-se que a segurança do canal de comunicação é gerenciada pela operadora. “E cada fornecedor de software e hardware, muitas vezes presume oferecer segurança embora não controle realmente a segurança sobre todo o sistema”, diz ele.
Estas vulnerabilidades potenciais tornam a segurança tão crucial quanto no desenvolvimento de software. Jared DeMott, em seu curso sobre a segurança de aplicativos, abordará questões como a auditoria do código fonte, difusão, engenharia reversa, as habilidades de desenvolvimento e as ferramentas necessárias para encontrar, corrigir e explorar bugs encontrados no software.
DeMott explica que, embora muitos profissionais estejam focados em garantir estruturas modernas, scripts e linguagens de alto nível, mais habilidades vão ser necessárias para garantir a segurança. “A segurança do sistema operacional de baixo nível é crucial para garantir esses dispositivos”, afirma, lembrando que linguagens de baixo nível são usadas no desenvolvimento dos sistemas embarcados no seu carro, nos termostatos domésticos, nas TVs inteligentes, etc. Os sistemas de todos estes dispositivos ainda são escritos em C e C + +.
“Muitas vezes você ouve as pessoas pensando em se livrar das linguagens de baixo nível C e C + +, tão problemáticas em relação à segurança, para escrever tudo em C # ou Java, ou algo um pouco mais seguro”, diz DeMott. Mas será suficiente?
O que o uso de C e C++ significa quando se trata de proteger a Internet das Coisas e os dispositivos embarcados?
“Ainda não sabemos, mas eu não ficaria surpreso se ouvisse que alguém tomou remotamente o controle de um carro”, diz ele, meio brincando.
“Muitas pessoas não percebem a quantidade de código em seus carros ou em sistemas de controle industrial. Nós não sabemos com certeza se vamos ver um monte de ataques a estes sistemas, mas a história tem tendência a se repetir”, diz DeMott.
fonte: http://computerworld.com.br/