2013/12/01

Malware ao ataque de equipamentos com Linux (e a Internet of Things)


Quando se fala de vulnerabilidades de segurança, a maioria das pessoas pensa imediatamente em sistemas Windows - e a verdade é que frequentemente vemos utilizadores de Linux a defender a sua maior segurança... mas que no entanto só se aplica a quem manter os seus sistemas actualizados. O "problema" é que existem milhões de equipamentos que correm Linux (muitas vezes sem que os seus utilizadores o saibam sequer) e que raramente ou nunca são actualizados.



Não são só os computadores e servidores que correm Linux. O vosso router, câmara de vigilância IP, e vosso NAS, e muitos outros dispositivos podem correr internamente uma qualquer variante baseada em Linux. E na maioria dos casos, são equipamentos que os utilizadores compram, ligam, e nunca mais se preocupam em olhar para eles (desde que continuem a funcionar como é suposto). Só que o Linux e demais componentes que estes equipamentos utilizam, não são imunes a falhas e vulnerabilidades, que vão sendo descobertas e corrigidas... mas que raramente são aplicadas a estes milhões de aparelhos espalhados pelo mundo, e que muitas vezes funcionam durante anos (e décadas).

Isso torna-os vulneráveis a todo o tipo de ataques, e as ameaças existem - embora possam ser consideradas reduzidas... por enquanto.

A questão é que com a proliferação da "Internet of Things", o futuro que faz com que cada vez mais coisas "físicas" estejam ligadas à internet (como a iluminação, televisores, sistemas de climatização, ligação de tomadas, etc.) também esses equipamentos se arriscam a ter vulnerabilidades que poderão não ser corrigidas... e tornar-se numa porta de entrada para que hackers comecem a criar "malware" bem mais criativo e prejudicial.

Já imaginaram um "virus" que se divirta a ligar as luzes do quarto às duas da madrugada para vos acordar, ou colocar o rádio a funcionar com o volume no máximo, ou até fazer-vos gastar energia desnecessária ligando o aquecimento no máximo assim que saem de casa (e com os potenciais riscos de causar um incêndio)? Isto para não falar na possibilidade de usarem as câmaras de vigilância para espiarem o que se passa em vossa casa (como já têm acontecido devido a vulnerabilidades - ou simples ignorância de não se definirem passwords e restrições de acesso às mesmas).

Cada vez mais, passará a ser importante que qualquer equipamento que se queira ter ligado à internet, nesta "internet of things" deverá igualmente garantir uma certificação mínima de segurança e uma resposta adequada às vulnerabilidades que forem encontradas. Se assim não for... a possibilidade de algo correr muito mal deixará de ser uma questão de "se", mas sim uma questão de "quando" é que irá acontecer.

2 comentários:

  1. Por acaso leste o aviso de Symantec?
    É que se leres com olhes de ler o uso de "Linux" é uma completa deturpação dos factos e uma manobra de FUD por parte de uma empresa que se dedica a vender produtos para estas situações.
    Por outro lado, quando se começa a ver tanta "protecção" para determinado SO de várias firmas credenciadas é sinal que algo está diferente na minha opinião para melhor ao dar tanta importância a Linux e principalmente Android.

    Para que fique bem claro aquilo que estou a transmitir, eis alguns factos reais:
    - a vulnerabilidade ocorre devido a uma conhecida falha em PHP (CVE-2012-1823) que se leres com atenção é agnóstica quanto ao SO, tendo mesmo um "conselho" por parte de Apple;
    - a vulnerabilidade ocorre por "infecção" através de práticas inseguras como por exemplo "auto-play" que claramente tem um selo de utilizadores de um outro SO que me escuso de dizer um nome;
    - atendendo ao ponto anterior, Symantec & outros deveriam ter mais cuidado em detectar e eliminar qualquer hipótese desse worm se propagar vindo de e-mail ou "auto-play" justamente para esse SO - penso que já o farão desde há algum tempo;
    - apenas como exercício académico se poderá eventualmente criar as condições para um ataque tal como foi explorado e mesmo assim dá-me a nítida sensação que foi muito forçado já que o investigador teve acesso aos equipamentos - número de infecções = 0 a 49 e sites infectados 0 a 2!

    Colocada a questão nesta perspectiva e como se pode ler no próprio aviso existe uma ínfima possibilidade de um ataque deste género poder ser utilizado "in-the-wild" não só devido ao que já foi dito, mas essencialmente em saber quais os tipos de routers que podem atacados e quantos se encontram em serviço.

    Contudo, não pretendo dizer que Linux seja à prova de bala quando não o é. Mas, neste caso é uma absoluta aberração considerar vulnerabilidade como sendo apenas Linux. É muito complexo já que exige vários factores associados e como ficou demonstrado pelo próprio investigador tem que estar reunidas um gigantesco conjunto de coincidências que o tornam verdadeiramente difícil de o duplicar sem ser como exercício puramente académico.

    Para terminar, devo chamar a atenção para alguns pontos importantes com que todos devemos ter cuidado mas para não ir muito longe remeto-me apenas para aquele que considero ser o mais importante a retirar desta lição - software e firmware devida e atempadamente actualizados deveriam ser um must dos fabricantes e também alguma forma de os forçarem junto dos utilizadores já que estes últimos são realmente o grande problema em qualquer equação. Em qualquer SO!

    @braço.

    ResponderEliminar
  2. Este comentário foi removido pelo autor.

    ResponderEliminar