O que são?
Os dispositivos IoT compõem o que constitui a Internet das Coisas, em sentido lato. Estes dispositivos podem ser qualquer coisa ligada a uma rede, e com a capacidade de transmitir dados.
A "magia" da "Internet das Coisas" é que abrange todos os dispositivos inclusive os não convencionais - computadores portáteis, de secretária, tablets, smartphones.
Porque precisam de proteção?
Imagina que acabaste de adquirir um frigorífico ao qual te podes ligar remotamente para conseguires saber o que falta em tua casa. Através de uma aplicação, por exemplo, configuras o mesmo para que, onde quer que vás, se algo faltar em casa receberes a notificação na aplicação e tratares daquilo que falta, certo. Seria este o processo, certo?
Agora imagina que, estando o teu frigorífico disponível na Internet, alguém se depararia com o mesmo, analisava as portas abertas através das quais precisavas de te ligar, e tinha acesso ao teu teu frigorífico. Game-over! Daí, começaria a analisar a tua rede de casa e explorar todos os outros dispositivos que estivessem ligados.
OWASP TOP 10 de dispositivos IoT - Falhas de segurança
https://owasp.org/www-pdf-archive/OWASP-IoT-Top-10-2018-final.pdf
Passwords fáceis de se adivinhar
- Um atacante pode adivinhar ou chegar à palavra-passe facilmente
Serviços Inseguros
- Serviços que podem estar presentes no dispositivo e que não são, de todo, necessários para o utilizador, mas que deixam o sistema vulnerável a possíveis ameaças
Interfaces do Ecossistema inseguras
- Interfaces web, da api, na cloud ou mesmo de telemóvel, fora do dispositivo, que permitem a partir daí um atacante comprometer o dispositivo e os seus componentes
Falta de mecanismos seguros de atualização
- Falt a de mecanismos para que o dispositivo possa ser atualizado com segurança, por exemplo, no que toca ao seu firmware
Uso de componentes inseguros e atualizados
- É um pontos de entrada mais prementes dos atacantes. Se o atacante consegue encontrar algum tipo de informação no que toca a um componente do dispositivo e descobrir que existe uma determinada falha para o que pretende, não vai hesitar
Insuficiente proteção da privacidade
- A informação pessoal do utilizador pode estar a ser tratada de forma insegura
Transferência insegura de dados e armazenamento
- Falta de encriptação na transferência dos dados ou mesmo aquando da circulação dos mesmos
Falta de gestão de dispositivos
- Falta de segurança na gestão dos dispositivos, incluindo a monitorização dos mesmos
Configurações inseguras por defeito
- Configurações que jã vêm por defeito, mas que estão inseguras e podem trazer riscos ao utilizador
Falta de configuração física ou Physical Hardening
- Tomada de medidas físicas que podem prevenir que um atacante remotamente tenha acesso a algum tipo de informação sensível
Como te protegeres
Deixamos-te aqui algumas formas mais comuns para deixar a tua smart home mais segura e, consequentemente, os teus dispositivos
1. Dá um nome ao teu router
- É um erro deixar o router conforme vem de fábrica
2. Muda a encriptação da tua WIFI
- Se for WEP, a mais fraca, muda para WPA2
3. Configura uma rede guest
- Vais às definições do teu router, e crias uma rede a que todos em casa, incluindo as visitas, podem aceder, sem terem de aceder à rede principal
4- Muda as passwords por defeito e nomes de utilizador
- Tudo o que venha por defeito, muda
5 - Desativa funcionalidades nos teus dispositivos que não precisas
- Se não precisas de uma funcionalidade ou função do teu dispositivo, porque razão tens de a manter?
6 - Mantém o software atualizado
- Assim que receberes as novas atualizações, aplica-as
7 - Desconfia das permissões que alguma aplicação te estiver a pedir
- Sê crítico face ao que te pedem