Claire Swedberg
Pesquisadores da George Mason University (GMU) desenvolveram uma tecnologia de difusores (fuzzer) que testa novos dispositivos IoT em busca de falhas de segurança antes de serem lançados no mercado ou implantados por um usuário final.
A solução de difusão de IoT visa identificar se um produto de IoT está sujeito a ataques, aproveitando um dongle de baixo custo – para transmissão – e software acessado por um laptop ou computador desktop para gerar ataques e analisar os resultados.
O projeto foi liderado pelo professor associado do Departamento de Ciência da Computação da GMU, Qiang Zeng. Zeng, que tem pesquisado questões de segurança e privacidade da IoT nos últimos cinco anos, determinou que a difusão era uma boa abordagem para analisar dispositivos IoT vulneráveis.
A tecnologia resultante submete um produto a uma série de ataques cada vez mais graves. Testados com sensores e atuadores IoT baseados em ZigBee e Z-Wave, várias dezenas de vulnerabilidades foram identificadas em produtos lançados comercialmente até o momento, informou a equipe de pesquisa.
Fuzzing é uma técnica de teste de software existente na qual dados inválidos ou inesperados são introduzidos em um programa. O programa é então monitorado em busca de travamentos, vazamentos de memória ou vulnerabilidade a código estrangeiro. No caso da tecnologia IoT, um dispositivo fuzzing pode gerar uma variedade de entradas destinadas a testar a segurança do software residente em um dispositivo IoT.
O fuzzer pode ser usado com entradas manipuladas para lançar ataques mais severos, como a injeção de um código malicioso destinado a controlar remotamente o dispositivo.
“O primeiro passo é encontrar algo que pode travar o dispositivo”, disse Zeng. “Número dois, você manipula ainda mais a informação para torná-la algo mais sério.”
Para o projeto, Zeng e seus pesquisadores, incluindo Xiaoyue Ma, a quem ele citou como “desenvolvedor principal”, emularam um dispositivo IoT e então começaram a usar seu fuzzer para tentar travá-lo. Eles então testaram produtos IoT prontos para uso que são usados para funções como medidores inteligentes, controles de iluminação ou fechaduras que se comunicam com uma rede sem fio.
Existem dois desafios contínuos para fabricantes e usuários de tecnologia à medida que as soluções IoT proliferam, disse Zeng. Uma delas é que os dispositivos estão se tornando cada vez mais baratos (alguns sensores podem custar US$ 10 ou 20).
Devido ao baixo custo e à baixa margem de lucro, destacou ele, “[as empresas de dispositivos] têm muitas restrições em termos de recursos. Eles não podem se dar ao luxo de instalar um sistema antivírus ou sistema de detecção de intrusão” em cada dispositivo, disse ele, da mesma forma que as empresas podem fazer em dispositivos conectados de alto valor “como nosso desktop ou laptop”.
O segundo desafio que muitos no setor enfrentam é a produção de dispositivos IoT para pequenas ou médias empresas que não possuem as técnicas ou os recursos necessários para realizar testes de segurança extensivos. A solução fuzzer da GMU poderia ser direcionada especificamente para essas empresas, apontou Zeng.
“Podemos fazer o trabalho deles”, fornecendo um dispositivo que desafie o novo dispositivo antes de ser lançado aos clientes, disse Zeng.
A solução consiste em um dongle conectado a um laptop ou outro computador. A versão anterior pode transmitir via Zigbee baseado em IEEE 802.15.4 ou Z-Wave (um protocolo de automação predial que transmite na faixa de 900 MHz). Ele transmite sem nenhum esforço “por dispositivo”, acrescentou Zeng. Esse dongle pode ser de baixo custo (US$ 20).
O software permite que o dongle comece a transmitir ataques a um dispositivo específico. Como a maioria dos dispositivos nos quais o software seria executado tem a capacidade de transmitir via Bluetooth, BLE ou Wi-Fi, ataques difusos poderiam ser enviados através desses protocolos de comunicação.
O usuário pode ser uma empresa que instala um conjunto de novos dispositivos IoT – como sensores ou atuadores – ou um fabricante de dispositivos IoT que deseja testar produtos antes de lançá-los no mercado. Em ambos os casos, eles selecionariam um dispositivo de amostra e então iniciariam o software para iniciar seus ataques. O sistema pode então testar esse dispositivo para tentar travar ou invadir seu software.
O software então relataria os resultados ao usuário. Se o dispositivo fosse considerado invulnerável, os usuários poderiam então confiar em sua segurança e instalar todos os dispositivos representados pela amostra.
Além disso, o sistema pode ser usado antes de fazer atualizações de software, primeiro atualizando o software em um dispositivo de amostra e depois submetendo-o ao mesmo processo de difusão.
Embora o sistema atualmente possa transmitir com ZigBee e Z-Wave, os pesquisadores agora estão testando outros protocolos sem fio comuns. “Essa é provavelmente a parte mais difícil do desenvolvimento”, disse Zeng, já que é muito difícil criar uma solução que possa se comunicar através dos vários protocolos usados pelos dispositivos sem fio.
Protocolos como Matter and Thread podem ser o futuro de muitas soluções de IoT, especialmente relacionadas a edifícios inteligentes. A equipe de pesquisa está visando ambos para a próxima versão de seu fuzzer.
O objetivo é oferecer uma tecnologia que possa testar qualquer produto, sem exigir interação com a empresa fabricante do produto.
“Os dispositivos IoT são tão diversos que temos diferentes protocolos de comunicação e até mesmo padrões de design de aplicativos, por isso queremos ampliar nossa pesquisa”, disse ele.
Os primeiros testes já descobriram pontos fracos (23 vulnerabilidades até agora) em alguns produtos IoT existentes e os investigadores contactaram as empresas cujos dispositivos foram vítimas dos ataques de difusão.
O grupo registrou até o momento seis certificações de identificadores de Vulnerabilidades e Exposições Comuns (CVE), um sistema de referência usado pelo governo dos EUA e mantido pela Mitre Corporation para identificar pontos fracos de segurança de software.
Entretanto, Zeng argumentou que, ao identificar as vulnerabilidades, a tecnologia comprovou a necessidade e o valor de testes de segurança de baixo custo e de fácil acesso.
“Esses são os tipos de resultados que demonstram que esse tipo de pesquisa é importante”, disse ele.
O objetivo futuro dos pesquisadores é obter financiamento para futuras pesquisas e comercialização da tecnologia. A longo prazo, Zeng espera que o dispositivo possa ser usado com a maioria dos produtos IoT.
As versões do hardware que transmite dados podem consistir em uma unidade incorporada diretamente em um produto de teste, em vez de também em um dongle. O sistema poderia ser fornecido como um serviço de software que os usuários poderiam acessar com a compra do dongle ou dispositivo de hardware semelhante.
A solução serve como uma ferramenta para aqueles cujos produtos podem ser seguros, mas também requerem reforço. A expectativa dos pesquisadores da GMU é que a tecnologia fuzzer forneça mais uma ferramenta para testar dispositivos IoT, confiar neles e depois instalá-los.