Estudo da HP mostra que 100% dos dispositivos de segurança doméstica mais utilizados para Internet das Coisas (Internet of Things IoT) avaliados contêm vulnerabilidades significativas, incluindo falhas na segurança de senha, criptografia e problemas de autenticação. Os testes realizados indicam que proprietários de sistemas de segurança doméstica conectados à internet podem não ser os únicos monitorando suas residências.
A análise foi conduzida pela HP Fortify e a HP testou dez dispositivos mais utilizados da IoT de segurança doméstica para vulnerabilidades, usando técnicas padrão de testes de segurança que combinaram testes manuais com o uso de ferramentas automatizadas. Os dispositivos e seus componentes foram avaliados com base no OWASP Internet of Things Top 10 e as vulnerabilidades específicas associadas com cada uma das dez principais categorias.
Os dados e porcentagens resultantes desse relatório foram extraídos dos dez sistemas da IoT testados. Devido à popularidade e à similaridade entre os dez dispositivos, a HP Fortify acredita que os resultados fornecem um bom indicador de onde o mercado atualmente se encontra.
Os resultados da pesquisa são alarmantes, considerando que os sistemas de segurança doméstica, como câmeras de vídeo e detectores de movimento, vem-se popularizando ainda mais com a expansão da Internet das Coisas (IoT, Internet of Things) e cresceram em conveniência. Segundo o Gartner, 4,9 bilhões de coisas conectadas estarão em uso em 2015, um aumento de 30% em relação a 2014. Emais: esse número poderá chegar a 25 bilhões até 2020. O HP Fortify On Demand, novo estudo da HP, revela como o mercado está mal equipado do ponto de vista de segurança para a magnitude de crescimento esperado em torno da IoT.
Conectividade das coisas complicam cenário
A conectividade de rede e o acesso necessários para o monitoramento remoto apresentam novas preocupações de segurança que não existiam para a geração anterior de sistemas que não possuíam conectividade com a internet. O estudo da HP questiona se os dispositivos de segurança conectados realmente tornam as residências mais seguras ou se as colocam em um risco maior ao fornecer acesso eletrônico mais fácil por meio de produtos inseguros da IoT.
A HP utilizou o HP Fortify on Demand para avaliar dez dispositivos da IoT de segurança doméstica junto com seus componentes de aplicativos móveis e de nuvem, descobrindo que nenhum dos sistemas requeria o uso de uma senha forte e que 100% dos sistemas falharam em oferecer uma autenticação de dois fatores.
Problemas mais comuns de segurança relatados:
Autorização insuficiente: nenhum dos sistemas que incluíam suas interfaces de web com base em nuvem e interfaces móveis exigiu senhas de complexidade e extensão suficientes. A maioria requeria apenas uma senha alfanumérica de seis caracteres. Todos os sistemas também careciam da capacidade de bloquear contas após um determinado número de tentativas com falha.
Interfaces inseguras: todas as interfaces de web com base em nuvem testadas exibiram brechas de segurança, possibilitando que um possível invasor obtivesse acesso à conta por meio de busca de conta, que usa três defeitos de aplicativos: enumeração de conta, política de senha fraca e falta de bloqueio de conta.
Preocupações de privacidade: todos os sistemas coletaram alguma forma de informação pessoal como nome, endereço, data de nascimento, número de telefone e até mesmo números de cartões de crédito. A exposição dessas informações pessoais é preocupante devido aos problemas de busca de conta em todos os sistemas.
Também é importante observar, segundo o estudo, que o uso de vídeo é o principal recurso de muitos sistemas de segurança doméstica, com visualização disponível por meio de aplicativos móveis e interfaces de web com base em nuvem. A privacidade de imagens de vídeo da parte interna da residência torna-se uma preocupação extra.
Falta de criptografia de transporte: embora todos os sistemas implementassem a criptografia de transporte como SSL/TLS, muitas das conexões de nuvem permanecem vulneráveis a ataques (por exemplo, ataque POODLE). A criptografia de transporte configurada de forma adequada é especialmente importante, já que é uma função primária desses sistemas.
Conforme continuamos a adotar a conveniência e a disponibilidade dos dispositivos conectados, devemos compreender quão vulneráveis eles podem tornar nossos lares e famílias, afirma Jason Schmitt, vice-presidente e Gerente Geral da Fortify, linha de produtos do grupo Enterprise Security Products da HP.
Com dez dos principais sistemas de segurança do mercado norte-americano precisando de recursos de segurança fundamentais, os consumidores devem ser cuidadosos em relação à adoção de medidas que parecem simples e práticas, e os fabricantes de dispositivos devem assumir a propriedade de integrar segurança a seus produtos para evitar expor seus clientes a sérias ameaças, alerta o executivo.
Conforme os fabricantes de produtos da IoT trabalham para incorporar as medidas de segurança necessárias, os consumidores devem considerar a segurança ao escolher um sistema de monitoramento para suas residências. Implementar redes domésticas seguras antes de adicionar dispositivos inseguros da IoT, instituir senhas complexas, bloqueios de conta e autenticação de dois fatores são apenas algumas medidas que os consumidores podem adotar para tornarem suas experiências em IoT mais seguras.
Acessse os outros sites da VideoPress
Portal Vida Moderna – www.vidamoderna.com.br
Radar Nacional – www.radarnacional.com.br
