A rota repleta de obstáculos do roteador para a segurança da Internet

É uma sabedoria convencional recém-cunhada que nenhuma conferência de segurança da informação passa sem uma apresentação sobre o estado abismal da segurança da Internet das Coisas. Embora esse seja um benefício para os pesquisadores que buscam se destacar, esse triste estado de coisas definitivamente não é benéfico para quem possui um dispositivo conectado.

Os proprietários de dispositivos IoT não são os únicos que estão fartos. Logo atrás deles está Eldridge Alexander, gerente dos Duo Labs da Duo Security . Melhor ainda, ele tem um plano e a experiência para lhe dar alguma credibilidade.

Antes de assumir sua função atual na Duo Security, Alexander ocupou várias

posições de TI no Google e Cloudflare. Para ele, a linha direta que une seu trabalho de TI passado e presente é o ganho de segurança resultante do alinhamento de todos os controles de segurança de uma rede com o princípio de confiança zero.

“Basicamente, tenho vivido e respirado confiança zero nos últimos anos”, disse Alexander ao LinuxInsider.

Simplificando, “confiança zero” é a idéia de que, na medida do possível, os dispositivos não devem ser confiáveis ​​para serem seguros e devem ser tratados como tal. Há muitas maneiras pelas quais a confiança zero pode se manifestar, pois não é tanto uma técnica singular como um princípio orientador, mas a idéia é deixar-se o mais invulnerável possível ao comprometimento de qualquer dispositivo.

Um tema recorrente entre seus poucos empregadores anteriores, isso deixou sua marca em Alexander, a ponto de permear positivamente seu plano de segurança da Internet das coisas nas redes domésticas. Seu zelo pela confiança zero chega às redes domésticas na hora certa.

Embora a adoção da IoT do consumidor esteja se acelerando , a confiança zero ainda precisa ser considerada na maioria das tecnologias de rede do consumidor, observou Alexander, e estamos chegando ao ponto em que não podemos permitir isso.

“Investigando não ameaças realmente novas, mas um aumento na quantidade de ameaças na IoT e nas redes domésticas, fiquei realmente interessado em ver como poderíamos aplicar alguns desses princípios e filosofias muito focados nas empresas nas redes domésticas”, observou ele.

Segmentação de rede

No esquema de segurança da Internet das coisas de Alexander, que ele revelou na conferência de hackers THOTCON de Chicago nesta primavera, a confiança zero assume principalmente a forma de segmentação de rede, uma prática em que as redes corporativas há muito confiam.

Em particular, ele defende que os fabricantes de roteadores forneçam aos usuários domésticos uma maneira de criar dois SSIDs separados (um para cada segmento), automaticamente ou com uma interface gráfica do usuário simples , semelhante à já incluída no provisionamento de rede básico (pense em 192.168.1.1 GUI da Web).

Um seria o host exclusivo para dispositivos de usuário final para desktop e dispositivos móveis, enquanto o outro conteria apenas os dispositivos IoT da casa, e nunca os dois se encontrarão.

Criticamente, a solução de Alexander ignora amplamente os próprios fabricantes de IoT, o que ocorre por design. Não é porque os fabricantes de IoT devam estar isentos de melhorar suas práticas de desenvolvimento – pelo contrário, eles devem fazer sua parte. É porque eles não conseguiram se mover rápido o suficiente para atender às necessidades de segurança do consumidor.

“Meus pensamentos e conversas aqui são uma espécie de resposta ao nosso estado atual do mundo, e minhas expectativas de qualquer esperança para os fabricantes de IoT são de longo prazo, enquanto para os fabricantes de roteadores e equipamentos de rede doméstica é de curto prazo”, disse ele. .

Os fabricantes de roteadores têm respondido muito mais às necessidades de segurança do consumidor, na visão de Alexander. No entanto, quem já tentou atualizar o firmware do roteador pode apontar para a atenção mínima que esses patches incrementais costumam receber dos desenvolvedores como reconvenção.

Além desse problema, os fabricantes de roteadores normalmente integram novos recursos, como especificações 802.11 e WPA atualizadas, com bastante rapidez, sem nenhuma outra razão senão oferecer aos consumidores a melhor e mais recente tecnologia.

“Acho que muitas empresas [roteadores] estarão abertas a implementar coisas boas e seguras, porque elas sabem tão bem quanto a comunidade de segurança … que esses dispositivos IoT não vão melhorar e são serão ameaças às nossas redes “, afirmou Alexander.

Então, como os roteadores domésticos realmente implementariam a segmentação de rede na prática? De acordo com a visão de Alexander, a menos que os consumidores confiantes quisessem atacar por conta própria e enfrentar opções de configuração avançadas, seu roteador simplesmente estabeleceria dois SSIDs na configuração do roteador. Ao descrever esse cenário, ele apelidou os SSIDs de “Eldridge” e “Eldridge IoT”, seguindo as convenções mais tradicionais “Home” e “Home-Guest”.

Os dois SSIDs são apenas a parte inicial e mais visível (para o consumidor) da estrutura. O poder real vem da implantação de VLANs respectivas para cada SSID. O que contém os dispositivos de IoT, “Eldridge IoT” nesse caso, não permitiria que os dispositivos enviassem pacotes à VLAN principal (em “Eldridge”).

Enquanto isso, a VLAN principal poderia se comunicar diretamente com a IoT VLAN ou, preferencialmente, retransmitir comandos por meio de um serviço de configuração e gerenciamento da IoT no próprio roteador. Esse último serviço de gerenciamento também pode cuidar da configuração básica do dispositivo IoT para evitar o máximo possível de intervenção direta do usuário.

O roteador “também ativaria um serviço de aplicativo como o Mozilla Web Things ou o Home Assistant, ou algo personalizado pelo fornecedor, e tornaria esse o gateway proxy”, disse Alexander. “Você raramente precisaria realmente falar da VLAN Eldridge primária para a VLAN Eldridge IoT. Na verdade, você apenas conversaria com a interface da Web que se comunicaria com a IoT VLAN em seu nome”.

Ao criar uma VLAN distinta exclusivamente para dispositivos de IoT, essa configuração isolaria laptops, smartphones e outros dispositivos sensíveis do usuário doméstico na VLAN primária do comprometimento de um de seus dispositivos de IoT. Isso ocorre porque qualquer dispositivo IoT desonesto seria impedido de enviar pacotes para a VLAN principal na camada de enlace de dados da pirâmide OSI, o que não deveria ter uma maneira fácil de contornar.

Seria do interesse dos fabricantes de roteadores habilitar essa funcionalidade, disse Alexander, pois ofereceria a eles um recurso de assinatura. Se instalado em um roteador doméstico, forneceria aos consumidores um recurso de segurança com o qual um número crescente realmente se beneficiaria, ao mesmo tempo em que solicitam muito pouco deles em termos de conhecimento técnico. Aparentemente, seria ligado junto com o roteador.

“Acho que é um incentivo valioso para os fabricantes de roteadores se distinguirem em um mercado lotado”, afirmou Alexander. “Entre a Linksys e a Belkin e alguns dos outros fabricantes, não há muita [distinção] entre preços, então oferecer assistência e segurança doméstica é uma ótima [distinção] que eles poderiam usar”.

Padrões de segurança da Internet das coisas?

Há alguma promessa nesses controles de segurança propostos, mas é duvidoso que os fabricantes de roteadores realmente equipem os roteadores dos consumidores para entregá-los, disse Shawn Davis, diretor de medicina forense da Edelson e professor adjunto da indústria no Instituto de Tecnologia de Illinois.

Especificamente, a marcação de VLAN não é suportada em quase nenhum dispositivo de roteador doméstico no mercado, ele disse ao LinuxInsider, e segmentar a IoT da rede primária seria impossível sem ela.

“A maioria dos fabricantes de roteadores no nível do consumidor não suporta a leitura de tags VLAN, e a maioria dos dispositivos de IoT não suporta tags VLAN, infelizmente”, afirmou Davis.

“Ambos poderiam facilmente incorporar essa funcionalidade no nível do software. Então, se todos os fabricantes de IoT concordassem em marcar todos os dispositivos de IoT com um ID de VLAN específico, e todos os roteadores de consumidores concordassem em direcionar essa tag específica diretamente para a Internet, poderia ser uma maneira fácil para os consumidores terem todos os seus dispositivos IoT automaticamente isolados de seus dispositivos pessoais “, explicou ele.

A marcação de VLAN não é restringida por nenhuma limitação de hardware, como Davis apontou, mas é apenas uma questão de permitir que o software lide com isso. Só porque os fabricantes podem ativar a marcação de VLAN no software, isso não significa que será fácil convencê-los a fazê-lo.

É improvável que os fabricantes de roteadores estejam dispostos a fazê-lo em suas linhas domésticas de roteadores e, sem surpresa, isso tem a ver com dinheiro, disse ele.

“Muitas das principais empresas produzem roteadores de consumo e corporativos”, observou Davis. “Eu acho que eles poderiam facilmente incluir a funcionalidade VLAN em roteadores de consumidor, mas geralmente não justificam o aumento de custo para hardware de nível empresarial rico em recursos”.

A maioria dos fabricantes de roteadores vê as funcionalidades avançadas, como a marcação VLAN, como merecedor de preços corporativos, devido ao desenvolvimento cuidadoso necessário para atender aos requisitos operacionais mais rígidos das empresas. Além disso, considerando a baixa escolaridade técnica média dos usuários domésticos, os fabricantes de roteadores têm motivos para pensar que os recursos dos usuários avançados nos roteadores domésticos simplesmente não seriam usados ​​ou seriam mal configurados.

“Além das diferenças nos níveis de preços”, disse Davis, “elas também podem estar pensando: ‘Bem, se usarmos VLANs e outros recursos corporativos, a maioria dos consumidores talvez nem saiba configurá-los, então por que se preocupar? ‘”

Além de persuadir os fabricantes de roteadores a habilitar a marcação de VLAN e quaisquer outros recursos de nível empresarial necessários para realizar a instalação do Alexander, o sucesso também dependeria da implementação de cada fabricante dos recursos, tanto na forma como na função, enfatizou Davis.

“Acho que cada fabricante teria fluxos diferentes em suas GUIs para configurar VLANs isoladas, o que não seria o mais fácil para os consumidores seguirem ao alternar entre marcas diferentes”, disse ele. “Acho que se a segurança da IoT fosse mais baseada em padrões ou automática por padrão entre dispositivos e roteadores, a segurança geral nos dispositivos de consumidor melhoraria bastante”.

Proteger essas duas concessões dos fabricantes de roteadores provavelmente se reduziria a padrões de ratificação em todo o setor, formal ou informalmente, como Davis vê.

“As diferentes placas de padrões poderiam se reunir e tentar enviar um padrão de segurança da IoT para os fabricantes de roteadores e dispositivos da IoT, e tentar incluí-lo em seus produtos”, disse ele. “Além de um novo padrão, pode haver um consórcio em que alguns dos principais fabricantes incluem isolamento avançado de dispositivos IoT na esperança de que outros sigam o exemplo”.

Redução de risco

A apresentação THOTCON de Alexander abordou a conectividade 5G que muitos prevêem que a IoT integrará , mas, ao explorar a viabilidade de alternativas à sua configuração, Davis rapidamente se aproximou da proposta de Alexander.

Conectar-se a dispositivos IoT via 5G certamente os manteria afastados das redes de laptop e smartphone de usuários domésticos, reconheceu Davis, mas apresentaria outros desafios. Como qualquer pessoa que já tenha navegado na Shodan pode lhe dizer, os dispositivos sempre ativos com credenciais padrão raramente alteradas e conectados diretamente à Internet pública têm suas desvantagens.

“Ter seus dispositivos IoT isolados com seus dispositivos domésticos é ótimo, mas ainda há o possível comprometimento dos dispositivos IoT”, disse Davis. “Se estiverem acessíveis ao público e tiverem credenciais padrão, poderão ser usados ​​em ataques DDoS”.

A ativação da IoT para conexões diretas à Internet 5G não melhora necessariamente a segurança dos dispositivos do usuário final, alertou Davis. Os proprietários de IoT ainda precisarão enviar comandos para seus dispositivos IoT de seus laptops ou smartphones, e tudo o que o 5G faz é alterar o protocolo empregado para isso.

“Os dispositivos IoT que usam conexões celulares 4G ou 5G são outro método de isolamento”, disse ele, “mas lembre-se de que então eles dependem ainda mais de ZigBee, Z-Wave ou Bluetooth Low Energy para se comunicar com outros dispositivos IoT em um residencial, o que pode levar a outros problemas de segurança dentro desses protocolos sem fio “.

De fato, o Bluetooth Low Energy tem sua parcela de falhas e, no final do dia, os protocolos não afetam tanto a segurança quanto a segurança dos dispositivos que a falam.

Independentemente de como a comunidade de segurança da informação opte por continuar, é construtivo procurar outros pontos no pipeline de conectividade entre os dispositivos IoT e o acesso do usuário a eles nas áreas em que as superfícies de ataque podem ser reduzidas. Especialmente quando comparados com a facilidade de inclusão do software necessário, os fabricantes de roteadores, sem dúvida, podem fazer mais para proteger os usuários nos casos em que a IoT em grande parte não tem até agora.

“Acho que grande parte da carga de segurança recai sobre o consumidor que simplesmente deseja conectar seu dispositivo e não precisa configurar nenhum recurso de segurança específico”, disse Davis. “Acho que os fabricantes de dispositivos IoT e os fabricantes de roteadores e pontos de acesso para consumidores podem fazer muito mais para tentar proteger dispositivos automaticamente e ajudar os consumidores a proteger suas redes”.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *