Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
LarAdote testes de penetração integrados para manter os dispositivos IoT seguros
Com a crescente adoção da IoT e de dispositivos conectados, as organizações precisam se concentrar na segurança de seus sistemas embarcados.
Embora muitas organizações realizem testes regulares de penetração de aplicativos e redes, muitas vezes elas se esquecem de avaliar vulnerabilidades nos dispositivos conectados. O teste de penetração integrado analisa dispositivos conectados, incluindo produtos IoT, em busca de possíveis pontos fracos.
Para ajudar as equipes de segurança e indivíduos interessados a realizar testes de penetração incorporados adequados, Jean-Georges Valle escreveu Practical Hardware Pentesting. Durante a carreira de Valle, ele trabalhou em testes de penetração embarcados, arquitetura de segurança e gerenciamento de riscos. Atualmente, ele atua como vice-presidente sênior da Kroll, uma consultoria de riscos cibernéticos e serviços financeiros.
O livro, atualmente em sua segunda edição, ensina aos leitores como conduzir técnicas ofensivas para testar dispositivos embarcados em busca de vulnerabilidades e fraquezas.
Embora o objetivo seja o mesmo do teste de caneta de software, é uma experiência diferente para o testador. “É uma atividade prática”, disse Valle. "Você está interagindo fisicamente com os dispositivos: você está soldando, abrindo peças e fazendo engenharia reversa de um dispositivo físico."
Em uma entrevista, Valle discutiu os desafios na segurança de sistemas embarcados, testes de penetração incorporados e como ele conduz um teste de penetração.
Confira um trecho do Capítulo 10 que explica como conduzir engenharia reversa dinâmica durante testes de penetração incorporados.
Nota do editor: A entrevista a seguir foi editada para maior clareza e extensão.
Qual é a maior fraqueza quando se trata de segurança de sistemas embarcados que as organizações precisam considerar melhor?
Jean-Georges Valle: A maior fraqueza é que os sistemas embarcados nunca existem por si próprios. Eles sempre interagem com algo no back-end e com outros serviços em algum lugar da nuvem. O problema daí é que esses sistemas e dispositivos embarcados são geralmente considerados totalmente confiáveis e não um vetor de ataque.
Essa mentalidade não é de todo verdadeira, eu descobri e lamento dizer. Os invasores podem aproveitar dispositivos e sistemas incorporados como uma via de ataque à infraestrutura de TI de uma organização e partir daí. Devido a esta ideia falha de confiança em relação aos dispositivos embarcados, os princípios usuais de menor privilégio, proteção, segmentação, etc. As organizações podem ignorar os dispositivos incorporados e suas vulnerabilidades potenciais. Isso os abre para vetores de ataque comuns, como injeção de comando, ou faz com que dispositivos incorporados tenham acesso a segredos, como chaves de API, que os invasores podem usar para se aprofundar em uma infraestrutura de TI.
Você notou o reconhecimento recente das organizações em relação à melhoria da segurança para IoT e dispositivos semelhantes?
Valle: Um pouco, mas isso se deve em grande parte à repressão da União Europeia à segurança de sistemas embarcados. A UE introduziu restrições legais para estes tipos de dispositivos numa proposta de 2022 para a Lei de Resiliência Cibernética. A lei estabelece linhas de base de segurança que os dispositivos conectados devem cumprir ou não receberão a marcação CE, o que significa efetivamente que você não pode vender no Espaço Económico Europeu. Devido à falta de incentivo da indústria para fortalecer os dispositivos incorporados, os reguladores tiveram que intervir e começar a reprimir.
Muitas vezes, os fornecedores tratam os produtos digitais de forma diferente da maioria das outras indústrias e recusam-se a aceitar qualquer responsabilidade após incidentes de segurança. Por exemplo, se você for à loja, comprar uma torta de maçã e for envenenado, o fabricante desse alimento será o responsável. Não foi assim que funcionou para os produtos digitais, mas isso está mudando do ponto de vista regulatório, o que é bom. Agora, se um fabricante vender um produto digital vulnerável, ele poderá ser responsabilizado. Isso faz com que os fabricantes repensem seus produtos e se concentrem menos em fornecer dispositivos conectados baratos e inseguros.
O objetivo do pentest incorporado é o mesmo do pentest clássico de rede ou aplicativo?
Valle: Sim. É comum encontrar e informar os fabricantes sobre os problemas de seus dispositivos e ajudá-los a gerenciar seus próprios riscos. No final das contas, o objetivo é ajudar no gerenciamento de riscos, quer você esteja testando um carro, um PLC industrial [controlador lógico programável], um produto IoT ou um site. Só porque os dispositivos IoT não são obviamente um computador à primeira vista, porque não são uma caixa com LEDs piscantes, não significa que não precisem de testes para ajudar um fabricante ou organização a assumir a responsabilidade por seus riscos. Eles ainda querem saber sobre os riscos aos quais estão expostos.