A Fundação OWASP (Open Web Application Security Project) é uma organização dedicada à análise e disseminação de temas, documentos e ferramentas relacionadas à segurança de software a nível global. A OWASP publicou recentemente seu "IoT Top 10 2018" como parte de um projeto focado na Internet das Coisas. Um breve documento que indica quais são os 10 principais problemas de segurança associados aos dispositivos da Internet das Coisas (IoT) e que devem ser levados em conta por todos aqueles que desenvolvem, criam ou gerenciam sistemas IoT.
#1 Senhas fracas, previsíveis ou dentro do código
Uso de senhas que não podem ser modificadas e que estão publicamente disponíveis ou são fáceis de adivinhar através da utilização da técnica de força bruta, e até mesmo de backdoors em firmware ou software cliente que permitem obter acesso não autorizado a sistemas, aproveitando-se dessas senhas vulneráveis.
#2 Serviços de rede inseguros
Serviços de rede inseguros e desnecessários em execução no próprio dispositivo, especialmente aqueles expostos à Internet, que comprometem a confidencialidade, autenticidade ou disponibilidade de informações ou permitem o controle não autorizado de forma remota.
#3 Ecossistema de interfaces inseguros
Problemas de segurança em interfaces web, móveis, na nuvem, ou API de backend em ecossistemas que estão fora dos dispositivos e que permitem que tanto os dispositivos como certos componentes relacionados possam ser comprometidos.
#4 Falta de mecanismos de atualização seguros
A falta de um sistema simples para atualizar o dispositivo de forma segura. Isso inclui: falta de validação do firmware no dispositivo, falta de segurança no envio (tráfego não criptografado), falta de mecanismos para evitar voltar atrás e falta de notificações sobre alterações de segurança devido às atualizações.
#5 Uso de componentes inseguros ou obsoletos
Uso de componentes/bibliotecas de software obsoletos e/ou inseguros que podem permitir que o dispositivo seja comprometido. Isso inclui a personalização insegura da plataforma do sistema operacional e o uso de software de terceiros ou componentes de hardware de uma cadeia de suprimentos comprometida.
#6 Insuficiente proteção da privacidade
Informações pessoais do usuário armazenadas no dispositivo ou no ambiente ao qual o dispositivo está conectado, usadas de maneira insegura, inadequada ou sem permissão.
#7 Transferência e armazenamento de dados de maneira insegura
Falta de criptografia ou controle de acesso para dados confidenciais que estão dentro do ecossistema, incluindo dados em repouso, em trânsito ou em processamento.
#8 Falta de controles de gerenciamento
Falta de suporte de segurança em dispositivos liberados para produção, incluindo gerenciamento de ativos, gerenciamento de atualizações, desarme seguro, monitoramento de sistemas e recursos de resposta.
#9 Configuração insegura por padrão
Dispositivos ou sistemas com configurações padrão pouco seguras ou sem a possibilidade de tornar o sistema mais seguro, aplicando restrições com base nas alterações de configuração.
#10 Falta de hardening
Falta de medidas que permitam fortalecer os dispositivos desde o ponto de vista físico, o que faz com que cibercriminosos possam ter acesso a informações confidenciais que podem ser úteis em um futuro ataque remoto ou para assumir o controle local do dispositivo.
Já faz um bom tempo que a segurança em dispositivos IoT se tornou um problema monitorado de perto. Aspectos como a insuficiente proteção da privacidade, mencionada no item 6, também foram detectados por pesquisadores da ESET em um estudo publicado no início de 2018, após a análise de doze dispositivos IoT populares disponíveis no mercado e nos quais cada um dos dispositivos inteligentes avaliados apresentou algum problema de privacidade, além de outros tipos de vulnerabilidades.
Alguns usuários já passaram a considerar um pouco mais alguns desses problemas apresentados pelos dispositivos IoT e estão tomando medidas, como é o caso do estado da Califórnia, nos Estados Unidos, que aprovou uma nova lei que até 2020 exigirá que todos os dispositivos inteligentes comercializados deverão vir configurados com senhas exclusivas.
De acordo com o Head of Awareness & Research da ESET na América Latina, Camilo Gutiérrez, no relatório Tendências 2019, este ano será possivel ver com mais frequência casos de ameaças desenvolvidas especificamente para dispositivos IoT.