Durante a última edição do Congresso Ibero-Americano de Segurança da Informação - mais conhecido como Segurinfo - que aconteceu no dia 23 de abril, em Buenos Aires, Argentina, Tony Anscombe, Global Security Evangelist da ESET, realizou uma interessante palestra sobre edifícios inteligentes. Na ocasião, Tony explicou os riscos de segurança associados a esse tipo de infraestrutura.

Em países como os Estados Unidos, estima-se que o crescimento de edifícios inteligentes seja de 16,6% até 2020, em comparação com 2014 - essa realidade de expansão está acontecendo globalmente. Em grande medida, esse crescimento se deve ao fato de vivermos em um mundo cada vez mais atravessado pela tecnologia e no qual a automação de processos e a busca pela eficiência energética representam não apenas uma contribuição para a sustentabilidade, mas também representa uma redução de custo - objetivo que persegue qualquer tipo de indústria, do setor público ao setor privado.

Os edifícios inteligentes utilizam a tecnologia para controlar diferentes dinâmicas que fazem parte dos respectivos ambientes, com o objetivo de proporcionar mais conforto, contribuir para a saúde e produtividade de quem o habita. Para fazer isso, os edifícios inteligentes usam o que é conhecido como Building Automation Systems. Com o advento da Internet das Coisas (IoT), os edifícios inteligentes foram redefinidos, e através de sensores inteligentes, o equipamento tecnológico desses edifícios é usado para analisar, prever, diagnosticar e manter os diferentes ambientes, bem como automatizar processos e monitorar em tempo real diferentes variáveis​​, tais como: temperatura dos quartos, iluminação, câmeras de segurança, elevadores, estacionamento, gerenciamento de água, entre muitos outros recursos automatizados que atualmente se apoiam na tecnologia.

Para colocar em perspectiva o que este tipo de infraestrutura inteligente representa, Tony Anscombe deu o exemplo de um hotel em Las Vegas que há dois anos decidiu colocar um sofisticado sistema de automação para controlar o uso do ar condicionado (deve-se notar que Las Vegas tem um clima desértico que se caracteriza por ser quente e registra pouca chuva) que só ligava o ar condicionado quando havia pessoas presentes no edíficio. Essa decisão representou no primeiro ano de instalação do sistema inteligente uma economia de 2 milhões de dólares graças à economia de energia que a automação desse processo significou.

[video width="320" height="240" preload="auto" loop="true" autoplay="true"][/video]

 

Outro exemplo de automação através do uso de dispositivos inteligentes mencionado pelo Security Evangelist da ESET foi o de um supermercado no Reino Unido, que instalou um sistema inteligente em seu estacionamento que utiliza a circulação de automóveis para gerar energia, que, em seguida, é usada para alimentar os refrigeradores.

Embora à primeira vista haja aqueles que não vêem isso como um risco de segurança em edifícios inteligentes, é provável que em algum momento toda essa rede inteligente esteja conectada a um único banco de dados, e é aí que reside o risco, especialmente se levarmos em conta que muitos dispositivos IoT são fabricados por fornecedores diferentes que talvez não tenham levado em consideração aspectos de segurança durante o processo de fabricação. E enquanto muitos podem pensar que nunca viverão nesse tipo de edifício, Anscombe destacou que "é bastante provável que muitas pessoas que atualmente não vivem em um edifício com essas características, passam a viver nesses espaços em algum momento no futuro", já que o mercado de construção de edifícios inteligentes usando a IoT vem crescendo substancialmente.

Probabilidade de que um edíficio inteligente seja atacado

O risco de sofrer um incidente de segurança nesse tipo de infraestrutura está associado às motivações dos cibercriminosos, que buscam principalmente obter lucro através de suas ações, mas que também geram impacto e transmitem medo.

Atualmente, existem ferramentas como o Shodan que permitem encontrar dispositivos IoT vulneráveis ​​e/ou inseguros conectados à Internet de maneira pública. Conforme Anscombe, se você pesquisar por BAS de uma maneira específica nessa ferramenta, poderá encontrar milhares de sistemas de automação de edíficios nessas listas com informações que podem ser usadas por um atacante para comprometer um dispositivo - em fevereiro de 2019 havia cerca de 35.000 sistemas BAS, no Shodan, disponíveis para o público na Internet a nível global.

Portanto, alguém poderia tomar o controle de um BAS depois de tê-lo encontrado. Se, por exemplo, um criminoso usa o Shodan e procura por sistemas de automação de edíficios para atacar, ele encontrará endereços IP, que se colocados em um navegador, permitirão deparar-se em muitos casos com uma interface de acesso na qual deverá inserir nome de usuário e uma senha. No caso de ter uma senha padrão ou que possa ser facilmente quebrada por um ataque de força bruta, o atacante terá acesso ao painel de monitoramento do sistema com informações semelhantes às que os habitantes do edíficio inteligente podem visualizar através de seus dispositivos. Às vezes, você nem precisa de um nome de usuário e senha, pois esses painéis de monitoramento são acessíveis a qualquer pessoa na Internet sem a necessidade de credenciais.

Ao ter acesso a essas informações públicas e monitorar, por exemplo, o funcionamento do ar-condicionado, um atacante pode realizar uma ligação e se passar pela empresa de manutenção e informar que irá enviar um técnico porque observou que os ventiladores estão funcionando de forma incorreta. Nesse momento, o atacante pode aproveitar a ocasião para solicitar que o morador forneça acesso remoto e, dessa forma, será possível acessar o servidor e controlar todo o edíficio. Depois de obter o controle, o atacante pode alterar os sistemas de aquecimento ou ar condicionado de um edifício ou modificar o funcionamento de outro sistema automatizado e solicitar o pagamento de um resgate em bitcoins para evitar que os atacantes fechem o edíficio.

Siegeware: uma ameaça real

Como mencionado pelo especialista em segurança da ESET, Stephen Cobb, em um artigo publicado em fevereiro deste ano, em que ele narrou os detalhes de um ciberataque contra edíficios inteligentes, esse fenômeno não é um evento isolado, mas que a partir de um fato concreto e depois de pedir ajuda das autoridades, eles disseram a ele (para sua surpresa) que "já tinham visto isso antes". Isso significa que é uma prática que os cibercriminosos já fizeram em várias ocasiões. Esse tipo de ataque, chamado Siegeware, é aquele pelo qual um atacante tem a capacidade de, por meio de códigos, realizar uma demanda extorsiva depois de tomar o controle das funcionalidades digitais de um edifício, explicou Cobb.

Em conclusão, o baixo custo dos dispositivos IoT para edifícios e o avanço de tecnologias para sistemas de automação de edifícios está gerando mudanças que afetam a segurança. Essa busca por automação e o uso de dispositivos inteligentes que coletam dados para oferecer conforto a seus moradores, além de tornar mais eficiente o uso de recursos, como a energia, também está aumentando o risco para a segurança. Nesse sentido, a possibilidade de um cibercriminoso realizar um ataque de ransomware que afeta um edíficio inteligente já faz parte da realidade.

Considerações

No final de sua apresentação, Tony Anscombe comentou algumas considerações e requisitos de segurança que devem estar presentes:

  • Revisar as especificações de segurança dos dispositivos e trabalhar alinhado ao conceito de segurança por design.
  • Destinar um orçamento para a segurança.
  • Selecionar parceiros que tenham conhecimento no campo da segurança.
  • Contar com um programa de gerenciamento de vulnerabilidades.
  • Cooperação entre as diferentes áreas e/ou departamentos.

Em relação às recomendações do ponto de vista operacional:

  • Atualizar os dispositivos regularmente.
  • Estabelecer um plano de substituição se o ciclo de vida de um dispositivo terminar.
  • Prevenção sobre o que está conectado.
  • Monitorar os dispositivos conectados.

Leia mais: