Hackers iranianos alegam ter derrubado energia em Israel
Ransomware atinge empresa de logística no Brasil
USP, UFRJ e UFMG sob ataque de negação de serviço
Pane de rede retardou produção na Volkswagen
Site da Prefeitura de Suzano (SP) está fora do ar
DDoS atinge subdomínio da NASA

Assine nossa newsletter Premium e ganhe acesso ao grupo de WhatsApp In_Cyber.
Conheça também a versão Básica

Comunicação de vulnerabilidade não tem vez em IoT

Share on linkedin
Share on twitter
Share on facebook

A IoT Security Foundation, uma organização voltada para a segurança da internet das coisas, resolveu fazer uma pesquisa para descobrir de que modo as empresas que fabricam dispositivos para consumidores finais tratam a descoberta de vulnerabilidades. A principal conclusão é que 90,3% dessas empresas não oferece qualquer meio, protocolo ou método para o recebimento de informações sobre esse assunto. Em outras palavras, não há interesse no assunto.

A pesquisa foi feita em agosto de 2018 e a principal pergunta é “com que amplitude é praticada a revelação de vulnerabilidades (vulnerability disclosure) no domínio dos produtos de internet das coisas para consumidores”. Outra pergunta importante foi sobre a existência de um canal para a comunicação de vulnerabilidades localizadas nos produtos pelos pesquisadores de segurança.

A pesquisa foi feita com 331 empresas. Isso significa se apenas 32 desse total tem algum programa para o recebimento das informações sobre vulnerabilidades. Dessas 32, quase metade ficam na América do Norte e 15 delas patrocinam algum programa de recompensas para os pesquisadores que localizam vulnerabilidades (programas de bug bounty).

A pesquisa se chama “Entendendo o Uso Atual da Revelação de Vulnerabilidades em Empresas de Produtos de Internet das Coisas para Consumo”. E os produtos, neste caso, são aqueles que se pode comprar em lojas de departamentos e até supermercados como, por exemplo, babás eletrônicas, câmeras de vídeo, fechaduras acionáveis pela internet e controles remotos para a casa, além de roteadores, é claro.

Os pesquisadores de segurança encontram muitas dificuldades no contato com essas empresas ao descobrirem alguma falha em seus produtos. A empresa Hidrate, por exemplo, fabrica uma garrafa que avisa quando está na hora de você beber água. Em seu website, ela informa que não permite a ninguém pesquisar falhas de segurança em seus produtos. No caso da ZTE, a página para comunicação de vulnerabilidade gerava uma mensagem de erro (404) quando foi visitada pelos pesquisadores em setembro deste ano.

A conclusão geral da pesquisa é de que 90% das empresas não têm um mecanismo para o recebimento da revelação de vulnerabilidades enquanto que em outras áreas das empresas de informática isso é muito diferente e as taxas são muito mais elevadas. Na minha opinião, a indústria de IoT de consumo não tem interesse neste momento de investir nem no recebimento das informações (para não prejudicar a imagem dos seus produtos) nem num programa de revelação de vulnerabilidades (provavelmente porque a margem de lucro nos seus produtos é baixa demais para patrocinar um bom bug bounty).