Case Asus sugere 6 coisas a serem observadas na Internet das Coisas

O roteador é Grand Central Station for Home Technology. Ele gerencia as conexões entre todos os dispositivos inteligentes da casa, desde o computador no covil e o tablet na mesa de café, até o termostato inteligente na parede e o monitor de bebê conectado à Internet no berçário. Os consumidores esperam que essa rota seja uma rodovia de acesso limitada com os dados de encaminhamento de roteador com segurança, bloqueando o acesso não autorizado. Mas uma queixa da FTC contra a gigante da tecnologia Asustek Computer, Inc. – a maioria das pessoas as conhece como ASUS – desafia como injusta e enganosa a falha da empresa em proteger os roteadores e serviços de “nuvem” que comercializou para os consumidores. O caso também oferece informações para outras empresas que entram na Internet das Coisas.

Como a Asus anunciou seus produtos. A ASUS anunciou que seus roteadores tinham inúmeros recursos de segurança que poderiam “proteger os computadores de qualquer acesso não autorizado, hackers e ataques de vírus” e “proteger (a) rede local contra ataques de hackers”. Mas De acordo com a FTCOs roteadores da Asus não cumpriram essas promessas. Além disso, os roteadores da empresa incluíam serviços chamados Aicloud e Aidisk, que permitiram aos consumidores conectar um disco rígido USB ao roteador para criar seu próprio armazenamento “nuvem”, acessível a partir de qualquer um de seus dispositivos – um tipo de hub de armazenamento central para a casa inteligente . Enquanto a ASUS anunciou esses serviços como uma “nuvem pessoal privada para compartilhamento seletivo de arquivos” e uma maneira de “proteger e acessar com segurança seus dados preciosos através do seu roteador”, a FTC alega que eles eram tudo menos seguros.

Onde asus deu errado com seus roteadores. Apesar do papel vital do roteador na proteção da rede doméstica, a FTC diz que a ASUS não tomou medidas básicas para proteger o software em seus roteadores. Por exemplo, os consumidores gerenciaram o roteador (incluindo esses recursos de segurança) por meio de uma interface baseada na Web, chamaremos o console do administrador. Mas, explorando bugs de segurança generalizados no console administrativo, os hackers podem alterar as configurações de segurança do roteador – até desligar o firewall do roteador, lançando acesso público ao armazenamento “nuvem” do consumidor ou configurando o roteador para redirecionar os consumidores para sites maliciosos. De fato, uma campanha de exploração que direcionou especificamente vários modelos de roteador ASUS fez exatamente isso, reconfigurando roteadores vulneráveis ​​para que os hackers controlassem o tráfego da Web dos consumidores. Como alega a denúncia, longe de proteger as redes domésticas dos consumidores, os roteadores da Asus deixam hackers causar estragos neles.

Serviços inseguros da ASUS. Os serviços de armazenamento “em nuvem” da Asus também não estavam seguros. De acordo com a FTC, qualquer pessoa que conhecesse o endereço IP do roteador – uma caminhada no parque para um hacker – poderia ignorar a tela de login do Aicloud Service e acessar os dispositivos de armazenamento dos consumidores sem credenciais, deixando os arquivos dos consumidores abertos na Internet. Aidisk não se saiu muito melhor. A FTC discordou desse serviço para confiar em um protocolo inseguro e ter um processo de configuração confuso com padrões inseguros. Por exemplo, quando os consumidores ativaram o serviço, por padrão, isso forneceria a qualquer pessoa na Internet um acesso não autenticado a todos os arquivos no dispositivo de armazenamento do consumidor. Pior ainda, o assistente de configuração não explicou esses padrões e não deixou claro o que estava acontecendo. Sem mencionar que, se o consumidor tentou criar uma conta restrita, o Serviço predefine as credenciais de login ao mesmo nome de usuário e senha fraca (família/família) para todos. Todas essas vulnerabilidades de segurança e falhas de design representaram grandes problemas para os consumidores.

A resposta atrasada da ASUS e a falha em notificar os consumidores. A FTC diz que a ASUS poderia ter impedido muitos problemas se tivesse seguido práticas conhecidas e seguras de design, codificação e teste. Além do mais, os pesquisadores de segurança entraram em contato com a ASUS para avisos de som, mas muitas vezes levavam meses – e às vezes mais de um ano – para a ASUS responder. Por exemplo, quando um pesquisador relatou que, por sua estimativa, 25.000 consumidores tinham dispositivos de armazenamento da Aidisk abertamente acessíveis na Internet, eram grilos da ASUS. De fato, foi somente depois de um apelo de um grande varejista europeu que a ASUS começou a prestar atenção a esse problema. Até então, era tarde demais.

Ainda mais preocupante, alega a FTC, é que, quando a ASUS desenvolveu patches de segurança, não notificou os consumidores. O console administrativo do roteador tinha uma ferramenta que deveria permitir que as pessoas verificassem se o roteador estava usando o firmware mais recente disponível (o software incorporado no roteador). Mas, como os pesquisadores alertaram a Asus, a ferramenta de atualização não estava funcionando como deveria. De acordo com a denúncia, mais de um ano se passou e os consumidores ainda estavam recebendo a mensagem de que o “firmware atual do roteador é a versão mais recente” quando o firmware mais recente com atualizações críticas de segurança estava disponível.

Milhares de roteadores comprometidos. Isso significava que os roteadores da ASUS e os serviços “em nuvem” deixaram as redes domésticas e os arquivos pessoais dos consumidores à mercê de hackers e ladrões de identidade. Você pode adivinhar o que aconteceu a seguir. Os hackers usaram ferramentas para localizar os endereços IP de milhares de roteadores ASUS vulneráveis ​​e é aí que a história fica realmente interessante. Explorando as vulnerabilidades e as falhas de design da Aicloud, eles obtiveram acesso não autorizado aos dispositivos de armazenamento USB de milhares de consumidores. Mas eles não vieram e foram silenciosamente. Eles deixaram um arquivo de texto nos dispositivos que diziam, “Esta é uma mensagem automatizada que está sendo enviada a todos os efeitos (sic). Seu roteador ASUS (e seus documentos) podem ser acessados ​​por qualquer pessoa do mundo com uma conexão com a Internet. ”

As reivindicações de segurança da Asus podem ter sido enganosas, mas uma coisa acabou sendo verdade: o aviso dos hackers de que os roteadores e documentos dos consumidores eram acessíveis a qualquer pessoa no mundo. Por exemplo, um consumidor relatou que os ladrões da ID usavam informações confidenciais em seu dispositivo de armazenamento USB, incluindo declarações fiscais e outros dados financeiros, para acumular cobranças não autorizadas e fazer uma bagunça de sua identidade. Outros reclamaram que um importante mecanismo de pesquisa havia indexado os arquivos pessoais que seus roteadores ASUS vulneráveis ​​haviam exposto, tornando -os pesquisáveis ​​online.

A queixa da FTC. O processo Os desafios como as alegações falsas ou enganosas da ASUS de que foram necessárias medidas razoáveis ​​para garantir que seus roteadores protegessem as redes locais dos consumidores do ataque, que o Aicloud e o Aidisk fossem maneiras seguras para as pessoas acessarem informações confidenciais e que sua ferramenta de atualização de firmware era precisa. A denúncia também alega que o fracasso da Asus em tomar medidas razoáveis ​​para proteger o software para seus roteadores era uma prática injusta.

Como asus terão que mudar. O ordem proposta Inclui disposições de segurança que se tornaram padrão nos assentamentos da FTC, mas há outra coisa. Se houver uma atualização de software ou outras etapas, os consumidores podem tomar para se proteger de uma falha de segurança no futuro, a ASUS deve notificá -los. É importante ressaltar que o acordo deixa claro que apenas postar um aviso em seu site não é suficiente por conta própria. (Quem vai ao site do fabricante do roteador regularmente?) Além disso, o pedido proposto exige que a ASUS ofereça aos consumidores uma maneira de se registrar para receber avisos de segurança por meio de comunicação direta, como email, mensagem de texto ou notificação de push. Na Internet das Coisas, onde os consumidores costumam “defini -lo e esquecer”, esses tipos de comunicações diretas podem ser ferramentas críticas para garantir que os consumidores recebam a mensagem. Você pode registrar um comentário sobre o acordo até 24 de março de 2016.

Se a Internet das Coisas intriga sua empresa, o caso oferece seis dicas para manter conexões cuidadosas.

1. Comece com segurança. Enquanto os roteadores da Asus sofriam de uma série de vulnerabilidades clássicas, o problema com a Aidisk foi além de insetos ou falhas. De acordo com a denúncia, não era seguro desde o início, tanto na escolha da empresa de um protocolo inseguro quanto em sua interface de usuário confusa e insegura. Sim, você deseja que seu produto seja comercializado o mais rápido possível, mas reserve um tempo para projetar segurança no início. Essa é uma consideração particularmente importante na Internet das coisas em que o design inseguro de um produto pode afetar vários dispositivos conectados.
2. Projete seus produtos através dos olhos dos clientes. Se você vender um produto conectado para uso doméstico, é provável que os clientes façam a gama do novato ao PRO. Então, como os desenvolvedores podem se comunicar com as pessoas nas duas extremidades do espectro? Aqui está uma perspectiva a considerar. Os consumidores menos experientes em tecnologia geralmente se queixam de produtos que são muito complicados. Mas você já ouviu um usuário sofisticado reclamar que uma interface era muito clara ou muito direta?
3. Facilite para as pessoas selecionar a opção mais segura desde o início. Preste atenção especial às implicações de segurança de seus padrões e procedimentos de configuração. Os consumidores que não desanimam com um labirinto complicado de telas podem configurar seus dispositivos de forma inadequada ou podem ficar com as opções prontas para uso. É por isso que é perigoso definir o padrão do seu sistema como “aberto” – ou inseguro, como foi o caso do Aidisk. É ótimo oferecer recursos personalizáveis ​​para a mão da tecnologia, mas desenvolvedores sábios consideram os benefícios da segurança por padrão.
4. Preste atenção aos avisos de segurança. Em muitos casos recentes, a FTC observou que as empresas não abordaram alertas credíveis sobre possíveis vulnerabilidades de produtos. Quando os problemas de segurança chegarem à sua atenção, o curso mais sábio é investigar e alcançar os clientes imediatamente se as preocupações forem precisas.
5. Pense em como você informará os consumidores sobre as correções. Digamos que alguém vê um problema e você projete um patch para resolvê -lo. Esse é um primeiro passo importante, mas o trabalho não foi feito. Um patch de segurança é eficaz apenas se os clientes o instalarem. Desenvolvedores de extrema obriga a um plano de contingência do What-IF para enfrentar os desafios de notificar as pessoas após o fato.
6. Aprenda as lições de outros casos da FTC. De acordo com os FTCs Comece com segurança Publicação, não existe uma fórmula única para o que é razoável. Mas todas as queixas de segurança de dados oferecem lições sobre práticas que podem causar problemas em determinadas circunstâncias. Parágrafo 30 da queixa Asus Recapita dezenas deles, incluindo credenciais de login padrão fracos, escolhendo protocolos inseguros quando os mais seguros estão prontamente disponíveis, pulando testes aceitos no setor e não implementando proteções de baixo custo contra vulnerabilidades conhecidas.

Procurando mais dicas? Leia conexões cuidadosas: construindo segurança na Internet das coisas.