Apesar dos avanços recentes em segurança, dispositivos conectados à Internet das Coisas (IoT) ainda representam um elo frágil em muitas redes, oferecendo uma porta de entrada para computadores que, de outra forma, estariam protegidos por defesas relativamente robustas. O tamanho da “superfície de ataque” apresentada por dispositivos IoT é ampliado por quatro fatores: o grande número de dispositivos conectados; os recursos de proteção relativamente limitados; a aplicação pouco frequente de atualizações de software para corrigir falhas de segurança; e pouca atenção a recursos básicos de segurança, como senhas fortes e chaves de criptografia.
Cibercriminosos podem assumir o controle desses dispositivos IoT e usá-los como parte de uma botnet para causar danos em larga escala, por exemplo, por meio de ataques DDoS (Distributed Denial of Service), ou ainda como ponto de entrada em sistemas corporativos, explorando essa vulnerabilidade como um calcanhar de Aquiles da cibersegurança para acessar dados importantes.
O software—normalmente na forma de senhas, criptografia e autenticação—tem desempenhado um papel cada vez mais importante na proteção contra botnets e comprometimentos de rede. No entanto, para que essa segurança baseada em software se mantenha eficaz, são necessários programadores qualificados e manutenção constante—recursos em falta para muitas empresas. Uma abordagem alternativa, que vem ganhando credibilidade rapidamente, é projetar a segurança desde o início, utilizando novos recursos de hardware em microcontroladores (MCUs), fornecidos por fabricantes de chips com foco em segurança. Vamos entender melhor como essa nova abordagem está elevando o nível de proteção em dispositivos IoT.
O Botnet Ainda Vive
O exemplo mais notório do uso da IoT para um ataque DDoS em massa ocorreu em 2016, quando um malware chamado Mirai começou a escanear dispositivos IoT que utilizavam processadores ARC. Esses processadores geralmente executavam uma versão simplificada do sistema operacional Linux e, se a combinação padrão de nome de usuário e senha não fosse alterada, o Mirai acessava o dispositivo e o infectava. Utilizando aproximadamente cem mil dispositivos IoT sequestrados, a botnet Mirai derrubou o provedor de serviços de registro de domínios Dyn em um ataque DDoS em massa.
Embora os responsáveis pelo Mirai tenham sido processados, o código-fonte foi parar na internet, onde continua vivo até hoje em várias formas mutantes. E ele não está sozinho. O apropriadamente chamado “Reaper”, por exemplo, consegue atingir um número maior de processadores do que as variantes do Mirai e possui um controle muito mais sofisticado sobre o que faz com seus bots.
Contra-ataque
Diante da crescente ameaça, os fabricantes de chips para IoT estão assumindo a liderança na batalha contra hackers, incentivando seus clientes a adotar uma abordagem de segurança desde o início — incorporando-a como parte fundamental do processo de design e desenvolvimento. Embora isso aumente o custo e o tempo do cronograma do projeto, comparado aos prejuízos financeiros de uma violação de segurança, trata-se de um investimento que vale a pena. Segundo a Platform Security Architecture (PSA) Certified — uma parceria da indústria voltada ao combate de desafios de segurança —, o custo médio de um ataque bem-sucedido a um dispositivo IoT ultrapassa 330 mil dólares,[1] sem contar os danos financeiros causados pela perda de reputação.
A PSA Certified não apenas incentiva a indústria de semicondutores a oferecer recursos de segurança avançados em seus MCUs, mas também recomenda a busca por certificações independentes de segurança em IoT por meio de seu framework. Assim, os clientes passam a contar com um referencial para avaliar o nível de proteção oferecido pelo chip escolhido.
A proteção de MCUs começa garantindo que o chip só possa executar software proveniente do fabricante do silício ou de terceiros confiáveis. Isso é feito por meio do secure boot (inicialização segura), que realiza uma validação criptográfica do firmware antes de executá-lo. Em seguida, o próprio firmware verifica qualquer novo carregamento de software para garantir que também seja autêntico.
Um MCU bem protegido também deve contar com um mecanismo anti-rollback, que impede atualizações com versões antigas de firmware — ainda que autênticas — que possam conter falhas de segurança já conhecidas e exploráveis. Um método eficaz para isso utiliza um contador incremental, armazenado de forma segura, que define a versão mínima de firmware aceita pelo sistema.
Proteção de Memória Integrada
Outra boa prática ao projetar segurança é selecionar um MCU com uma Unidade de Gerenciamento de Memória (MMU) ou uma Unidade de Proteção de Memória (MPU). A MMU está disponível atualmente apenas em alguns MCUs de IoT de alto desempenho. Ela traduz os endereços virtuais gerados por um programa para endereços físicos na memória do computador e garante a segurança da memória, impedindo que o software acesse memórias protegidas, garantindo assim que um processo não interfira em outro. Por outro lado, a MPU é mais comum e protege regiões de memória, definindo permissões de acesso para diferentes estados de privilégio. As MPUs acionam um sinal de falha quando uma violação de acesso é detectada.
Levando a segurança ainda mais longe, a memória criptografada aumenta a proteção além do que a MMU ou a MPU oferecem, dificultando ainda mais a extração de dados do usuário ou credenciais por cibercriminosos. A chave de criptografia deve ser única para cada chip, de forma que a quebra de uma chave não comprometa todas as outras—mas é essencial ter muito cuidado ao criar e armazenar essas chaves criptográficas.
O MCU pode ser utilizado para gerar a chave criptográfica, mas é necessário cautela. A origem da criptografia normalmente vem de um gerador de números aleatórios (RNG). Antigamente, era comum que os desenvolvedores usassem a data ou hora atual como ‘semente’ para um gerador de números pseudo-aleatórios (PRNG). O problema é que um PRNG não é imprevisível e padrões em sua geração podem ser explorados por hackers.
Para evitar as potenciais fraquezas de um PRNG, os fabricantes de MCU começaram a implementar um gerador de números aleatórios de hardware (HWRNG), utilizando fontes de entropia baseadas em oscilações térmicas ou de áudio, ou até mesmo um oscilador de anel. O resultado é um verdadeiro RNG que pode ser utilizado para chaves criptográficas praticamente impossíveis de hackear. É recomendável procurar por fornecedores de chips que certificam suas implementações de HWRNG, o que é útil caso você queira que seu produto seja certificado por um padrão como o PSA Certified.
O boot seguro, atualizações seguras de firmware, proteção de memória e memória criptografada formam uma Raiz de Confiança (RoT), que sustenta a confiança de desenvolvedores e usuários na arquitetura de software do MCU.
Além disso, o chip provavelmente utilizará um ambiente de processamento não seguro (NSPE), onde poderá executar atividades computacionais de baixo risco e armazenar dados triviais. A vantagem do NSPE é oferecer menor latência e reduzir o consumo de energia. Se o MCU tiver vários núcleos, um ou mais podem ser usados para o SPE, enquanto os demais são alocados para o NSPE. Se o MCU tiver apenas um único núcleo, uma seção do processador pode ser dedicada ao SPE por meio de tecnologias como o TrustZone da Arm.
O SPE e o NSPE são isolados um do outro e não se comunicam diretamente. Em vez disso, utilizam recursos compartilhados, como RAM e comunicação interprocessos. Assim, mesmo que o NSPE seja invadido, não há como acessar o SPE a partir dele.
Resistência a Ataques por Falhas Intencionais
Há outro cenário em que a Raiz de Confiança (RoT) pode ser comprometida — os ataques por injeção de falhas. Por meio de repetidos picos de tensão ou falhas no clock, um invasor pode forçar o MCU a pular instruções críticas, como as verificações de boot seguro, comprometendo assim sua proteção. Esse tipo de ataque é mais difícil de executar em comparação com ataques remotos, pois exige acesso físico ao MCU. Ainda assim, tem sido tentado em diversas ocasiões quando os dados presentes em um dispositivo IoT possuem alto valor.
À medida que as ameaças à segurança em IoT evoluíram, as complexidades envolvidas no combate a elas forçaram os fabricantes de MCUs a aprimorar suas técnicas de design. A proteção agora inclui medidas antiviolação, como componentes de hardware dedicados à segurança e contramedidas de software. Essa ainda é uma área em desenvolvimento para muitos engenheiros, por isso, a melhor abordagem na hora de escolher um MCU é perguntar ao fabricante como sua solução foi projetada para resistir a ataques por injeção de falhas.
Conclusão
Embora os dispositivos IoT tenham avançado significativamente em termos de segurança de software, hackers estão se tornando cada vez mais sofisticados e rapidamente descobrem novas maneiras de contornar essas proteções. Técnicas como a instalação de software autêntico, porém vulnerável, quebra de chaves criptográficas e manipulação de tensão e clock podem comprometer as defesas.
Diante dessas novas ameaças, os fabricantes de chips estão respondendo ao desafio com recursos de hardware nos MCUs que complementam a segurança de software. Desenvolvedores podem aproveitar tecnologias como Raiz de Confiança (RoT), ambientes de processamento seguro e proteção contra injeção de falhas para reforçar seus produtos contra ataques maliciosos. Além disso, organizações como a PSA Certified estão definindo padrões industriais para que os desenvolvedores possam avaliar independentemente o nível de segurança de seus dispositivos IoT. Embora a batalha não tenha fim, esses avanços mantêm a indústria de semicondutores um passo à frente.
Fontes
[1] https://www.psacertified.org/what-is-psa-certified/why-choose-psa-certified/#:~:text=The%20Cost%20of%20Inaction%20is,damages%20will%20total%20%2410%20trillion.Artigo escrito por Steven Keeping e publicado no blog da Mouser Electronics: New MCU Hardware Enhances IoT Security | Bench Talk
Traduzido pela Equipe Embarcados. Visite a página da Mouser Electronics no Embarcados
