Como enfrentar o crescente ataque de hackers

Por Luis Carlos Delcampo

Os gastos com crimes cibernéticos não param de crescer

Uma consequência desfavorável de um mundo totalmente conectado (ou seja, a proliferação da Internet das Coisas) é o aumento (altíssimo) do custo dos crimes cibernéticos. Um relatório publicado recentemente apresentou a conta: no mundo todo, estima-se que o custo anual dos crimes cibernéticos chegue a USD 600 bilhões, cifra superior aos USD 500 bilhões registrados em 2014.

Dispositivos de Internet das Coisas com pouca proteção representam um problema em particular, porque oferecem novas formas fáceis para que hackers roubem informações ou obtenham acesso a dados importantes, redes ou ativos físicos. (fonte 4) De fato, os dados recentes sugerem que o custo das identidades de dispositivos com pouca proteção gira entre USD 15 bilhões e USD 21 bilhões ou, na economia dos EUA, 9% a 13% do prejuízo total causado por eventos cibernéticos (estimado em USD 163 bilhões).

Todas essas cifras astronômicas indicam uma verdade: nunca uma identificação confiável de dispositivos conectados foi tão necessária. Conheça o ambiente de execução confiável (TEE).

O que é um ambiente de execução confiável (TEE)?
A proteção de dispositivos com o princípio do isolamento

Um ambiente de execução confiável (TEE) é uma área protegida e isolada de um processador principal que garante a integridade da execução de aplicativos, além da confidencialidade de ativos, como credenciais, certificados, senhas e dados. Ele proporciona níveis altos de proteção no gerenciamento de ativos desse ambiente circundante porque esses ativos são protegidos em repouso de invasores “desconhecidos” e externos ao TEE no dispositivo.

Especificamente, a parte “protegida” do TEE exige que todos os ativos, códigos e outros componentes relacionados ao TEE da cadeia de inicialização do dispositivo (por exemplo, o carregador de inicialização, a plataforma do sistema operacional, imagens do aplicativo instalado) tenham sido instalados e iniciados através de uma metodologia que requer que o estado inicial seja o seguinte:

• O firmware é verificado na inicialização: os arquivos do Linux e o firmware do dispositivo são carregados e é criada uma partição protegida de memória para o ambiente de execução confiável

• O conteúdo é validado por não ter sido modificado durante o armazenamento em repouso

• As credenciais (por exemplo, senhas e certificados) estão protegidas: inclusive as de programas de aplicativo e de qualquer meio no domínio não confiável

• O conteúdo é criptografado no disco e descriptografado durante a transferência de uma seção para outra da memória, liberando a capacidade do processador

Quando a integridade é verificada, o carregador de inicialização permite o acesso aos sistemas de arquivos criptografados e transfere a execução para a próxima etapa do processo de inicialização.

Os hackers odeiam o TEE
O TEE utiliza um fortalecimento de segurança de nível superior

O isolamento é fundamental para um dispositivo com segurança fortalecida e o fortalecimento é o processo de proteção de um sistema através da redução da sua superfície de vulnerabilidade. Entre as formas disponíveis para reduzir ataques estão a alteração de senhas padrão, a remoção de softwares dispensáveis, nomes de usuário ou logins desnecessários e a desabilitação ou remoção de serviços desnecessários. A combinação do conceito de isolamento e de fortalecimento da segurança constitui a essência do TEE e é o inimigo dos nossos inimigos (hackers).

Segurança aprimorada

A inteligência dos hackers é digna de nota. Eles ganham a vida criando métodos para descriptografar criptografias. Mas o TEE vai além da criptografia: ele cria “áreas de confiança” bloqueadas, dividindo recursos do pacote do processador e periféricos em domínios confiáveis. De modo simples, as credenciais, os certificados, as senhas etc. são armazenados de tal forma que se tornam INACESSÍVEIS para os hackers, inclusive quando a alimentação é interrompida.

Não há dúvidas de que o TEE torna os dispositivos mais seguros, mas além disso, ele aumenta o desempenho e a funcionalidade.

Maior desempenho e funcionalidade

O TEE é um multitarefa por excelência: criptografa o conteúdo enquanto ele é armazenado na memória não volátil e descriptografa o conteúdo durante sua transferência para outra seção da memória. Isso libera a capacidade do processador e permite que ele tenha um desempenho de nível superior. E como o TEE é uma solução de software (firmware), sua funcionalidade pode ser personalizada e atualizada com facilidade.

O TEE é basicamente um facilitador de alto desempenho de proteção.

O tipo de proteção de que você precisa em sua solução de controle de acesso.

O TEE deve fazer parte de soluções de controle de acesso físico
Dispositivos de controle de acesso residem no universo da Internet das Coisas

Se você leu este documento até aqui, provavelmente tem algum nível de responsabilidade pelo sistema de controle de acesso físico da sua empresa.

Qualquer que seja o número de edifícios ou dispositivos que você tenha instalado em seu aplicativo, geralmente eles estão conectados em rede entre si, a dispositivos de terceiros e a dispositivos de computação do host do cliente que utilizam uma infraestrutura de Internet das Coisas ou de rede IP, o que os torna possíveis alvos de ataques cibernéticos.

Todos nos lembramos como sempre foi fácil o acesso dos hackers a dispositivos por meio da porta serial etc. Com o TEE, qualquer tentativa de modificação do sistema o torna “não inicializável”.

Os dispositivos de controle de acesso protegido por TEE fornecem um nível superior de confiança em validação, isolamento e proteção de ativos armazenados nesse espaço. Por conseguinte, pode-se afirmar que o SO e os aplicativos confiáveis executados dentro desse espaço são mais seguros.

iSTAR Edge G2: primeiro dispositivo de borda para controle de acesso por IP com cibersegurança reforçada a utilizar o TEE

O iSTAR Edge G2 da Tyco | Software House é o primeiro dispositivo de borda para controle de acesso a utilizar o TEE para assegurar a confidencialidade e a integridade de códigos e dados. Ele proporciona o armazenamento confiável de senhas e outros materiais criptográficos, além de gerenciar um processo de inicialização segura para garantir fontes autenticadas para o hardware e o software.

• Fabricação segura desde o início: personalizada e protegida com uma cadeia de confiança adequada e estabelecida

• Inicialização segura: a sequência completa de inicialização é autenticada

• Atualizações seguras: o dispositivo só será atualizado com softwares considerados seguros

O iSTAR já é conhecido como um dos portfólios de acesso de borda por IP com maior fortalecimento de segurança do mercado. A inclusão do iSTAR Edge G2 e sua implementação do TEE impulsionam sua proteção avançada de cibersegurança.

Proteção cibernética avançada para a segurança em que você pode confiar

Os hackers vieram para ficar. Infelizmente, essa é uma realidade, mas ela também é responsável pela formação parcial do setor e das profissões que empregam muitos de nós. Essas pessoas mal-intencionadas se desenvolvem rapidamente e, por isso, o mesmo deve ocorrer com as tecnologias utilizadas para impedi-las.

Uma dessas tecnologias é o ambiente de execução confiável (TEE). Ele possibilita que os dispositivos modernos forneçam uma ampla gama de funcionalidades e atendam aos requisitos dos desenvolvedores de software, provedores de serviço e profissionais de segurança que se preocupam com a privacidade, o atestado, a autenticação, a validação, a capacidade de gerenciamento e todos os aspectos da segurança.

Luis Carlos Delcampo é Gerente de Produto e Marketing da linha de Controle de Acesso da Tyco Security Products para a América Latina.