As preocupações com a segurança cibernética nas Olimpíadas vão de telefones pessoais a abastecimento público de água

Usar um telefone descartável nos Jogos Olímpicos de Inverno de 2022 é uma maneira de atletas, treinadores e fãs se protegerem da espionagem. Essa tática é certamente inconveniente e potencialmente cara, mas é factível. Os especialistas em segurança cibernética também estão preocupados com os ataques da Internet das Coisas que podem ir muito além das preocupações e soluções individuais.

Os organizadores olímpicos enfrentam ataques cibernéticos há anos, com Londres e Rio lidando com problemas de TI em 2012 e 2016, respectivamente. Um dos ataques mais dramáticos foi em 2018. Hackers lançaram um ataque durante as cerimônias de abertura dos Jogos de Inverno em Pyeongchang, Coreia do Sul. Em um artigo da Wired de 2019, Andy Greenberg descreveu o ataque a uma infraestrutura de TI que incluía “mais de 10.000 PCs, mais de 20.000 dispositivos móveis, 6.300 roteadores Wi-Fi e 300 servidores em dois data centers de Seul”. O ataque começou “desligando todos os controladores de domínio nos data centers de Seul”, o que significava que o Wi-Fi não funcionava, as TVs conectadas à Internet nas instalações olímpicas caíram junto com todos os portões de segurança baseados em RFID e o oficial dos Jogos Olímpicos. app, de acordo com o artigo da Wired.

Este ano, o aplicativo que os atletas precisam usar para exames de saúde e outras tarefas apresenta um sério risco de segurança por perder dados pessoais, de acordo com pesquisadores do Citizen Lab de Toronto. Além disso, Pequim recentemente conquistou o quarto lugar na lista de cidades inteligentes em todo o mundo da Juniper Research. A infraestrutura da cidade inteligente pode tornar a vida mais conveniente para os moradores. Os líderes das cidades precisam equilibrar esses benefícios com os maiores riscos de segurança da conexão de transporte, comunicação, estações de tratamento de água e processamento de resíduos e outras infraestruturas críticas à Internet.

Aqui está uma olhada nos riscos de segurança cibernética nos jogos atuais para indivíduos e toda a comunidade.

Riscos pessoais de segurança cibernética para atletas

James Carder, diretor de segurança da LogRhythm, vê um risco real para hackers violarem as contas de visitantes de contas de atletas e usarem e-mails ou textos para chantagem.

“Quando viajo a trabalho e como pessoa normal, se vou à China ou a um país que possa ser menos sensível à minha privacidade, não carrego meu laptop ou celular corporativo”, disse ele. “Eu uso queimadores.”

Ben Cody, vice-presidente sênior de gerenciamento de produtos da SailPoint, disse que os atletas devem usar o Bluetooth apenas quando absolutamente necessário, e as VPNs devem ser obrigatórias, independentemente de a pessoa estar usando Wi-Fi ou uma conexão de celular.

“Considere sair de aplicativos corporativos em seu telefone”, disse ele.

Carder disse que os atletas devem estar cientes de sua segurança física, bem como dos riscos cibernéticos.

“Entenda que há pessoas que querem espionar você, e não facilite para eles conseguirem o que precisam”, disse ele.

VEJO: Google Chrome: dicas de segurança e interface do usuário que você precisa saber (TechRepublic )

O aplicativo MY2022 tem problemas de segurança de dados

Essas preocupações de segurança se somam às vulnerabilidades no aplicativo que os atletas precisam usar. Pesquisadores do projeto Citizen Lab de Toronto fizeram uma extensa avaliação do MY2022, um aplicativo que os atletas precisam usar para compartilhar informações médicas relacionadas ao COVID-19. As falhas são significativas:

• A criptografia que protege o áudio de voz de um usuário e as transferências de arquivos podem ser ignoradas
• Formulários de alfândega de saúde com detalhes do aporte, histórico médico e de viagem são vulneráveis
• As respostas do servidor podem ser falsificadas

No relatório Cross-Country Exposure: Analysis of the MY2022 Olympics App, os pesquisadores afirmaram que “os déficits de segurança do aplicativo podem não apenas violar a Política de Software Indesejado do Google e as diretrizes da App Store da Apple, mas também as próprias leis da China e os padrões nacionais relativos à proteção de privacidade… .” O fornecedor que criou o aplicativo não respondeu a essas divulgações de segurança, de acordo com o laboratório. O Comitê Organizador de Pequim para as Olimpíadas de 2022 criou o aplicativo. O Beijing Financial Holdings Group, uma empresa estatal, está listado como o vendedor do aplicativo na App Store.

Os pesquisadores encontraram duas vulnerabilidades na transmissão de dados: uma falha na validação de certificados SSL e uma falta de criptografia no envio de dados. Os especialistas em segurança encontraram cinco conexões SSL que são vulneráveis, o que pode permitir que um invasor “leia informações demográficas, aporte, viagens e médicas confidenciais de uma vítima enviadas em uma declaração de saúde alfandegária ou envie instruções maliciosas a uma vítima após o preenchimento de um formulário. Como outro exemplo, como o aplicativo não valida o certificado SSL para “tmail.beijing2022.cn”, um invasor pode usar os mesmos métodos para ler o áudio de voz transmitido das vítimas ou os anexos de arquivos”.

Em resposta a essas preocupações, o Comitê Olímpico Internacional disse que não identificou nenhuma vulnerabilidade crítica. Um funcionário de Pequim disse a jornalistas durante uma coletiva de imprensa que o aplicativo foi validado pelas lojas de aplicativos Android e Apple. Os pesquisadores do Citizen Lab criaram uma conta na versão iOS do aplicativo, mas não conseguiram fazer o mesmo com a versão Android.

Como melhorar a segurança do aplicativo

Carder disse que as falhas de segurança no aplicativo MY2022 o fazem questionar quanto o comitê olímpico investiu na segurança do próprio aplicativo.

Esse tipo de revisão de segurança é importante para qualquer aplicativo que colete informações pessoais, como aplicativos de rastreamento e votação do COVID-19.

“Muitas empresas, mesmo que tenham foco em segurança de aplicativos durante o desenvolvimento, a equipe de segurança não vê o aplicativo até o final do processo de desenvolvimento do produto”, disse ele. “Se você tiver que escolher entre tornar o aplicativo seguro ou lançá-lo a tempo, as empresas sempre optarão por lançar um recurso a tempo.”

Carder disse que reorganizou as operações de software em sua empresa para eliminar a necessidade de escolher entre segurança e entrega no prazo.

“Construímos uma tonelada de automação e integrações entre ferramentas de teste e repositórios onde os desenvolvedores soltam código”, disse ele. “Quando o código é verificado por um desenvolvedor, ele vai direto para ser verificado pela segurança.”

Essa abordagem reduz as chances de trabalho de remediação no final do processo de desenvolvimento, disse Carder.

Existem várias etapas que corporações e governos podem adotar para definir padrões mais altos de segurança cibernética, incluindo:

1. Estabelecendo uma regulamentação governamental mais forte
2. Padrões mais altos dos clientes para aumentar a segurança no software
3. Um código de conduta global que define consequências para hackers

Carder sugeriu que os clientes fizessem das revisões de segurança parte do processo de due diligence de negociação de um contrato para melhorar a segurança cibernética geral e reduzir os riscos de segurança de terceiros.

“Se uma empresa não está conseguindo o negócio que estava acostumada, ela vai perceber, como abrir mão de US$ 50 milhões em negócios por não resolver um problema de US$ 2 milhões”, disse ele.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

Ataques cronometrados em infraestrutura crítica

Essa maior diligência também se estende às instalações de IoT, particularmente aquelas que se conectam a sistemas de transporte, instalações públicas e serviços públicos. Em 2018, a equipe de TI das Olimpíadas trabalhou durante a noite para reparar os danos do ataque cibernético. O impacto atingiu a comunidade incluindo também um provedor de serviços de TI na França e duas estações de esqui.

Claroty CISO e diretor de produtos Grant Geyer disseram que não há escassez de infraestrutura crítica relacionada às Olimpíadas que cria um grande alvo para maus atores. A Claroty é uma empresa de segurança cibernética especializada em segurança IoT para ambientes industriais, de saúde e corporativos.

O objetivo pode ser colocar os tomadores de decisão em uma situação desafiadora e de alta pressão, disse Geyer, o que pode resultar em decisões motivadas pela emoção.

Geyer disse que a superfície de ameaças aumenta a cada novo elemento de infraestrutura conectado à Internet. A avaliação de risco de IoT da Claroty do segundo semestre de 2020 identificou riscos aumentados em sistemas críticos de fabricação, estações de tratamento de água e resíduos e instalações públicas, como hotéis.

“Muitos desses sistemas têm uma infinidade de sistemas de backup e controles de resiliência, mas quanto mais o planejamento de segurança cibernética levar em consideração os ataques cibernéticos que atingem os sistemas físicos, mais bem preparados eles estarão”, disse ele.

Geyer disse que qualquer cidade inteligente tem uma área de superfície de ataque muito ampla, independentemente das políticas domésticas da nação anfitriã.

“Independentemente de quão restritiva seja a política de o à Internet, esse é um vasto cenário de ataque”, disse ele.

De acordo com Geyer, os líderes de manufatura enfrentam três obstáculos diferentes quando se trata de melhorar a segurança cibernética:

1. Cultural: “Em ambientes com muitos ativos, há uma aversão à mudança e, às vezes, à correção de vulnerabilidades.”
2. Longos prazos de depreciação: “Não é incomum entrar em uma fábrica e ver o Windows XP ou o Windows 7.”
3. Prioridades concorrentes: “Em ambientes de produção, as pessoas precisam se concentrar no processo e na segurança, portanto, o cibernético é um dever secundário ou terciário de um operador”.

Além disso, como a segurança é a principal prioridade em hospitais e usinas de energia, atualizações e alterações são feitas apenas durante janelas específicas de inatividade, que podem ocorrer em intervalos de três meses, disse ele.

A equipe de TI que gerenciou a infraestrutura para as Olimpíadas de 2018 começou a planejar e se preparar em 2015, que é o tipo de lead time que Geyer recomenda para os preparativos de segurança cibernética.

As organizações devem seguir estas etapas para se preparar para ataques cibernéticos durante grandes eventos, como as Olimpíadas:

1. Garanta que os ativos críticos sejam segmentados de outros elementos da rede para reduzir a área de superfície de ataque.
2. Realize exercícios e exercícios de mesa para entender como responder e se recuperar de um ataque.
3. Estabeleça linhas de comunicação para facilitar para todas as entidades afetadas por um ataque o compartilhamento de informações entre países e organizações.

“Como o chão está se movendo sob nossos pés, isso aumenta a necessidade de consciência situacional à medida que entramos na reta final antes de um evento”, disse ele.