Ang Cui tem muito poder. Com tempo o bastante, ele consegue controlar praticamente qualquer dispositivo conectado a uma rede. Ele pode te ver pela câmera do seu notebook, ou monitorar o Netflix da sua smart TV. Mas ele tem coisa melhor para fazer, então pode assistir sossegado suas maratonas de filmes. Você está seguro — dele, pelo menos.

Doutorando em Ciência da Computação na Universidade Columbia (EUA), Cui vem trabalhando há cinco anos no desenvolvimento de soluções que protejam dispositivos embarcados. Nesta quinta-feira, a sua empresa Red Balloon Security — cofundada por Sal Stolfo, orientador de Cui — vai apresentar a prova de que seu software de segurança, o “symbiote”, pode proteger um telefone IP comum de ataques maliciosos.



E esta demonstração é só o começo: no futuro, o symbiote poderá proteger qualquer dispositivo conectado que você possa imaginar.

“Na verdade, [telefones IP] são computadores também, e eles rodam sistemas operacionais proprietários supersecretos que pouquíssimas pessoas conhecem – mas pouquíssimas pessoas testaram de verdade a segurança deles”, Cui nos disse em entrevista recente. “E, como você sabe, o trabalho que estamos fazendo em laboratório é mostrar que estes telefones IP são tão inseguros quanto os seus computadores. Explorar brechas neles é definitivamente mais vantajoso que ter acesso de superusuário em um servidor qualquer, algo que tem sido o foco em segurança até agora.”

O symbiote é um pequeno código, com cerca de 200 bytes, que é injetado em telefones IP, em seu no kernel – parte que faz a ponte entre o sistema e o hardware. Isto não impacta a velocidade nem a funcionalidade do dispositivo. E o symbiote não depende do sistema operacional, então ele pode rodar em qualquer dispositivo e e monitorá-lo sem precisar ser desenvolvido para um OS específico. Quando injetado, ele usa a ferramenta desenvolvida por Cui, chamada Firmware Reverse Analysis Konsole (FRAK) para desempacotar o firmware do dispositivo, substituir a signing key (um recurso básico de segurança) e reempacotar o firmware. Ele então roda em segundo plano, e executa aleatoriamente um código para ficar de olho em algo de anormal.

xlarge (1)

Mesmo sem saber detalhes específicos do sistema operacional, o symbiote consegue estabelecer uma base do que é o comportamento normal do dispositivo. Para tanto, ele usa funções que existem em diferentes tipos de firmware, e que devem estar presentes em todos eles. Na demonstração de Cui, dois telefones IP foram colocados lado a lado. Um estava rodando o symbiote; o outro, não. Quando Cui fez um ataque, o aparelho sem proteção cedeu facilmente, enquanto o com symbiote detectou a intrusão e alertou Cui ligando para seu telefone. Ele atendeu e uma mensagem automática disse “Alô, vizinho. Meu telefone IP foi p0wned”.

O objetivo da Red Balloon Security é oferecer o symbiote como uma solução de segurança para todo dispositivo. Se um telefone IP pode ser hackeado, então qualquer outro aparelho que entra na internet também pode. Mas como o symbiote é agnóstico de OS, ele pode ser facilmente colocado em qualquer dispositivo – até em uma panela de arroz eletrônica – e facilmente incorporado. Múltiplos symbiotes em uma mesma rede podem até monitorar um ao outro, como uma forma adicional de monitorar atividade incomum em um dispositivo.

Cui e Stolfo estão ganhando reconhecimento cada vez mais amplo por sua pesquisa, um trabalho que consiste de hacks bem bizarros. Em 2011, eles demonstraram uma falha em um firmware de impressora da HP que era perfeito para iniciar um ataque. Se alguém tentasse imprimir um documento com malware, um hacker poderia ter controle e fazer a impressora enviar cópias de qualquer coisa que fosse impressa nela; ele poderia até acessá-la de uma rede de servidores.

Pouco após Cui demonstrar a vulnerabilidade, a HP soltou uma correção. “Nós descobrimos 201 impressoras laserjet da HP em redes que ficaram vulneráveis a meus ataques por cinco meses antes da correção sair. Encontramos duas na sede da HP”, usando apenas endereços IP publicamente disponíveis.

Em seu hack seguinte, em 2012, Cui descobriu uma vulnerabilidade em telefones IP fabricados pela Cisco, que agora são protegidos pelo symbiote. Ele demonstrou o ataque a um telefone da Universidade de Columbia que ficava na sua mesa, apesar de enfatizar que a Cisco não era a única empresa produzindo dispositivos vulneráveis. “No telefone, não havia nenhum indicativo de que algo estranho estava acontecendo. E ele continuava a encaminhar todos os dados para o meu computador, onde eu conseguia gravar a ligação ou fazer o que quisesse. Era apenas um computador ligado a um pedaço de plástico que parecia um telefone.”

Após Cui apresentar o hack do telefone IP em uma conferência em dezembro, a Cisco fez o mesmo que a HP e disponibilizou uma correção para seus telefones IP no dia 17 de janeiro. Após o patch fazer alguns telefones travarem, eles lançaram uma nova versão no dia 14 de fevereiro para “desabilitar a porta de console local” ou cortar os telefones da internet – que é como tratar uma unha encravada amputando a mão.

Cui espera que após ele e Stolfo apresentaram o symbiote, empresas comecem a adotá-lo como uma alternativa ao que Stolfo chama de “o método de corrigir e rezar”. “Fabricantes mais inteligentes vão entender que ter esta tecnologia dentro das suas máquinas reduz os problemas”, disse.

xlarge

“A estratégia tradicional de segurança é entender tudo o que o sistema supostamente pode fazer, e basicamente criar um guia do que pode ser feito e do que não pode,” explica Cui. “Mas a ideia de que você pode proteger um sistema sem entender como ele funciona? Isto é uma mudança do procedimento padrão e das formas de entender a segurança… Com o symbiote o consumidor pode fazer isso, os fabricantes pode fazer isso e nenhum precisa esperar pelo outro.”

As falhas que Cui identificou até agora oferecem claros exemplos de riscos de segurança. Quando ele acessou dados públicos sobre quais organizações governamentais usavam os telefones da Cisco, Cui encontrou áreas de preocupação imediata. “Encontramos unidades de videoconferência em escritórios locais de advogados em vários estados. Lugares confidenciais. E quando se tem um dispositivo deste como uma unidade de videoconferência, você tem olhos e ouvidos. Não é apenas um endereço de IP.”

Durante seus cinco anos na Universidade Columbia, Cui começou a entender que suas pesquisas poderiam ter implicações enormes para comunidades de inteligência e espionagem. “Como você garante que vencerá uma guerra cibernética?”, ele pergunta casualmente. “Um cara por aí pode simplesmente dizer ‘Ok caras, podem hackear até acabar com eles’ e você começa a hackear. Você reage com reconhecimento. Você organiza suas peças, e então liga um botão. Ou você vence, ou você perde antes da batalha começar… É ótimo se o defensor chegar primeiro, e você pode vencer sempre – mas se o atacante chegar primeiro, você perde para sempre.”

Às vezes, por um momento, a constante certeza de Cui nos faz comtemplar sobre a magnitude dos tópicos que ele pesquisa, e sobre o campo no qual ele entrou. “Esta é uma das coisas que sempre me fizeram sentir estranho. Muitas vezes eu quero ver algo sobre o assunto, e são quatro da manhã, e meu apartamento está escuro, e eu olho ao redor e penso: ou estou louco, ou estou errado, ou este mundo é realmente estranho, porque eu não posso ser a primeira pessoa a ter feito isso”, ele diz.

A preocupação com a segurança de dispositivos embutidos se infiltrou silenciosamente ao longo dos anos, mas o problema finalmente está se espalhando de maneira mais significativa. O próximo passo para a Red Balloon Security é encontrar uma rede de grande escala para rodar um piloto do symbiote. “Este é literalmente o telefone IP mais seguro”, diz Cui. “Nós podemos pegá-lo e colocá-lo em produção em um grande ambiente. Eu me ofereceria para usar o telefone, mas ninguém me liga no trabalho.” Ele vira e aponta para o telefone do seu escritório. “Cara, você sabe que ele estava gravando tudo isso, certo?”

Imagem via Shutterstock