Uma vez que o mundo foi convencido sobre as possibilidades da Internet das Coisas (IoT), tudo começou a “ficar inteligente”.
Ao mesmo tempo, surgiu um problema: o controle dos objetos e dispositivos inteligentes, com os quais eles estão conectados, pode cair em mãos de pessoas mal-intencionadas, e quanto mais essas coisas penetram em nossa vida cotidiana e sabem demasiado sobre nós, mais séria a ameaça se torna.
Geralmente, os fabricantes de dispositivos inteligentes lançam seus produtos, e só depois resolvem os problemas relacionados à segurança. Isto por que:
1. O fabricante implementa um sistema de proteção simplificado
A grande quantidade de dispositivos genéricos de origem desconhecida que suportam conexão com a rede tem um procedimento de autorização, mas logins e senhas já vêm pré-definidos de fábrica e, muitas vezes, os usuários não alteram as configurações após a compra do equipamento. Isso faz com que os dispositivos fiquem vulneráveis e é dessa fragilidade que os fraudadores se aproveitam.
2. O fabricante “esqueceu” de remover vulnerabilidades do dispositivo
Temos como exemplo casos quando a versão de lançamento de um produto deixou disponível uma das contas utilizadas no processo de desenvolvimento do programa. Isso aconteceu com o roteador D-Link DWR-932 B LTE, que entrou no mercado com duas contas administrativas disponíveis e algumas dezenas de vulnerabilidades de gravidade variável. E, mesmo assim, a D-Link não demonstrou intenção de repará-las.
3. O fabricante não reconhece as falhas como um problema
“Isso não é uma falha. É uma função adicional!” – assim respondem muitos dos fabricantes de coisas inteligentes às reclamações sobre as vulnerabilidades. E, aqui, podemos nos lembrar do caso com a empresa Xiaomi, em que o desenvolvedor pode instalar remotamente qualquer aplicativo em seus smartphones.
Foi o que descobriu um estudante, que notou um estranho aplicativo – AnalyticsCore.apk – pré-instalado no smartphone Xiaomi MI4 e que funciona em modo 24/7. O interessante é que não há como se livrar do aplicativo, já que mesmo depois de totalmente desinstalado, o AnalyticsCore.apk aparece novamente no aparelho depois de um tempo.
4. Os dispositivos possuem funcionalidades das quais não se pode escapar
Alguns “dispositivos inteligentes” são equipados com funções que possuem componentes “spyware”. A saída mais simples pode ser desligar a função, caso isso funcione.
Foi assim com as TVs LG que enviavam o tráfego de informações independentemente de o usuário permitir sua coleta ou não. Ao ser questionado por um usuário sobre isso a LG simplesmente o aconselhou a conformar-se com a situação.
Em que patamar está atualmente a segurança da IoT?
Cada fabricante tenta fechar seu ecossistema, criando protocolos exclusivos e, portanto, incompatíveis com outros dispositivos. Gradualmente, a maioria deles deixará o mercado, enquanto outros surgirão buscando estabelecer-se como padrão universal – como aconteceram com os cassetes de áudio e vídeo, discos de vinil e sistemas operacionais móveis.
Ainda há muitos protocolos (ZigBee, Insteon, Z-Wave, etc.), mas em breve o mercado determinará de dois a três modelos que acabarão sendo usados pelo mundo inteiro.
Hoje, existem muitos dispositivos e não são necessários conhecimentos específicos para que estes sejam hackeados. A partir disso, surgem ataques de softwares maliciosos e uma série de outras ameaças. No entanto, a ameaça não se limita aos botnets.
Assim, a partir de pulseiras inteligentes, são “vazados” diferentes dados sobre a vida do usuário ou informações enviadas para redes sociais acabam sendo interceptadas.
O caso recente das pulseiras inteligentes da empresa Strava é uma ameaça direta à paz e segurança internacionais – o serviço carregava as rotas do usuário em um mapa interativo e “revelou” a disposição de instalações secretas em todo o mundo.
E quanto aos smartphones? Desde que o serviço de internet banking se tornou popular, notícias sobre roubos de saldos de contas através do sistema Android em smartphones deixaram de nos surpreender.
Para o que devemos estar preparados?
Embora o problema seja evidente, apenas recentemente foram tomadas medidas concretas para a solução. Os documentos, sob os títulos “Princípios estratégicos para garantir a segurança da Internet das coisas“, de novembro de 2016, e “Incentivo ao avanço da Internet das Coisas“, de janeiro de 2017, com informações básicas e recomendações para o uso da IoT, foram divulgados pelos Ministérios da Segurança Nacional (Department of Homeland Security, DHS) e do Comércio (Department of Commerce) dos EUA, respectivamente.
A aliança para a “segurança em nuvem” (Cloud Security Alliance, CSA) também contribuiu para o desenvolvimento do manual de segurança da IoT.
Contudo, apenas documentos não são o suficiente nestas situações. Paradoxalmente, a maior dificuldade em garantir a segurança da Internet das coisas é ocasionada pelos próprios usuários. Por exemplo, temos dois dispositivos inteligentes com funções semelhantes: o primeiro oferece alto nível de proteção, mas seu preço é muito mais elevado se comparado ao outro dispositivo desprotegido.
Na maioria dos casos, o usuário não pode avaliar objetivamente a ameaça, por isso escolhe a opção mais barata. Outro aspecto deste problema é que os consumidores não são especialistas em proteção de dados e, por isso, não estão preparados para compreender os manuais com dezenas ou centenas de páginas. O usuário quer que tudo seja simples e rápido e o fabricante vai de encontro a esta expectativa lhe propondo executar tudo rapidamente.
Podemos avaliar esta questão a partir de diferentes pontos de vista. Por um lado, falando da vida privada, em que cada usuário adquire um dispositivo e é responsável pelo seu uso. Por outro, falando da vida em sociedade, onde o usuário pode levar seu dispositivo inteligente para o trabalho.
Para evitar diferentes tipos de problemas com a IoT no local de serviço, é necessário treinar os funcionários implementando políticas e tecnologias de segurança e desenvolvendo habilidades para operar junto com a IoT.
Uma ligação óbvia entre o vazamento de dados e a IoT foi demonstrada por especialistas do centro de segurança da Universidade de Tecnologia e Design de Cingapura: eles conseguiram acessar dados pessoais usando um drone e um smartphone.
O smartphone acoplado ao drone voou em torno de um prédio de escritórios, procurando por impressoras com a função Wi-Fi Direct e conectou-se à rede com o nome de uma das impressoras. Como resultado, todos os documentos enviados para impressão foram carregados para o smartphone. Apesar do método de invasão, os cientistas demonstraram que proteger uma impressora sem fio é um problema sério, uma vez que muitas informações confidenciais passam por ela.
Para controlar as informações enviadas às impressoras, é melhor usar um sistema DLP, mas proteger o dispositivo contra invasões é tarefa dos fabricantes.
De acordo com a Gartner, o número de objetos conectados à Internet crescerá para 20,4 bilhões até 2020. Essa rede armazenará uma série de dados críticos, cujo vazamento poderá causar danos não apenas indivíduos ou organizações, mas também a economia do país como um todo.
E, está claro que a velocidade do desenvolvimento das soluções para proteção de dados da IoT, ainda é significativamente inferior à velocidade da entrada de dispositivos inteligentes em nossas vidas.
Vladimir Prestes é Diretor Geral da SearchInform no Brasil, líder russa em sistemas de segurança da informação há mais de 20 anos. Com mais de dois mil clientes e cerca de 1.200.000 computadores protegidos, possui escritórios em 16 países.