Impactos da IoT nas questões de segurança e privacidade
12 de setembro de 2016Por Paulo Pagliusi*
A Internet das Coisas (IoT – Internet of Things) consiste em uma infraestrutura de rede dinâmica e global com capacidades de autoconfiguração, baseada em protocolos de comunicação padronizados e interoperáveis, onde “coisas” físicas e virtuais têm identidades, atributos físicos e personalidades virtuais. Na IoT, as “coisas” (ou objetos) são participantes ativos nos processos de negócio, informacionais e sociais, capazes de interagir e comunicar entre si, trocar informações coletadas do ambiente, reagindo autonomamente aos eventos do mundo físico real, bem como influenciar esse contexto. Este novo paradigma implica uma comunicação não só entre seres
humanos e coisas, mas também entre os próprios objetos, sem intervenção humana. A IoT traz enormes desafios para sua implementação no mundo real. Um desses desafios é a segurança e privacidade.
Em primeiro lugar, para fazer frente a estes desafios é preciso constituir mecanismos de gerenciamento de confiança, que permitam que os nós estabeleçam conexões com um nível predefinido de confiança entre eles e, assim, contribuam para aumentar a segurança da IoT. De fato, a Internet das Coisas só vai decolar se os consumidores puderem confiar nela. Para que isto possa ocorrer, é preciso levar em conta as limitações de recursos da IoT, tais como capacidade de processamento, memória e energia, heterogeneidade dos dispositivos e requisitos específicos da IoT, que impedem que seja possível implementar os mecanismos de confiança tradicionais de TI das redes existentes, sendo necessário inovar para o efetivo gerenciamento de confiança no contexto da Internet das Coisas. Gerenciamento de confiança abrangem os mecanismos para avaliar, estabelecer, manter e revogar a confiança entre dispositivos que formam parte de uma rede. O parâmetro de confiança pode ser usado para o controle de acesso, roteamento seguro, detecção de intrusos, entre outros. Geralmente a noção de confiança está relacionada à reputação, sendo que a primeira (confiança) é uma derivação da segunda (reputação). Reputação é a opinião de um nó da IoT sobre outro, e é formada baseada no histórico de comportamento deste nó. A enorme heterogeneidade dos nós de uma rede IoT torna este desafio bastante complexo.
Em seguida, é preciso levar em consideração que a comunicação necessária entre as “coisas” ou objetos, efetivamente realizadas através das interfaces de rede, abre possibilidades de ataques externos ou internos de segurança, que podem comprometer seriamente a privacidade dos usuários, tendo em vista que as “coisas” detectam e guardam inúmeras informações sobre seus hábitos, deslocamentos e ações ao longo do dia, agindo como pequenos “espiões”. Os atacantes buscam então explorar vulnerabilidades para poder influenciar o comportamento ou obter o controle do sistema IoT, passando a ter acesso a tais informações sensíveis. Em relação a ataques disparados por adversários externos, por exemplo, já existem propostas que atendem a IoT satisfatoriamente. Algumas delas são capazes de garantir propriedades como sigilo e autenticação de mensagens a um custo aceitável, mesmo para a IoT.
Assim, ataques de espionagem, personificação (spoofing) e retransmissão (replay) podem ser eficientemente evitados. No entanto, para algumas questões de segurança, ainda não há no mercado propostas personalizadas para IoT. Um exemplo são alguns ataques disparados por adversários internos (insiders), ou seja, por aqueles cujas credenciais de acesso são válidas. As mensagens trocadas por esses adversários são legítimas na medida em que elas são autenticadas
com sucesso pelos seus destinatários. Isso, contudo, não as torna menos maliciosas. Essas mensagens objetivam, por exemplo, explorar vulnerabilidades de sistemas para então obter o seu controle. Ou seja, elas são, no fundo, ações de exploração de vulnerabilidades de código ou exploits.
Por fim, destaca-se que, para essa classe de ataques (insiders), ainda não há soluções plenamente adequadas para o contexto de IoT, sendo necessário investir urgentemente em pesquisa, desenvolvimento e inovação. O estudo da questão de segurança de IoT e proposição de soluções inovadoras envolvem algoritmos, técnicas e mecanismos para proteção dos módulos de IoT contra exploits. Mais precisamente, faz-se necessário conceber novas soluções de segurança de código específicas para IoT, capazes de defender seus sistemas contra ataques internos à rede. A IoT requer soluções de segurança feitas sob medida. Isso porque, ao contrário de um computador tradicional, os elementos de IoT usualmente: (i) são dotados de menor capacidade de processamento, memória e energia; (ii) realizam tarefas de forma colaborativa; e (iii) executam sistemas eminentemente desenvolvidos usando a linguagem C ou linguagens nela baseadas (TinyOS, ContikiOS e Linux embarcado, por exemplo). Como as propostas de segurança existentes para computadores que compõem a Internet tradicional não levam em conta tais características, elas nem sempre são adequadas para a IoT.
*Paulo Pagliusi é Diretor da consultoria em Cyber Risk Services da Deloitte. Considerado um dos Consultores mais renomados do País, com experiência de mais de 20 anos atuando em gestão estratégica de Riscos Cibernéticos. Ph.D. in Information Security, pela Royal Holloway, University of London, com Mestrado em Ciência da Computação pela UNICAMP e extensão em Análise de Sistemas pela PUC-Rio. Vice-Presidente da Cloud Security Aliance (CSA) – Brazil Chapter e Vice-presidente do ISACA Rio Chapter, onde obteve certificação CISM. Autor de livro, articulista ativo e conferencista atuante, é professor de Pós-graduação em Segurança da Informação do IBMEC e membro externo de mais de uma dezena de bancas examinadoras de Doutorado e Mestrado, em Universidades como UFRJ, UERJ, UFSC e UCAM. Capitão-de-Mar-e-Guerra da reserva da Marinha, é um dos mentores do Cyber Manifesto, que tem o objetivo de estimular o apoio e a criação de uma visão compartilhada para proteger o Brasil de ataques cibernéticos. Referência para o governo brasileiro como especialista no caso Snowden, durante as audiências públicas da Comissão Parlamentar de Inquérito do Senado Federal criada para investigar a espionagem norte-americana.