Por que dispositivos “inteligentes” e IoT podem ser um perigo?
11 de setembro de 2018Uma vez que o mundo foi convencido sobre as possibilidades da Internet das Coisas (IoT), tudo começou a “ficar inteligente”.
Escrito por Vladimir Prestes
Ao mesmo tempo, surgiu um problema: o controle dos objetos e dispositivos inteligentes, com os quais eles estão conectados, pode cair em mãos de pessoas mal-intencionadas, e quanto mais essas coisas penetram em nossa vida cotidiana e sabem demasiado sobre nós, mais séria a ameaça se torna. Geralmente, os fabricantes de dispositivos inteligentes lançam seus produtos, e só depois resolvem os problemas relacionados à segurança. Isto por que:
1 – O fabricante implementa um sistema de proteção simplificado
A grande quantidade de dispositivos genéricos de origem desconhecida que suportam conexão com a rede tem um procedimento de autorização, mas logins e senhas já vêm pré-definidos de fábrica e, muitas vezes, os usuários não alteram as configurações após a compra do equipamento. Isso faz com que os dispositivos fiquem vulneráveis e é dessa fragilidade que os fraudadores se aproveitam.
2 – O fabricante “esqueceu” de remover vulnerabilidades do dispositivo
Temos como exemplo casos quando a versão de lançamento de um produto deixou disponível uma das contas utilizadas no processo de desenvolvimento do programa. Isso aconteceu com o roteador D-Link DWR-932 B LTE, que entrou no mercado com duas contas administrativas disponíveis e algumas dezenas de vulnerabilidades de gravidade variável. E, mesmo assim, a D-Link não demonstrou intenção de repará-las.
3 – O fabricante não reconhece as falhas como um problema
“Isso não é uma falha. É uma função adicional!” – assim respondem muitos dos fabricantes de coisas inteligentes às reclamações sobre as vulnerabilidades. E, aqui, podemos nos lembrar do caso com a empresa Xiaomi, em que o desenvolvedor pode instalar remotamente qualquer aplicativo em seus smartphones. Foi o que descobriu um estudante, que notou um estranho aplicativo – AnalyticsCore.apk – pré-instalado no smartphone Xiaomi MI4 e que funciona em modo 24/7. O interessante é que não há como se livrar do aplicativo, já que mesmo depois de totalmente desinstalado, o AnalyticsCore.apk aparece novamente no aparelho depois de um tempo.
4 – Os dispositivos possuem funcionalidades das quais não se pode escapar
Alguns “dispositivos inteligentes” são equipados com funções que possuem componentes “spyware”. A saída mais simples pode ser desligar a função, caso isso funcione. Foi assim com as TVs LG que enviavam o tráfego de informações independentemente de o usuário permitir sua coleta ou não. Ao ser questionado por um usuário sobre isso a LG simplesmente o aconselhou a conformar-se com a situação.
Em que patamar está atualmente a segurança da IoT?
Cada fabricante tenta fechar seu ecossistema, criando protocolos exclusivos e, portanto, incompatíveis com outros dispositivos. Gradualmente, a maioria deles deixará o mercado, enquanto outros surgirão buscando estabelecer-se como padrão universal – como aconteceram com os cassetes de áudio e vídeo, discos de vinil e sistemas operacionais móveis. Ainda há muitos protocolos (ZigBee, Insteon, Z-Wave, etc.), mas em breve o mercado determinará de dois a três modelos que acabarão sendo usados pelo mundo inteiro.
Hoje, existem muitos dispositivos e não são necessários conhecimentos específicos para que estes sejam hackeados. A partir disso, surgem ataques de softwares maliciosos e uma série de outras ameaças. No entanto, a ameaça não se limita aos botnets. Assim, a partir de pulseiras inteligentes, são “vazados” diferentes dados sobre a vida do usuário ou informações enviadas para redes sociais acabam sendo interceptadas.
O caso recente das pulseiras inteligentes da empresa Strava é uma ameaça direta à paz e segurança internacionais – o serviço carregava as rotas do usuário em um mapa interativo e “revelou” a disposição de instalações secretas em todo o mundo.
E quanto aos smartphones? Desde que o serviço de internet banking se tornou popular, notícias sobre roubos de saldos de contas através do sistema Android em smartphones deixaram de nos surpreender.
Para o que devemos estar preparados?
Embora o problema seja evidente, apenas recentemente foram tomadas medidas concretas para a solução. Os documentos, sob os títulos “Princípios estratégicos para garantir a segurança da Internet das coisas”, de novembro de 2016, e “Incentivo ao avanço da Internet das Coisas”, de janeiro de 2017, com informações básicas e recomendações para o uso da IoT, foram divulgados pelos Ministérios da Segurança Nacional (Department of Homeland Security, DHS) e do Comércio (Department of Commerce) dos EUA, respectivamente. A aliança para a “segurança em nuvem” (Cloud Security Alliance, CSA) também contribuiu para o desenvolvimento do manual de segurança da IoT.
Contudo, apenas documentos não são o suficiente nestas situações. Paradoxalmente, a maior dificuldade em garantir a segurança da Internet das coisas é ocasionada pelos próprios usuários. Por exemplo, temos dois dispositivos inteligentes com funções semelhantes: o primeiro oferece alto nível de proteção, mas seu preço é muito mais elevado se comparado ao outro dispositivo desprotegido. Na maioria dos casos, o usuário não pode avaliar objetivamente a ameaça, por isso escolhe a opção mais barata. Outro aspecto deste problema é que os consumidores não são especialistas em proteção de dados e, por isso, não estão preparados para compreender os manuais com dezenas ou centenas de páginas. O usuário quer que tudo seja simples e rápido e o fabricante vai de encontro a esta expectativa lhe propondo executar tudo rapidamente.
Podemos avaliar esta questão a partir de diferentes pontos de vista. Por um lado, falando da vida privada, em que cada usuário adquire um dispositivo e é responsável pelo seu uso. Por outro, falando da vida em sociedade, onde o usuário pode levar seu dispositivo inteligente para o trabalho. Para evitar diferentes tipos de problemas com a IoT no local de serviço, é necessário treinar os funcionários implementando políticas e tecnologias de segurança e desenvolvendo habilidades para operar junto com a IoT.
Uma ligação óbvia entre o vazamento de dados e a IoT foi demonstrada por especialistas do centro de segurança da Universidade de Tecnologia e Design de Cingapura: eles conseguiram acessar dados pessoais usando um drone e um smartphone. O smartphone acoplado ao drone voou em torno de um prédio de escritórios, procurando por impressoras com a função Wi-Fi Direct e conectou-se à rede com o nome de uma das impressoras. Como resultado, todos os documentos enviados para impressão foram carregados para o smartphone. Apesar do método de invasão, os cientistas demonstraram que proteger uma impressora sem fio é um problema sério, uma vez que muitas informações confidenciais passam por ela. Para controlar as informações enviadas às impressoras, é melhor usar um sistema DLP, mas proteger o dispositivo contra invasões é tarefa dos fabricantes.
De acordo com a Gartner, o número de objetos conectados à Internet crescerá para 20,4 bilhões até 2020. Essa rede armazenará uma série de dados críticos, cujo vazamento poderá causar danos não apenas indivíduos ou organizações, mas também a economia do país como um todo. E, está claro que a velocidade do desenvolvimento das soluções para proteção de dados da IoT, ainda é significativamente inferior à velocidade da entrada de dispositivos inteligentes em nossas vidas.
Vladimir Prestes é Diretor Geral da SearchInform no Brasil, líder russa em sistemas de segurança da informação há mais de 20 anos. Com mais de dois mil clientes e cerca de 1.200.000 computadores protegidos, possui escritórios em 16 países.
Conheça nossa coluna sobre IoT