Segurança Cibernética

A proteção de dados que você merece | Avast

Jas Dhaliwal, 15 Janeiro 2019

Quais medidas foram tomadas pelo Estado da Califórnia e pelo Reino Unido para proteger os dispositivos de IoT? Veja como isto impacta você.

Você está pensando em comprar uma TV ou fechadura inteligente? Temos boas notícias, consumidores! A partir de 1º de janeiro de 2020, na Califórnia, os novos produtos ao consumidor conectados à internet – a Internet das Coisas ou IoT – como são os telefones celulares, eletrodomésticos inteligentes, alarmes residenciais, monitores, rastreadores e câmeras vendidos, deverão estar equipados com "um ou mais recursos de segurança razoáveis".

Dois projetos de lei de identidade, o Assembly Bill No. 1906 e o SB-327, ambos da Califórnia, foram recentemente sancionados pelo governador Jerry Brown. A primeira lei deste tipo tem como objetivo reforçar a privacidade e a segurança dos moradores da Califórnia. O atraso de 15 meses foi pensado para que os fabricantes de dispositivos de IoT assumissem a responsabilidade sem prejudicar a inovação.

Do outro lado do oceano, o governo do Reino Unido também quis proteger os aparelhos inteligentes lançando um novo Código de Conduta (CoP) voluntário para dispositivos da IoT para o consumidor, apenas algumas semanas após a aprovação do projeto de lei SB-327 na Califórnia. Duas empresas, a HP Inc. e a Centrica Hive Ltd, já se comprometeram a implementar o CoP até 2021.

A Lei de Segurança da Internet das Coisas da Califórnia, por outro lado, exige que os fabricantes de dispositivos conectados sejam obrigados a cumprir a lei. As diferenças não param aí.

Califórnia x Reino Unido: uma análise mais profunda

A Lei de Segurança da Internet das Coisas da Califórnia é um primeiro passo excelente de um longo caminho para garantir a privacidade e a segurança dos usuários.

Embora as agências federais dos EUA, como o Departamento de Segurança Interna e o Departamento de Comércio, tenham fornecido orientações sobre como gerenciar a segurança desses dispositivos e como melhorar a transparência para com os consumidores, os governos estaduais americanos não se engajaram na segurança cibernética da IoT.

A nova lei de IoT da Califórnia não define claramente o que constitui um recurso de segurança "razoável". No entanto, ela especifica que qualquer recurso desse tipo deve ser:

  • Apropriado à natureza e à função do dispositivo
  • Adequado às informações que o dispositivo pode coletar, conter ou transmitir
  • Projetado para proteger o dispositivo e quaisquer informações nele contidas contra acesso, destruição, uso, modificação ou divulgação não autorizados

A lei também se debruça sobre as senhas genéricas e embutidas no código. Além disso, se o dispositivo puder fazer a autenticação fora de uma rede local, uma senha pré-programada deverá ser exclusiva a cada dispositivo, ou o consumidor deverá gerar uma nova senha antes de usar o dispositivo pela primeira vez.

Em comparação, o código detalhado do Reino Unido, elaborado pelo Departamento de Assuntos Digitais, Cultura, Mídia e Esporte (DCMS) e o Centro Nacional de Segurança Cibernética, inclui 13 medidas separadas, que os fabricantes de pequenos aparelhos inteligentes podem usar para produzir produtos seguros. Estas são as medidas mais significativas:

  • Nenhuma senha padrão deve ser usada: elas devem ser exclusivas
  • Facilidade de exclusão de dados do produto pelos usuários
  • Armazenamento seguro de credenciais e dados
  • Existência de um ponto de contato público para relatar problemas

O governo também divulgou um documento de mapeamento para facilitar o acompanhamento do exemplo da HP e da Centrica Hive, bem como um guia para os consumidores protegerem seus dispositivos de IoT em casa.

Esses esforços fazem parte da estratégia nacional de segurança cibernética do Reino Unido de 1,9 bilhão de libras em resposta (e em preparação contra) um grande ataque de segurança cibernética no futuro. Desde a sua fundação em 2016, o Centro Nacional de Segurança Cibernética do Reino Unido frustrou mais de 1.600 ataques cibernéticos ou 10 ataques por semana.

Vulnerabilidade dos dispositivos da IoT

Essas medidas de segurança ocorrem em um momento em que vários eventos de grande visibilidade continuam a expor a vulnerabilidade dos dispositivos de IoT.

No final de 2018, uma mãe em Long Island relatou um pesadelo ao noticiário local. Nos dias de trabalho, o marido tinha o hábito de se comunicar com o filho de 5 anos através de uma câmera (Nest Cam) no quarto de brinquedos. Um dia, para grande horror da mãe, o menino saiu correndo do quarto, agitado e com medo de que não fosse o pai do outro lado da câmera. Um estranho havia invadido a linha e estava fazendo perguntas pessoais ao menino. Quando a mulher reclamou com a Nest, ela foi instruída a reforçar a senha e começar a usar a autenticação de dois fatores.

E, no ano passado, os ursos de pelúcia conectados à internet da Spiral Toys expuseram mais de 2,2 milhões de gravações de voz entre crianças e pais, além de mais de 800.000 endereços de email e detalhes de senhas. O brinquedo de pelúcia foi projetado para permitir que pais e filhos mantivessem contato por meio de mensagens de voz, mas os dados mal protegidos ficavam em um banco de dados MongoDB, que não era protegido por firewall ou senha, e as mensagens de voz foram alojadas no Amazon S3 que não exigia autenticação para ser acessado. Mesmo com o evidente escândalo, a Spiral Toys demorou mais de 2 meses para notificar as vítimas e divulgar o vazamento de dados.

Há literalmente bilhões de dispositivos de IoT com segurança muito fraca nas residências, como portas secretas indesejadas. Os cibercriminosos têm uma vantagem inicial de 15 meses até que a lei de segurança de IoT da Califórnia entre em vigor. Por isso, os usuários do mundo inteiro devem ficar atentos à própria segurança de IoT nesse meio tempo.

Mas isso é suficiente?

A lei de IoT da Califórnia é uma iniciativa significativa da abordagem da Califórnia em relação à legislação de segurança de dados até o momento. A lei geral de segurança de dados do Estado (Cód. Civ. da Califórnia § 1798.71.5) exige medidas razoáveis de segurança de dados para proteger certos tipos de informações pessoais. Essa nova legislação também exige medidas de segurança razoáveis, independentemente de um dispositivo processar ou não qualquer informação pessoal.

Por mais bem-intencionada que seja a lei de IoT da Califórnia, a dúvida permanece: ela é suficiente?

E, principalmente, não devemos usar algo além de senhas?

Nos últimos dois anos, empresas e especialistas em segurança nos persuadiram a ativar a autenticação de dois fatores, que combina dois ou três fatores:

  1. Algo que o usuário conhece (por exemplo, senha, pin ou resposta a uma pergunta secreta)
  2. Algo que o usuário possui (por exemplo, telefone celular, token ou chaveiro) e/ou
  3. Algo inerente ao usuário é (ou seja, reconhecimento facial, biometria comportamental ou impressão digital)

Se os fabricantes de dispositivos de IoT tivessem atendido aos requisitos mínimos da Califórnia, seria fácil para os cibercriminosos implantar três tipos de ataques de senha com apenas um programa ou um script:

  • Ataques de força bruta: geralmente começam com as senhas mais fáceis de adivinhar. Kanye West não estaria imune à revelação da senha de seu telefone (que é, surpresa!, 000000)
  • Ataques de dicionário: percorrem uma combinação de palavras comuns
  • Ataques de keylogger: rastreiam os cliques nas teclas do usuário

A legislação não apenas carece de orientação específica sobre o comprimento ou a complexidade da senha, mas parte dela também permite acesso à aplicação da lei por meio de ordem judicial ou outra lei aplicável. Entidades maliciosas podem potencialmente abusar desses mesmos pontos de acesso para invadir os dispositivos.

Kieren McCarthy, do Register, escreveu que a lei sobre senhas da Califórnia poderia piorar as coisas ao dar aos "legisladores uma falsa sensação de segurança de que eles resolveram o problema. Eles não resolveram".

Além disso, nenhum direito privado de ação é fornecido. Em vez disso, o "Procurador Geral, um advogado da cidade, um advogado do condado ou um promotor público deverão ter a autoridade exclusiva para fazer valer esse título". Isso significa que uma pessoa/cidadão não poderá processar os fabricantes em um litígio privado.

Segurança para tudo

O número global de dispositivos conectados já ultrapassa 17 bilhões, sendo 7 bilhões o número de dispositivos de IoT.

Total de dispositivos conectados em todo o mundoTotal de dispositivos conectados em todo o mundo

Prevê-se que os gastos globais aumentarão a uma taxa de crescimento anual composta de 44%, ou de US$ 4,4 bilhões até 2022, impulsionados pelo aumento da adoção da IoT e novas regulamentações, como a lei da Califórnia e o CoP do Reino Unido.

Com mais pontos de exposição e maior impacto dos ataques, a segurança deve existir em tudo, desde o hardware, até as comunicações (mensagens) e a nuvem, durante todo o ciclo de vida do produto.

Temos orgulho de ter produtos e serviços, como o Avast Smart Home Security, que protege dispositivos conectados e detecta ameaças em tempo real na rede. O roteador  está se tornando rapidamente a nova porta de ataque dos cibercriminosos.

Por exemplo, se um dispositivo for ligado em um horário não habitual ou começar a transmitir dados para uma entidade desconhecida, isso poderá indicar que ele está sendo invadido. Nessa situação, o Avast Smart Home Security encerrará o ataque e alertará a família imediatamente por meio de um aplicativo móvel antes que qualquer dano possa ser causado.

Veja os muitos pontos de entrada da IoT para os cibercriminosos invadirem sua casa: