Pontos de vista

Gostem ou não, consumidores desempenham um grande papel na segurança da IoT

Byron Acohido, 1 Abril 2019

Para que o design seguro faça parte dos novos dispositivos da Internet das Coisas, os consumidores devem estar cientes dos novos riscos e exigir níveis adequados de privacidade e segurança.

Existem certas coisas que nós, como consumidores, fazemos intuitivamente: escovar os dentes pela manhã, olhar para os dois lados antes de atravessar uma rua, colocar o cinto quando entramos em um carro.

Em um futuro não muito distante, cada um de nós precisará fazer uma pausa, diariamente, para considerar devidamente como compramos e usamos os dispositivos e serviços da Internet das Coisas.

Essa hora está chegando. Estamos apenas iniciando o processo de entregar o controle granular de todos os aspectos da sociedade humana aos sensores digitais sintonizados para alimentar fluxos infinitos de dados em algoritmos de máquinas cada vez mais “inteligentes”.

Os impulsionadores do comércio centrado na IoT parecem ser imparáveis. No entanto, estamos negligenciando profundas implicações de privacidade e segurança. Como consumidores individuais e cidadãos, não poderemos enterrar a cabeça na areia por muito mais tempo, como fizemos quando o comércio na internet começou a alterar radicalmente nossas tradicionais redes de segurança no início deste século. Desta vez, há muito em jogo. Isso é o que podemos esperar:

Cada vez mais conectados

Conte com o fato de que a ampla implantação de sistemas da IoT continuará em ritmo acelerado. Já existem mais dispositivos da IoT do que seres humanos no planeta, segundo a empresa de pesquisas no setor de tecnologia Gartner. Dos 8,4 bilhões de dispositivos IoT em uso desde 2017, metade é de aparelhos de consumo, como smart TVs, alto-falantes, relógios, monitores de bebês e termostatos domésticos. Grande parte do resto é composta por medidores elétricos inteligentes e câmeras de segurança em uso corporativo e governamental.

Outra consultoria do setor de tecnologia, a IDC, prevê que os gastos globais na IoT vão atingir o recorde de US$ 745 bilhões em 2019, 15,4% a mais do que os US$ 646 bilhões gastos em 2018. Isso será liderado pelos setores de produção, consumo, transporte e serviços públicos.

Quanto mais dados os sistemas da IoT coletam e analisam, mais inteligentes eles se tornam e mais capazes de tomar decisões autônomas. As empresas estão ansiosas para aproveitar as eficiências operacionais resultantes.

Os consumidores, entretanto, não conseguem resistir a ficar cada vez mais conectados. Estamos obcecados em permanecer continuamente conectados à família, amigos, trabalho e nossos passatempos.

Inovação criminal

Os protagonistas no campo de ameaças certamente perceberam isso e trabalharam para inovar. Eles reconhecem plenamente que a hiperconectividade se traduz em uma enorme oportunidade criminosa. Alguns dos novos ataques incríveis que estamos vendo, permitidos pela IoT, sugerem a nova escala e o escopo das exposições emergentes da IoT.

O Mirai e Reaper são exemplos de uma nova geração de redes zumbi da IoT compostas por milhões de roteadores domésticos e câmaras de vigilância infectados. O Mirai continua a se transformar e se multiplicar dois anos depois de uma variante inicial ter infectado os roteadores domésticos de 1 milhão de clientes da Deutsche Telekom. Pesquisadores da Avast compartilharam recentemente informações sobre sete novas variantes do Mirai que descobriram em circulação na internet.

Router-vulnerability-1

Os analistas do Avast desvendaram como o código da Mirai evoluiu em uma estrutura-modelo  “incrivelmente fácil” para que os cibercriminosos no início de carreira, com um conhecimento modesto, criem novas variantes. É muito fácil para qualquer pessoa com intenção maliciosa implantar uma rede zumbi variante da Mirai, criada para minerar criptomoedas, lançar ataques de negação de serviço (DDoS) ou funcionar como um proxy para distribuição de malwares.

Movimentar grandes quantidades de dados pessoais também cria naturalmente um novo conjunto complexo de preocupações com a privacidade. Os dados da IoT podem ser misturados e combinados para criar perfis incrivelmente prescientes: os dossiês que podem ser usados para o bem, mas também para propósitos predatórios. Um estudo recente demonstrou como, ao analisar as leituras de uma casa inteligente, como consumo de energia, níveis de monóxido e dióxido de carbono e mudanças de umidade, foi possível triangular o que a pessoa comeu no jantar.

A falta de um design seguro

Enquanto isso, os fabricantes de dispositivos e os provedores de serviços da IoT permanecem interessados apenas em serem os primeiros a comercializar novas funcionalidades. O design seguro nunca foi prioridade.

Muitos dos sensores da IoT que devoram dados sigilosos, pessoais e corporativos, bem como os roteadores que repassam esses dados, por exemplo, possuem senhas fracas ou não existentes e não possuem uma forma uniforme para corrigirem as vulnerabilidades que inevitavelmente aparecem nos softwares. Também, ninguém aceitou a responsabilidade de criptografar algum dos novos fluxos de dados, seja em trânsito ou em repouso.

Órgãos normativos do setor e reguladores governamentais reconhecem o que está em jogo. No outono passado, o Departamento de Cultura, Mídia e Esporte do Reino Unido (DCMS) e o Centro Nacional de Segurança Cibernética (NCSC) publicaram diretrizes que incentivam os fabricantes de dispositivos IoT a produzir dispositivos conectados que tenham design seguro e sejam fáceis de atualizar.

Da mesma forma, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) passou quatro anos elaborando uma estrutura para chegar a um nível apropriado de segurança da IoT, emitindo a Publicação especial do NIST 800–160, no final de 2016.

Mas as empresas e agências precisam fazer muito mais para superar o problema. Mais campanhas de conscientização pública que usassem como modelo a conferência de segurança da Europol e da ENISA sobre a IoT em Haia, na Holanda, seria um bom começo.

É claro que os ataques cibernéticos possibilitados pela IoT só vão aumentar. Invariavelmente, isso começará a derrubar a confiança nos serviços conectados em um grau que ainda não enfrentamos. Neste momento, vamos começar a prestar atenção como cidadãos individuais e proprietários de pequenas empresas. Somente quando começarmos a exigir isso, a Internet das Coisas alcançará um nível de confiança que a torne estável.

O que você acha sobre a segurança da IoT? Participe da conversa com o Avast no Facebook e Twitter. Até a próxima.