O estado das coisas na Internet das Coisas

Kevin Townsend 31 mai 2019

Novos dispositivos inteligentes não contam com recursos de segurança de fábrica porque entrar rapidamente no mercado é considerado mais importante.

A tecnologia inteligente e a Internet das Coisas (vamos chamar de IoT para uso empresarial e dispositivos inteligentes para uso doméstico) estão se desenvolvendo rapidamente, muitas vezes com poucos ou nenhum recurso de segurança. Em casa, seduzidos pela atração de novas tecnologias, compramos e usamos essas tecnologias inteligentes com pouca ou sem compreensão dos perigos que elas podem trazer.

Uma pesquisa de 2018 descobriu que apenas 20% dos usuários têm uma compreensão razoável da tecnologia inteligente e mais de 50% não se preocupam com questões de privacidade. Há uma falha de comunicação entre os inovadores de hardware, o setor de segurança e os consumidores. Nosso entendimento sobre o que é um dispositivo inteligente, como ele interage com a internet e como tudo está interligado com nossos dados pessoais não costuma ser muito claro. Os novos dispositivos inteligentes não contam com recursos de segurança de fábrica porque entrar rápido no mercado é considerado mais importante.

“Inteligente” significa duas coisas: alguma capacidade de processamento e conectividade com a internet. Qualquer aparelho que contenha um processador pode ser invadido e qualquer aparelho com um processador e conectividade com a internet pode ser invadido remotamente. Essas implicações são deixadas de lado pelos fabricantes que têm pressa de lucrar e pelo nosso desejo de ter coisas legais agora mesmo.

Isso se aplica a grandes e pequenos dispositivos inteligentes, dispositivos importantes e supérfluos, dispositivos dentro e fora de casa.

Dispositivos inteligentes se conectam às nossas redes domésticas para aproveitar a nuvem. Frequentemente, baixamos um app para telefone, para poder controlá-los de maneira conveniente e remota. Provavelmente já conhecemos alguns dos dispositivos inteligentes mais famosos: Alto-falantes Alexa da Amazon, robôs aspiradores de pó, como o Roomba, nossas TVs inteligentes e conectadas à internet e assim por diante.

Coisas inteligentes grandes e importantes

Os “smarts” tomando conta de nossa vida

A possibilidade de carros autônomos amplamente disponíveis no futuro próximo atiçou nossa imaginação, mas também alimentou nossa paranoia. Um vídeo de 2015 demonstrou como cibercriminosos conseguiram invadir um Jeep Cherokee inteligente. O centro de entretenimento do veículo era o único componente diretamente conectado à nuvem, mas depois de ser comprometido, os cibercriminosos conseguiram assumir o controle total do veículo, incluindo direção, aceleração e frenagem, para o desespero do motorista.

As coisas não melhoraram muito nos últimos anos. Em 2018, um time de hackers éticos da China descobriu e divulgou 14 vulnerabilidades de seguranças em carros da BMW que estão presentes desde 2012.

Ainda mais assustador do que a invasão dos nossos carros é que dispositivos médicos como marca-passos, bombas de insulina e monitores de sinais vitais podem ser invadidos, com resultados potencialmente terríveis. Os leitores podem se lembrar do sargento de artilharia Nick Brody, da série “Homeland”. Brody tramou o assassinato do vice-presidente William Walden, facilitando uma invasão do marca-passo que aumentou a frequência cardíaca de Walden até que ele teve um ataque cardíaco. Não é totalmente implausível.

Sistemas inteligentes de terceiros

Não é apenas com nossos dispositivos inteligentes que devemos nos preocupar. Equipamentos modernos de vigilância pública e redes de CFTV também são dispositivos inteligentes. No entanto, esses dispositivos destinados a melhorar nossa segurança podem, às vezes, ter o efeito oposto. Muitos sistemas diferentes de câmeras conectadas têm vulnerabilidades de segurança. Isso foi demonstrado pela empresa de segurança Senrio, que conseguiu executar o que chamou de Ataques de Rube Goldberg. A Senrio primeiro assumiu o controle total de uma única câmera de segurança, depois do roteador conectado e finalmente de toda a rede. Quando as vulnerabilidades certas estão presentes, um único dispositivo pode comprometer a rede inteira. Se isso acontecer, quem sabe quem vai te observar, onde ou por quê?

Em abril de 2017, cibercriminosos violaram o sistema de alerta ao ar livre de Dallas. Esta é uma rede de sirenes criada para alertar o público para não sair de casa. Elas foram ativadas mais de dez vezes em um período de duas horas, antes e depois da meia-noite, até que os engenheiros conseguiram desativá-las manualmente.

Outdoors eletrônicos para alertas de trânsito são um alvo favorito. Os hackers assumem o controle e transmitem seus próprios alertas: “Panda raivoso quebrando tudo”, “Ataque de zumbis! Evacuem” e “Seus filhos da p**a, vão chegar atrasados, haha”.

Dispositivos inteligentes para crianças

De dispositivos potencialmente letais e a ameaça de dominação de vigilância pública por agentes mal-intencionados, chegamos ao que deveria ser uma das aplicações mais inocentes e seguras da tecnologia inteligente: produtos infantis. Surpreendentemente, essa é uma das categorias mais perigosas e visadas no ecossistema de dispositivos inteligentes. Recentemente, em fevereiro de 2019, foi feito um recall na União Europeia de um relógio inteligente para crianças fabricado na Alemanha, quando descobriram que o seu aplicativo de controle tem vulnerabilidades significativas. O dispositivo pode ser invadido para permitir rastreamento dos movimentos da criança em tempo real ou para falsificar os dados de localização do GPS para enganar os pais.

Uma linha de brinquedos inteligentes chamados CloudPets foi retirada da Amazon e eBay em 2018, depois que vários problemas de segurança foram descobertos. Este brinquedo permitia a troca de mensagens, que as crianças gravaram ou receberam, entre o brinquedo e o aplicativo do smartphone. Esse recurso não só foi facilmente subvertido, como também o fabricante da CloudPets sofreu uma violação de dados, que expôs os detalhes de meio milhão de clientes.

Os problemas de segurança generalizados e prejudiciais nos brinquedos infantis são tão significativos que, em 2017, uma boneca interativa chamada My Friend Cayla foi identificada como “um aparelho de espionagem ilegal” pela Agência Federal de Redes da Alemanha.

As coisas grandes que podem ser construídas com milhares de coisas pequenas

Vimos alguns dos perigos mais alarmantes e humorísticos dos dispositivos inteligentes e conectados. Poderíamos supor que os dispositivos inteligentes menos tecnológicos, uma geladeira que você pode controlar a partir do seu telefone, um robô aspirador que pode ser programado para fazer limpeza em determinados momentos, seriam mais seguros. Mas esse não é o caso. Não importa o tamanho, a inconsequência ou a aparente autonomia de um dispositivo inteligente, você nunca deve ignorar sua segurança.

Redes zumbi podem usar qualquer coisa

A Internet das Coisas (que é o termo comercial mais comum para dispositivos inteligentes) está se tornando um parceiro das redes zumbis mal-intencionadas. O rede zumbi Mirai é, provavelmente, a mais conhecida. Ela ficou famosa em 2016 quando foi usada para atacar o blogueiro Brian Krebs com o maior ataque DDoS de todos os tempos (desde então, houve maiores).

A maioria das pessoas pensa em roteadores e webcams como membros principais de uma rede zumbi da IoT. Mas isso não é mais verdade. Tudo do que uma rede zumbi precisa é que o dispositivo tenha um endereço IP e seja capaz de transmitir. Esse é o caso da maioria dos dispositivos inteligentes. Na verdade, já em 2013, um pesquisador da Proofpoint cunhou a frase “Thingbot” como um possível substituto para a rede zumbi de equipamentos IoT. Spam estava sendo enviado por uma rede zumbi que incluía, entre outros dispositivos, refrigeradores e TVs inteligentes.

A IoT e os dispositivos inteligentes tornaram-se para os cibercriminosos um alvo maior do que os aplicativos ou servidores da web. Um relatório da F5 Networks de 2018 afirma: “Fora do uso rotineiro de roteadores SOHO, DVRs e câmeras IP, aparelhos como a sua TV, forno, geladeira, Amazon Alexa, Siri e Assistente da Google, uma cafeteira Keurig (sim, temos tráfego de ataque vindo de uma Keurig) e brinquedos foram violados e usados para espionar, coletar dados ou lançar ataques”.

Com o número de dispositivos inteligentes e IoT superando 30 bilhões até 2020, talvez 75 bilhões até 2025, o problema das redes zumbi e Thingbots de IoT só vai piorar.

Os dados estão interligados

Embora qualquer dispositivo com o poder de processamento mínimo conectado à internet possa ser uma peça na máquina das redes zumbi maliciosas, essa não é a única motivação que os hackers têm para ir atrás dos dispositivos inteligentes menores ou mais simples. Um dispositivo IoT invadido muitas vezes pode facilitar a invasão de outros dispositivos da mesma rede. Talvez você não mudou a senha padrão em um irrigador inteligente de seu jardim. Afinal, qual é a pior coisa que pode acontecer? A grama fica muito molhada porque ele não desliga? Mas isso também poderia permitir aos cibercriminosos distribuir malwares em sua rede doméstica, seja recrutando seus outros dispositivos de IoT em uma rede zumbi, lendo suas informações pessoais dos aplicativos do seu smartphone, ou talvez observando você secretamente por meio das suas próprias câmeras de segurança.

Por falar em apps, é importante lembrar que os dispositivos físicos não abrangem a totalidade da internet das coisas. Quase todos os dispositivos inteligentes têm um aplicativo correspondente, seja no computador ou no celular, para ajudar a controlar e aproveitar ao máximo o dispositivo. Às vezes, esses aplicativos são opcionais, mas muitas vezes são necessários para usar todos os recursos do dispositivo. O problema é que os aplicativos podem ser tão mal protegidos quanto os dispositivos. Uma pesquisa recente (de janeiro de 2019) realizada por universidades brasileiras e americanas descobriram que 31% dos dispositivos IoT mais vendidos não tinham nenhum tipo de criptografia de dados, enquanto outros 19% tinham criptografia que era fácil de quebrar. Isso deixa a metade de todos os aplicativos para controle de IoT insuficientemente seguros.

Como se manter seguro

A má notícia é que usuários como nós são apenas parte do processo necessário para melhorar a segurança de IoT. Os responsáveis pela inovação de dispositivos e desenvolvimento de aplicativos de controle ainda precisam investir muito trabalho nisso. A boa notícia é que podemos tomar medidas para nos manter seguros e, é claro, temos empresas de segurança como a Avast, que estão aqui para ajudar você.

Se você está preocupado(a) com a segurança dos dispositivos inteligentes, ou se já está conectado(a) à Internet das Coisas, dê uma olhada no Avast Smart Life para adicionar mais uma camada inteligente de segurança de dispositivos (atualmente ele está disponível apenas nos Estados Unidos). Enquanto isso, não se esqueça de que existem outras práticas que podemos adotar para manter nossos dispositivos o mais seguros possível.

Mantenha-se atualizado e altere a senha padrão

Isso se aplica a qualquer software ou serviço que usamos e vale também para nossos dispositivos inteligentes. Veja se todos os aplicativos para controle de dispositivos inteligentes estão atualizados para proteger contra vulnerabilidades conhecidas. Alguns produtos de IoT também podem ter um firmware que precisa ser atualizado independentemente. Isso vale principalmente para roteadores. Confira o blog da Avast sobre roteadores em uma casa inteligente para se informar melhor sobre o assunto.

Se o dispositivo vier com uma senha que você pode alterar, sua prioridade deve ser a alteração da senha. Dicas valiosas sobre senhas e como criar senhas fortes podem ser encontradas aqui.

Não compartilhe dados pessoais com coisas que não precisam deles

E, finalmente, mais uma dica de segurança quase universal que você sempre precisa lembrar quando se trata de internet das coisas e dispositivos inteligentes: não compartilhe mais dados pessoais do que o necessário para funcionamento do dispositivo. Suas opções dependem do dispositivo específico e alguns dispositivos podem bloquear algumas funcionalidades até que você forneça um endereço de e-mail ou outras informações de contato. Em geral, se você puder não inserir seu contato ou informações financeiras em um aplicativo controlador, essa é a opção mais segura. Aproveite sua casa conectada, mas proteja suas informações pessoais de uma possível exposição ou vazamento.

--> -->