Pontos de vista

Preocupações nas alturas: entendendo a ameaça à segurança feita pelos drones

Kevin Townsend, 23 Outubro 2019

Eles são suscetíveis a todas as ameaças cibernéticas da Internet das Coisas e podem ser sequestrados para fins não intencionais.

Os drones, nome popular para veículos aéreos não tripulados (VANTs), são um novo brinquedo para os aficionados, uma ferramenta para o comércio e um dispositivo multifuncional para os militares.

De um lado, temos drones com apenas alguns centímetros de diâmetro que são capazes de transportar cargas úteis, como uma câmera ou um pequeno computador Raspberry Pi. Do outro, temos drones com envergaduras de 20 metros que podem carregar bombas guiadas a laser de 200 quilos ou mísseis Hellfire.

Geralmente, eles são dispositivos da Internet das Coisas (IoT) de livre alcance, alojados em uma máquina voadora menor que um cortador de grama, com comunicação sem fio. Como são dispositivos de IoT sem fio, eles estão suscetíveis a todas as ameaças cibernéticas da Internet das Coisas e podem ser sequestrados para fins não intencionais.

Drones: de lazer, comerciais e militares

Quando os drones de lazer surgiram, eles eram meramente brinquedos para os ricos ou uma diversão para os entusiastas. Mas o mercado se expandiu, a tecnologia melhorou com maior capacidade de manobra e câmeras integradas e o preço caiu. É um mercado em alta. A FAA prevê que haverá entre 1,3 milhão e 1,7 milhão de drones de lazer nos EUA até 2023.

O mercado que mais cresce, embora menor do que o mercado de lazer, é o dos drones comerciais, os quais muitas empresas estão experimentando. Os exemplos mais conhecidos incluem o transporte de carga para entregas que foi explorado pela Amazon e pela Domino’s Pizza. Esta aplicação foi retardada pelos regulamentos, pois os drones são vistos por muitos como perigos e poluição sonora; mas esses regulamentos podem ser flexibilizados nos próximos anos. Uma proposta* feita pelo Departamento de Transportes dos EUA no início deste ano permitiria que os drones voassem sobre as pessoas e à noite sem a necessidade de permissões ou isenções especiais, o que poderia abrir precedentes para os serviços de entrega por drones no futuro.

Há poucos drones militares, mas este também é um mercado em expansão. Drones militares permitem ao agressor alcançar praticamente qualquer alvo em qualquer local, sem colocar as pessoas em risco. Seus casos de uso estão aumentando. De acordo com Steve Durbin, diretor-gerente do Information Security Forum*, está sendo desenvolvida tecnologia de drones que poderiam expandir o uso militar de armas simples para ferramentas de espionagem sofisticadas. Várias organizações de terceiros estão desenvolvendo drones que podem grampear ou interferir nos sistemas de comunicação, interceptar dados e se autodestruir, se capturados. Drones militares portadores de armas são fabricados pelos EUA, Israel, China, Rússia e Irã, entre outros países.

Os drones também têm aplicações menos conhecidas e mais específicas, que vão além do lazer e dos fins comerciais ou militares. Drones com câmeras podem ser usados para monitorar infraestruturas, partes de difícil acesso em monumentos antigos, incêndios florestais ou controle de animais, enquanto que sensores especializados podem ser usados para levantamento geológico.

Todas essas categorias de drones impõem riscos de segurança. Somente o drone militar pode ser considerado relativamente seguro, o resto está sujeito a sequestros e uso indevido para finalidades ruins como qualquer outro dispositivo IoT*. Essas finalidades ruins incluem ameaças à nossa privacidade, à segurança cibernética e até à nossa segurança física.

Ameaças a drones

Há duas ameaças cibernéticas principais a drones: sequestro e ataques às cadeias de fornecimento.

Sequestro

Drones não militares podem ser sequestrados de maneira relativamente fácil. Em 2017, o especialista em segurança Jonathan Andersson criou um dispositivo (o qual chamou de Icarus) que lhe permitiu sintonizar a frequência de comunicação de um drone. Embora o canal de comunicação oscilasse a cada 11 milissegundos, o Icarus aguardou em um canal e, nos 11 milissegundos disponíveis, invadiu a criptografia do drone e sequestrou o dispositivo.

Ataques às cadeia de fornecimento

A ameaça da cadeia de fornecimento* existe porque os drones são majoritariamente fabricados no exterior (como na China) ou montados no país usando componentes fabricados no exterior. Com as tensões geopolíticas contemporâneas, há sempre a preocupação de que esses dispositivos possam conter um backdoor oculto para governos estrangeiros.

Uma preocupação relacionada é que os drones de lazer atuais quase sempre vêm com uma câmera de vídeo. Cibercriminosos poderiam sequestrar o dispositivo e roubar os dados. Mas muitos drones fazem upload dos dados gravados automaticamente e em tempo real para um armazenamento na nuvem.

Isso suscita preocupações até mesmo quanto a imagens obtidas inocentemente; se um piloto de drone registra acidentalmente algo confidencial, esses dados ficam imediatamente online e vulneráveis a roubo se o serviço de armazenamento não for seguro. O governo dos EUA está tão preocupado com o armazenamento de dados de drones que, no início deste ano, o Departamento de Segurança Interna dos EUA emitiu um alerta* de que os drones fabricados na China podem ser um “potencial risco para as informações de uma organização” e que poderiam estar transmitindo dados de voo para seus fabricantes.

As ameaças dos drones

Há três ameaças principais de drones não militares: à nossa privacidade, à nossa segurança cibernética e à nossa segurança física.

Privacidade

A questão da privacidade é evidente. Os drones podem carregar uma câmera e registrar imagens (e voz) de locais inacessíveis a um espião humano. As variantes usadas pela polícia podem se conectar a sistemas de reconhecimento facial e monitorar silenciosamente multidões, reuniões ao ar livre e pedestres. Militantes poderiam usá-los para mapear os estabelecimentos que desejam atingir. E os voyeurs poderiam chegar ao apogeu.

Quando usados pela polícia, eles oferecem um novo nível de controle civil. Quando usados por civis, são praticamente impossíveis de policiar. Os dados civis provavelmente serão armazenados na nuvem, possivelmente com ou sem o conhecimento dos usuários e com ou sem a segurança adequada.

Segurança cibernética

Até os drones de lazer podem transportar pequenos computadores Raspberry Pi. Eles podem ser programados para detectar sinais de Wi-Fi. Eles têm sido usados por pesquisadores “do bem” para testar a segurança de instalações de infraestrutura remotas críticas (como centrais elétricas) que não podem ser acessadas diretamente da internet.

São usados de forma legitima por testadores de penetração – que realizam simulações controladas de ataques – em circunstâncias semelhantes. Em um teste, uma empresa de pesquisa foi solicitada a testar a segurança cibernética de uma plataforma de petróleo offshore. Seria uma tarefa difícil devido à falta de acesso físico à plataforma. Assim, um pequeno barco foi alugado e atracado a uma certa distância da plataforma. Em seguida, o Raspberry Pi foi programado para detectar os sinais de Wi-Fi, sobrevoou a plataforma de petróleo e os pesquisadores puderam ouvir as comunicações da plataforma.

Se os pesquisadores fazem isso, você pode ter certeza de que os cibercriminosos, e talvez até outros países, estão fazendo o mesmo. Os alvos não precisam ser instalações remotas e isoladas; ataques semelhantes podem ser direcionados a qualquer edifício em qualquer lugar. E à medida que a popularidade dos drones de lazer cresce, a visão de um deles próximo a uma zona de escritórios provavelmente não levantará preocupações.

Segurança física

A ameaça dos drones à nossa segurança física varia de danos acidentais devido a erros de cálculo a ataques direcionados.

O dano acidental pode ocorrer quando um drone fica fora de controle. A causa pode ser a perda legítima de controle por um proprietário, a perda de controle por um cibercriminoso ou o mau funcionamento do hardware ou software do dispositivo. Seja qual for a causa, um drone caindo do céu e atingindo uma pessoa causará danos – e quanto maior o drone, maior será o dano.

O dano devido a erros de cálculo podem ocorrer quando o voo de um drone acaba sendo mais perigoso do que o previsto. No Reino Unido, o grupo ativista ambiental Extinction Rebellion está em campanha contra a construção de uma terceira pista no aeroporto Heathrow. Uma de suas formas de protesto é pilotar drones dentro da zona de exclusão de 3 milhas do Heathrow para interromper os voos. A Extinction Rebellion não deseja machucar ninguém, mas um simples erro de cálculo poderia ser catastrófico.

Os ataques direcionados provavelmente aumentarão nos próximos anos. O objetivo será causar danos às pessoas e poderia ser provocado por qualquer um dos controladores existentes por motivos pessoais ou ideológicos. Até agora, os danos reais às pessoas ocasionados pelos drones de lazer têm sido majoritariamente acidentais e não muito graves. Ainda não tivemos casos de sequestro de drones de lazer ou comerciais para atingir uma pessoa específica.

Eventos recentes na Arábia Saudita dão uma ênfase diferente às coisas. Neste caso, uma frota de drones “militares” foi direcionada com sucesso à produção de petróleo da Arábia Saudita. Os rebeldes houthis iemenitas assumiram a responsabilidade, mas a maioria das pessoas acha que eles não teriam conseguido sem a ajuda do Irã. Os drones eram certamente de origem iraniana. O Irã é conhecido por vender seus drones militares para aliados e países simpatizantes. A China vende seus drones militares para qualquer pessoa que quiser comprá-los.

Os drones militares estão cada vez mais disponíveis. Matt Rahman, diretor de operações da empresa de segurança IOActive, acompanha de perto a situação dos drones. “O objetivo de usar drones como agentes kamikazes portadores de ogivas não é novidade”, disse ele a este blog, “mas ver isso ser colocado em prática no Irã é algo que não pensávamos que aconteceria tão cedo”.

O futuro

Ainda estamos nos estágios iniciais do desenvolvimento de drones. A capacidade deles se expandirá nos próximos anos; e a sociedade e as instituições policiais precisam estar cientes das ameaças que isso pode gerar. Dispositivos desenvolvidos por bons motivos podem ser aplicados para finalidades ruins.

Como exemplo, considere os últimos acontecimentos na China: um drone movido a energia solar que, em breve, será capaz de voar de maneira permanente. Acrescente a isso a moderna tecnologia de câmera de alta potência e o reconhecimento facial, e o resultado é um drone que pode voar indefinidamente até reconhecer um alvo pré-programado. Com uma pequena ogiva, que não exigiria um drone de qualidade militar, o alvo específico poderia ser localizado e eliminado automaticamente. Pode parecer ficção científica, mas isso já é possível hoje.

O grande problema é que os drones não são suficientemente regulados. Nenhuma agência específica alegou autoridade geral para fornecer a regulamentação necessária para impedir que os drones se tornem uma ameaça significativa à sociedade.

* Original em inglês.