• Carregando...
 | /Pixabay
| Foto: /Pixabay

Uma vez que o mundo foi convencido sobre as possibilidades da Internet das Coisas (IoT), tudo começou a “ficar inteligente”. Ao mesmo tempo, surgiu um problema: o controle dos objetos e dispositivos inteligentes com os quais eles estão conectados pode cair em mãos de pessoas mal-intencionadas e, quanto mais essas coisas penetram em nossa vida cotidiana e sabem demasiado sobre nós, mais séria a ameaça se torna. Geralmente, os fabricantes de dispositivos inteligentes lançam seus produtos, e só depois resolvem os problemas relacionados à segurança. Isto ocorre por vários fatores.

Um deles é o fato de o fabricante implementar um sistema de proteção simplificado. A grande quantidade de dispositivos genéricos de origem desconhecida que suportam conexão com a rede tem um procedimento de autorização, mas logins e senhas já vêm pré-definidos de fábrica e, muitas vezes, os usuários não alteram as configurações após a compra do equipamento. Isso faz com que os dispositivos fiquem vulneráveis – e é dessa fragilidade que os fraudadores se aproveitam.

Além disso, o fabricante “se esquece” de remover vulnerabilidades do dispositivo. Temos como exemplo casos em que a versão de lançamento de um produto deixou disponível uma das contas utilizadas no processo de desenvolvimento do programa. Isso aconteceu com um roteador que entrou no mercado com duas contas administrativas disponíveis e algumas dezenas de vulnerabilidades de gravidade variável. E, mesmo assim, o fabricante – no caso, a D-Link – não demonstrou intenção de repará-las.

Paradoxalmente, a maior dificuldade em garantir a segurança da Internet das Coisas é ocasionada pelos próprios usuários

O fato é que o fabricante não reconhece as falhas como um problema. “Isso não é uma falha. É uma função adicional!”, respondem muitos dos fabricantes de “coisas inteligentes” às reclamações sobre as vulnerabilidades. Em um caso envolvendo a empresa Xiaomi, o desenvolvedor podia instalar remotamente qualquer aplicativo em seus smartphones. Foi o que descobriu um estudante, que notou um estranho aplicativo – AnalyticsCore.apk – pré-instalado no Xiaomi MI4 e que funciona em modo 24/7. O interessante é que não há como se livrar do aplicativo, já que, mesmo depois de totalmente desinstalado, o AnalyticsCore.apk aparecia novamente no aparelho depois de um tempo.

Os dispositivos também têm funcionalidades das quais não se pode escapar. Alguns “dispositivos inteligentes” são equipados com funções que têm componentes spyware. A saída mais simples pode ser desligar a função, caso isso funcione. Foi assim com os aparelhos de televisão da LG que enviavam o tráfego de informações independentemente de o usuário permitir sua coleta ou não. Ao ser questionado por um usuário sobre isso, a LG simplesmente o aconselhou a conformar-se com a situação.

Em que patamar está a segurança da IoT atualmente? Cada fabricante tenta fechar seu ecossistema, criando protocolos exclusivos e, portanto, incompatíveis com outros dispositivos. Gradualmente, a maioria deles deixará o mercado, enquanto outros surgirão, buscando estabelecer-se como padrão universal – como aconteceram com os cassetes de áudio e vídeo, discos de vinil e sistemas operacionais móveis. Ainda há muitos protocolos (ZigBee, Insteon, Z-Wave etc.), mas em breve o mercado determinará de dois a três modelos que acabarão sendo usados pelo mundo inteiro.

Leia também: A tecnologia, a Internet e a perda de privacidade (artigo de Fernando Matesco, publicado em 30 de maio de 2018)

Leia também: A tecnologia e o futuro do emprego (artigo de José Pio Martins, publicado em 29 de março de 2018)

Hoje, existem muitos dispositivos e não são necessários conhecimentos específicos para que estes sejam hackeados. A partir disso, surgem ataques de softwares maliciosos e uma série de outras ameaças. No entanto, a ameaça não se limita aos botnets. Assim, a partir de pulseiras inteligentes, são “vazados” diferentes dados sobre a vida do usuário ou informações enviadas para redes sociais acabam sendo interceptadas. O caso recente das pulseiras inteligentes da empresa Strava é uma ameaça direta à paz e segurança internacionais – o serviço carregava as rotas do usuário em um mapa interativo e “revelou” a disposição de instalações secretas em todo o mundo. E quanto aos smartphones? Desde que o serviço de internet banking se tornou popular, notícias sobre roubos de saldos de contas por meio do sistema Android em smartphones deixaram de nos surpreender.

Para o que devemos estar preparados? Embora o problema seja evidente, apenas recentemente foram tomadas medidas concretas para a solução. Os documentos “Princípios estratégicos para garantir a segurança da internet das coisas” (de novembro de 2016) e “Incentivo ao avanço da Internet das Coisas” (de janeiro de 2017), com informações básicas e recomendações para o uso da IoT, foram divulgados pelos departamentos de Segurança Nacional e de Comércio dos Estados Unidos, respectivamente. A Aliança para a “Segurança em Nuvem” (Cloud Security Alliance, CSA) também contribuiu para o desenvolvimento do manual de segurança da IoT.

Mas apenas documentos não são o suficiente nestas situações. Paradoxalmente, a maior dificuldade em garantir a segurança da Internet das Coisas é ocasionada pelos próprios usuários. Por exemplo, temos dois dispositivos inteligentes com funções semelhantes: o primeiro oferece alto nível de proteção, mas seu preço é muito mais elevado se comparado ao outro dispositivo desprotegido. Na maioria dos casos, o usuário não pode avaliar objetivamente a ameaça, por isso escolhe a opção mais barata. Outro aspecto deste problema é que os consumidores não são especialistas em proteção de dados e, por isso, não estão preparados para compreender os manuais com dezenas ou centenas de páginas. O usuário quer que tudo seja simples e rápido, e o fabricante vai ao encontro desta expectativa propondo-lhe executar tudo rapidamente.

Leia também: Você será substituído por um robô? (artigo de Ronaldo Cavalheri, publicado em 12 de outubro de 2017)

Leia também: Um mundo de oportunidades ainda distante (artigo de Julio Omori, publicado em 22 de março de 2018)

Podemos avaliar esta questão a partir de diferentes pontos de vista: o da vida privada, em que cada usuário adquire um dispositivo e é responsável pelo seu uso; e o da vida em sociedade, em que o usuário pode levar seu dispositivo inteligente para o trabalho. Para evitar diferentes tipos de problemas com a IoT no local de serviço, é necessário treinar os funcionários implementando políticas e tecnologias de segurança e desenvolvendo habilidades para operar junto com a IoT.

Uma ligação óbvia entre o vazamento de dados e a IoT foi demonstrada por especialistas do centro de segurança da Universidade de Tecnologia e Design de Cingapura: eles conseguiram acessar dados pessoais usando um drone e um smartphone. O smartphone acoplado ao drone voou em torno de um prédio de escritórios, procurando por impressoras com a função Wi-Fi Direct, e conectou-se à rede com o nome de uma das impressoras. Como resultado, todos os documentos enviados para impressão foram carregados para o smartphone. Apesar do método de invasão, os cientistas demonstraram que proteger uma impressora sem fio é um problema sério, uma vez que muitas informações confidenciais passam por ela. Para controlar as informações enviadas às impressoras, é melhor usar um sistema DLP, mas proteger o dispositivo contra invasões é tarefa dos fabricantes.

De acordo com a Gartner, o número de objetos conectados à internet crescerá para 20,4 bilhões até 2020. Essa rede armazenará uma série de dados críticos, cujo vazamento poderá causar danos não apenas a indivíduos ou organizações, mas também à economia de um país como um todo. E está claro que a velocidade do desenvolvimento das soluções para proteção de dados da IoT ainda é significativamente inferior à velocidade da entrada de dispositivos inteligentes em nossas vidas.

Vladimir Prestes é diretor-geral da SearchInform no Brasil.
0 COMENTÁRIO(S)
Deixe sua opinião
Use este espaço apenas para a comunicação de erros

Máximo de 700 caracteres [0]