Segurança da ‘internet das coisas’ passa por ‘tragédia anunciada’
Por - em 8 anos atrás 604
Dispositivos “inteligentes” da internet das coisas – principalmente câmeras IP e gravadores de vídeo, mas também impressoras e talvez algumas geladeiras – estão sendo invadidos por hackers para realizar ataques na internet. Essa é a má notícia.
A péssima notícias é que em alguns casos a única solução é desconectar o dispositivo da internet ou comprar um novo: não existe como resolver o problema, pois o fabricante não previu a necessidade de atualizações. Quando há uma solução – que é a maioria dos casos – ela exige o download manual de um arquivo no site do fabricante ou a alteração de uma configuração e a maioria dos usuários não perceberá o problema para saber que precisa precisar fazer algo a respeito.
Essa situação ocorre apesar de inúmeros alertas, inclusive desta coluna, que há um ano afirmou que a internet das coisas exigia sistemas capazes de “cuidar de si mesmos“. Vários especialistas rebatizaram a sigla “IoT”, de “internet of things” (“internet das coisas”, em inglês) para “internet of threats” (internet das ameaças), prevendo esse cenário há ainda mais tempo.
O problema é que a insegurança não afeta só esses dispositivos, mas traz consequências para o resto da internet. Sistemas inseguros inevitavelmente se transformam em armas de criminosos e o impacto na rede acaba prejudicando mesmo quem faz a lição de casa em termos de segurança.
Como isso funciona?
Criminosos ameaçam que vão tirar uma loja on-line do ar, por exemplo, se o dono da loja não pagar uma certa quantia em dinheiro para evitar o ataque. E o ataque só é possível porque o criminoso conta com um exército de sistemas inseguros que ele tomou para si e que vão inundar o site alvo com tráfego ilegítimo. Esse tipo de extorsão não é novidade e esses sistemas usados indevidamente no ataque costumavam ser só computadores, nos quais o problema fica visível e um antivírus pode atuar para remover o código, de modo que realizar o ataque por muito tempo chamava atenção e não era interessante para o criminoso perder as máquinas do seu “exército”.
Mas, quando o sistema em questão é uma câmera IP, o aparelho continua funcionando sem qualquer sinal de problema. E nem sempre há antivírus ou outra solução capaz de eliminar o código ou impedir o ataque. Em alguns aparelhos, não há nem sequer uma atualização do fabricante para eliminar a brecha usada pelo criminoso para contaminar o dispositivo.
Foi usando esses dispositivos que criminosos conseguiram quebrar o recorde de maior ataque da história, de 665 Gbps, contra o site do jornalista Brian Krebs. Em uma publicação sobre o caso, o jornalista comparou venda desses dispositivos inseguros ao depósito de “lixo tóxico” na rede.
Intervenção do governo
A receita para se construir esse cenário é simples: tenha dispositivos que não foram projetados para funcionar de maneira segura e ofereça-os a consumidores que não têm como saber disso e que vão conectar esses aparelhos à internet.
O especialista em segurança Bruce Schneier, um dos mais respeitados do ramo, defende uma intervenção do governo. Schneier argumenta que os incentivos econômicos existentes hoje não colaboram para a criação de um ambiente seguro.
“O mercado não consegue corrigir isso porque nem o comprador e nem o vendedor se importam. Pense em todas as câmeras e gravadores de vídeos usados no ataque contra [o jornalista] Brian Krebs. Os donos desses aparelhos não se importam, os dispositivos foram baratos e funcionam, e eles nem sabem quem é o Brian. Os vendedores não se importam, porque estão vendendo modelos mais novos e melhores, e os compradores do modelo anterior só queriam saber do preço e recursos. Não há solução de mercado porque a insegurança é o que economistas chamam de uma externalidade: um efeito da decisão de compra que afeta outras pessoas. Entenda isso como um tipo de poluição invisível”, explicou Schneier em seu blog.
Para Schneier, há duas possibilidades: a legislação deve obrigar que os aparelhos tenham um certo nível de segurança ou ela deve permitir que pessoas e empresas atacadas pelos dispositivos possam processar diretamente a fabricante dos aparelhos vulneráveis, o que mudaria os incentivos econômicos para a fabricação desses equipamentos.
A Comissão Europeia está avaliando uma proposta para que a indústria desenvolva um tipo de certificação (algo como um “Inmetro da internet das coisas”) para que o consumidor possa saber se um produto foi testado e é “seguro”. Mas ainda não existe nada concreto.
US$ 50 mil para saber quem está na rede
Mesmo quem quer usar sistemas da “internet das coisas” de forma segura tem problemas, porque os dispositivos não estão preparados para um bom funcionamento em rede. Administradores de rede têm dificuldades para identificar, gerenciar e detectar irregularidades (ou invasões) que possam surgir a partir desses dispositivos.
A Mitre Corporation, uma ONG que gerencia patrocínios federais de pesquisa nos Estados Unidos, está oferecendo até US$ 50 mil (cerca de R$ 160 mil) para pesquisadores ou equipes que encontrarem uma solução barata para identificar de forma única os dispositivos de “internet das coisas” conectados a uma rede. A ideia é criar um programa capaz de varrer uma rede e apontar onde estão as câmeras, gravadores de vídeo, impressoras, termostatos e outros aparelhos “inteligentes”.
O próprio texto explicativo (leia aqui, em inglês) da Mitre sobre a pesquisa afirma que a solução ideal envolve uma identificação fornecida pelo próprio dispositivo, mas que isso não existe nos sistemas que estão no mercado.
Quem quiser participar do desafio e levar o prêmio terá que identificar particularidades de diversos dispositivos da “internet das coisas” para adivinhar “quem é quem” na rede. É como se eles tivessem que mapear a “personalidade” dos dispositivos.
Embora a mesma tecnologia possa ser usada por criminosos para identificar possíveis alvos de ataques, a verdade é que não há alternativa: criminosos vão continuar atacando – e nada os ajuda mais do que a ausência de medidas defensivas.
Redação