A “Internet das Coisas” já é uma realidade e pode ser bem assustadora. E o perigo pode estar dentro da sua casa ou empresa...
Semanas atrás, um ataque de DDoS (Distributed Denial of Service) que deixou indisponíveis diversos serviços Internet, incluindo o Twitter, o Spotify e o site da CNN chamaou a atenção do mundo por ter partido de uma botnet formada por dispositivos de Internet das coisas. No caso, gravadores de vídeo (DVRs) e outros eletrodomésticos conectados à internet, infectados por um software malicioso. O ataque transformou o que até então não passava de alertas dos profissionais de segurança, em algo rela, capaz de afetar milhões de pessoas em vários países. Mas não foi o primeiro e, infelizmente, está longe de ser o último.
Quando a Internet foi criada, boa parte da ideia da rede era viabilizar a conexão e a troca de informações entre pessoas, através de seus computadores, de uma forma simples e rápida. Já faz algum tempo, todavia, em que equipamentos se conectam a Internet sem a interação direta de um ser humano. Esses equipamentos compõem o que hoje se chama de “Internet das Coisas” ou “Internet de Todas as Coisas” (Internet of Things ou Internet of Everything). A lista vai desde o seu smartphone, por exemplo, que recebe e (dependendo do que e como você configura) também envia informações diversas, sem a necessidade de que você comande isso, à sua smartTV e, em breve, ao seus smartrefrigerators, smartovens e demais smartgadgets. Mas pode ser muito mais abrangente do que isso, englobando o modem da operadora que você contratou para prover a sua conexão à Internet residencial, o roteador e/ou access point da sua rede sem fio, em casa, na empresa ou em locais públicos, além de consoles de jogos, câmeras de vigilância ou qualquer dispositivo que possa ser acessado remotamente e que se conecte à Internet, como aconteceu em 21 de outubro.
Todos esses dispositivos tem sistemas operacionais e muitos desses sistemas são bastante simples, não possuem mecanismos adequados de proteção e não sofrem atualizações constantemente, ficando vulneráveis a novas pragas e novos ataques, que diariamente infestam a Internet. Some-se a isso a (ainda) recente divulgação do monitoramento governamental em larga escala (principalmente pelos Estados Unidos) à Internet e das portas que os fabricantes de hardware e software foram “obrigados” a deixar abertas para que as agências americanas pudessem ter acesso a dados em um sem número de tecnologias. E se não bastasse esses dois fatores, ainda temos o desejo (legítimo) das empresas fabricantes de equipamentos e sistemas ou provedoras de serviço de querer conhecer cada vez mais e melhor seus consumidores, para lhes oferecer produtos e serviços que se encaixem aos seus gostos e hábitos e que, para isso, criam mecanismos que coletam informações sobre utilização, sobre o que foi acessado, assistido, comprado etc., num verdadeiro “Big Brother” virtual.
Onde mora o perigo
Casos ocorridos nos últimos anos ilustram a situação periclitante em que vivemos:
– No último trimestre de 2013, foi divulgado (em fóruns especializados,) que um dos maiores fabricantes de equipamentos entry-level (o que normalmente temos na nossa casa) de conectividade teria incluído backdoors (as portas de acesso, descritas anteriormente) em todos os seus equipamentos, a partir de um determinado nível de atualização. Esses backdoors foram disponibilizadas a pedido do governo americano, mas acabaram vazando na Internet e vinham sendo amplamente explorados por hackers e outros diversos habitantes do mundo virtual, com os mais diferentes objetivos. Solução: atualizar o firmware do equipamento, esperando que uma versão mais nova não contivesse a mesma “falha”, ou, melhor ainda, trocar de equipamento e de fabricante. Mas quem, senão técnicos experientes de informática, sabe atualizar um firmware de um equipamento? Mais ainda, quem ficou sabendo deste problema? E se o consumidor resolver trocar de equipamento e de fabricante, quem garante que o novo equipamento não terá o mesmo tipo de comprometimento?
– Na sequência deste caso, o analista fugitivo da NSA (National Security Agency), Edward Snowden, que ficou mundialmente conhecido por divulgar o monitoramento realizado pela agência nacional americana na Internet, publicou, entre diversos escândalos, que uma das principais empresas do mundo na área de criptografia de dados aceitou uma propina desta agência para incluir no código-fonte de um dos seus mais utilizados algoritmos de criptografia uma parte de código que possibilitava que esta agência quebrasse a criptografia criada a partir deste mecanismo. Algumas das maiores empresas do mundo, incluindo um dos maiores bancos brasileiros, investiram quantias enormes e utilizam-se em larga escala de equipamentos baseados neste código para validação de transações, assinatura e criptografia de e-mails, acesso a sistemas etc. Quem vai pagar o prejuízo de se alterar tudo isso?
– Em 2014, também em fóruns bem específicos, foi divulgado que o sistema embutido nas smartTVs de um grande fabricante mundial monitorava o uso destes equipamentos pelos consumidores, enviando à empresa informações sobre canais acessados, programas assistidos, filmes, sites, jogos e tudo mais que fosse feito a partir dessas televisões. O mais grave disso é que o consumidor tem a opção de desabilitar o envio de informações ao fabricante (um tanto escondida no menu de opções de configuração do equipamento), mas, mesmo que desabilitasse a opção, seus dados continuavam sendo enviados à sua revelia. Até o momento, não se sabe de nenhum desdobramento desta descoberta e de nenhuma providência pelas autoridades competentes.
– Um quarto problema, não menos grave, foi divulgado por uma conceituada empresa americana de segurança no início de 2014, como resultado de um estudo sobre um grande ataque efetuado na Internet na época das festas de final de ano, quando foram enviados mais de 750 mil e-mails de phishing (e-mails maliciosos com a finalidade de permitir a instalação de algum tipo de malware em computadores ou direcionar as pessoas para sites forjados, capturando dados pessoais como, por exemplo, informações de contas-corrente e cartões de crédito) e spam, a partir de uma botnet (rede de equipamentos remotos atuando conjuntamente para uma determinada finalidade, normalmente escusa). Botnets não são novidade e uma extensa luta tem sido travada contra a existência dessas redes, que, infelizmente, continuam a proliferar, pela falta de uma conscientização maior das pessoas em termos de segurança, assim como pela falta de atualização de sistemas e correção de suas vulnerabilidades. A grande diferença deste ataque é que faziam parte da botnet utilizada pelo menos 100 mil equipamentos inteligentes, entre routers de internet, centrais multimedia, televisões e pelo menos uma geladeira.
- Em 2015, houve recorde de ciberataques aos dispositivos da Internet das Coisas (IoT), com o surgimento de oito novas famílias de malwares. Esses ataques estão infestando um número crescente de dispositivos, sem que seus proprietários se deem conta. Apesar das previsões sobre o possível sequestro de automação e do controle do sistema de segurança de casas, o que se tem constatado é que os ciberatacantes estão mais interessados em adicionar os dispositivos invadidos a um botnet e usá-los para distribuir negação de serviço (DDoS) como o realizado semanas atrás.
E isso só pra citar os casos mais conhecidos e lembrados pelos profissionais de segurança!
De fato, a ideia de que este tipo de equipamento representa uma nova fronteira de riscos não surgiu agora. O problema é como tratar esses riscos. Uma boa parte destes dispositivos IoT tem controles de segurança pífios, quando têm; os consumidores não têm como detectar ou corrigir possíveis explorações de falhas de segurança; os fabricantes não estão trabalhando para melhorar a segurança dos equipamentos e o modelo de segurança implementado na maioria das empresas (e também das residências) não endereça este novo universo de forma adequada.
O prognóstico não é auspicioso para quem trabalha com Segurança da Informação: analistas acreditam que a Internet das Coisas ainda está na sua fase inicial e tem muito a evoluir. As empresas trabalham com foco numa gigantesca janela de oportunidade de ofertas de serviços e negócios. Segundo o Gartner, a IoT tem um potencial enorme para a geração de dados por meio dos quase 21 bilhões de pontos que deverão estar em uso em 2020.
O que pode ser feito?
Ao consumidor final sugerimos redobrar a atenção à sua privacidade. Cada vez mais as pessoas abrem mão deste direito primordial e fornecem de mão beijada nas redes sociais, por vaidade ou uma necessidade contemporânea crescente de exposição, informações que podem ser valiosas a quem queira lhes fazer mal. E antes de conectar sua geladeira ou qualquer dispositivo à Internet, verifique se isto é realmente necessário.
Às corporações, uma má notícia: contra a espionagem na Internet, infelizmente, não há muito a fazer a não ser ficar atento e tentar reduzir a sua exposição ao risco. Muito se fala em uso de software aberto, criptografia e soluções in house, inclusive no Governo Brasileiro, mas eu sou particularmente cético ao sucesso dessas iniciativas.
Para ficar só em um dos pontos, a infraestrutura e as tecnologias de conectividade amplamente utilizadas no Brasil e em todo o mundo são basicamente fornecidas por empresas americanas – o que sempre deixa a dúvida se estão ou não comprometidas com os esquemas de espionagem já conhecidos. O desenvolvimento de tecnologias nacionais de ponta também não é algo que aconteça da noite para o dia – ou seja, vai demorar a mudarmos este quadro.
Quanto a práticas corporativas de segurança e à implementação de controles para minimizar o risco que bate à porta, as iniciativas são diversas. Mas um consenso cada vez maior é de que não há um único caminho. Diversas estratégias precisam ser combinadas. Um passo importante é revisar suas políticas e normas de segurança para contemplar os novos comportamentos e a utilização dos smartgadgets nas empresas. Um segundo passo, não menos importante, é reforçar a conscientização das pessoas na organização, com foco principalmente na privacidade e na legalidade. E um terceiro passo é buscar as tecnologias que vão ajudar a conter o problema, cuja complexidade prevê uma implantação lenta e gradual.
Neste universo, despontam os NACs (sistemas de controle de acesso à rede), com foco no controle de acesso de dispositivos pessoais ou não padronizados, possivelmente combinados com sistemas de gerenciamento de dispositivos móveis (MDM, mobile devices management), que permitam o controle a distância destes equipamentos.
Mas não adianta fugir. Esta é a nova realidade. A partir do momento que todo equipamento ganha inteligência e passa a conversar com o ambiente, a segurança física precisará se unir à digital, que atualmente (e na maioria dos casos) encontra-se sob a responsabilidade dos departamentos de TI.
Uma coisa é um hacker invadir e derrubar sistemas ou roubar dados. Mas, o que acontecerá quando o alvo for um aparelho médico que mantém um paciente respirando? São infinitas as possibilidades de criarmos aqui cenários apocalípticos.
O Gartner afirma que isso trará uma carga extra sobre os ombros dos profissionais encarregados pelas medidas de proteção. E reforça que já chegou o momento desses profissionais começarem a se preparar para esse contexto.
O melhor a fazer, então, se você é o Gestor de Segurança da Informação da sua organização, é arregaçar as mangas e se por a trabalhar na implementação dos controles necessários o quanto antes.
(*) Maurício Taves é gerente de Operações da Módulo Security Solutions