julho 31, 2014

[Segurança] Internet das Coisas

A Internet das Coisas (em inglês "Internet of Things", ou "IoT") é uma tendência tecnológica que prevê a inclusão de poder computacional e conectividade em diversos objetos e equipamentos do dia-a-dia, tais como carros e aparelhos domésticos (automação residencial, geladeiras e TVs são os exemplos mais comuns).

Isso significa que, a cada dia, teremos mais dispositivos ao nosso redor coletando dados, acessando a Internet e compartilhando informação. Ou seja, já começamos a imaginar centenas, milhares ou milhões de novos dispositivos expostos na Internet, aguardando para serem hackeados.



Um pequeno artigo publicado recentemente no blog da RSA cita três preocupações sobre a adoção da IoT:
  • Segurança: geralmente a segurança não é priorizada no desenvolvimento de novos dispositivos ou serviços. Mas, quando pensamos em um equipamento doméstico que executa um programa, pode coletar dados e se conectar à Internet, surge o risco deste aparelho ser invadido ou comprometido, por falta de controles básicos de segurança. Isto pode facilitar o roubo de dados ou uso malicioso do dispositivo. Por exemplo, no início deste ano foi descoberta uma geladeira conectada a Internet que foi invadida e, por isso, fazia parte de uma botnet e enviava SPAMs. Recentemente pesquisadores de segurança conseguiram controlar uma lâmpada inteligente, pois ela era cntrolada via WiFi sem criptografia e com autenticação fraca, facilitando a re-engenharia de seus protocolos de comunicação e de controle. Idealmente, a segurança deveria fazer parte de um produto desde a sua concepção;
  • Interface e configuração limitadas: Muitos dos novos aparelhos da IoT não têm interface direta com o usuário, o que limita a capacidade do usuário de customizar configurações de privacidade e segurança, ou mesmo instalar softwares adicionais de segurança (como, por exemplo, anti-vírus);
  • Privacidade e guarda de dados: não sabemos como e onde os dados coletados por estes aparelhos serão armazenados, e assim surge a preocupação com a possibilidade destes dados serem roubados ou se a empresa que produziu o equipamento irá compartilhá-los com terceiros. Pense na situação em que o seu refrigerador pode conter dados sobre seus hábitos de consumo, que podem ser vendidos para empresas do setor alimentício. Ou pior: no início desde ano um pesquisador de segurança descobriu que as SmartTVs da LG coletavam dados dos clientes e os enviava para a LG.
Um sério problema é a invasão de um equipamento doméstico de forma que seja possível tomar controle dele, alterando seus comandos. Isto já aconteceu de forma até mesmo engraçada no ano passado: pesquisadores descobriram que uma "privada inteligente" muito popular no Japão (que pode ser controlada por um aplicativo no Android via Bluetooth) usava uma senha fraca para ser acessada, e assim qualquer pessoa poderia alterar os comandos da privada do vizinho.



Mas os problemas de segurança não se aplicam somente a aparelhos domésticos, na nossa cozinha ou no banheiro de casa. Os problemas começam a ficar especialmente graves quando tratamos de aparelhos médicos ou vislumbramos a crescente automatização de automóveis e pensamos nos riscos que podem surgir caso alguém obtenha acesso remoto a um marca-passo, uma bomba de insulina ou um carro.

E isto não é ficção científica. Recentemente, por exemplo, pesquisadores chineses conseguiram hackear um carro da Tesla Motors e, com isso, controlar funções vitais (incluindo abrir portas e janelas) enquanto o carro estava em movimento. O vídeo abaixo, de 2013, mostra dois pesquisadores de segurança demonstrando para um jornalista da Forbes como eles conseguiram obter controle total de um carro.



De vez em quando ouvimos notícias de problemas de segurança em aparelhos domésticos conectados na Internet. A tendência é cada vez surgirem mais desses problemas na medida em que popularizarem as tecnologias e produtos relacionados a IoT. Isso porque os fabricantes de software e hardware ainda não se acostumaram a aplicar boas práticas e cuidados básicos de segurança durante o projeto e desenvolvimento de novos produtos. O OWASP (Open Web Application Security Project), por exemplo, tem muito material que descreve boas práticas no processo de desenvolvimento, que eliminam pelo menos os erros mais rudimentares.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.