A (in)segurança da Internet das Coisas é algo que, infelizmente, está entre os assuntos mais discutidos na atualidade. Com mais frequência, vemos a ocorrência de ataques que afetam dispositivos IoT ou a ocorrência de falhas que as empresas de tecnologia tentam corrigir rapidamente com um patch. No entanto, focados em incorporar novos recursos e tornar os dispositivos mais fáceis de usar e conectáveis, os fabricantes acabam esquecendo quase completamente um fator crucial: a segurança dos dispositivos.
Os usuários estão cientes dos problemas de segurança que afetam os dispositivos IoT. E isso é demonstrado por uma pesquisa realizada pela ESET, onde 70% dos participantes consideraram que esse tipo de dispositivo não é seguro, principalmente em termos de privacidade - que é a principal preocupação. No entanto, 62% destacaram que não deixariam de comprar esse tipo de tecnologia por esse motivo.
Segurança em dispositivos IoT: um problema de números
Como os ataques aos dispositivos IoT começaram a se tornar cada vez mais comuns, perguntas sobre sua segurança começaram a se concentrar em quando o próximo ataque aconteceria e com quantos dispositivos os invasores contariam, em vez de quais medidas de segurança seriam implementadas para evitá-los.
Temos tão assimilado que a IoT apresenta poucas garantias de segurança que não deveria nos surpreender notícias sobre um aumento no investimento em soluções de segurança, como foi revelado por um estudo recente, em que afirmam que os gastos com segurança para a Internet das Coisas crescerão 300% entre 2018 e 2023.
Esses dispositivos conectados de forma insegura representam um problema sério, precisamente porque as vulnerabilidades existentes podem ser facilmente exploradas pelos criminosos para criar botnets e usá-las para seu benefício próprio. De ataques de negação de serviço, como o Mirai, à mineração de criptomoedas, as possibilidades para os invasores são numerosas e, atualmente, não irão faltar dispositivos vulneráveis para que possam ser aproveitados. Por exemplo, há alguns meses, o caso de roubo de dados em um cassino que foi vulnerado por meio de um termostato inteligente em um aquário, onde cibercriminosos conseguiram se infiltrar na rede e acessar o banco de dados do cassino, roubando informações como os nomes de grandes apostadores para, em seguida, enviá-las à nuvem.
Privacidade: o problema mais comum em dispositivos IoT
Desde Smart TVs a brinquedos conectados, através de câmeras IP, dispositivos de gravação e todos os tipos de dispositivos imagináveis, estima-se que milhões desses dispositivos podem ser vítimas de um ataque que aproveita as vulnerabilidades existentes sem correção ou uma péssima política de gestão. Conhecer os benefícios que um invasor pode obter com essa implementação insatisfatória é um assunto com o qual devemos nos preocupar seriamente.
Para dar um exemplo da lacuna em termos de segurança que existe em torno da Internet das Coisas, no início deste ano, o especialista em segurança da ESET, Tony Anscombe, realizou uma pesquisa (que levou ao desenvolvimento de um white paper) na qual analisou doze produtos IoT projetados para a criação de uma casa inteligente. A partir de sua análise foi possível confirmar que cada um dos dispositivos testados apresentaram algum problema com relação à privacidade, embora um assistente de voz tenha sido o que gerou a maior preocupação por causa do medo generalizado de que os serviços comerciais compartilhassem mais informações do que o necessário e que isso permitisse que cibercriminosos se aproveitassem da proteção insuficiente dos dados armazenados.
Soluções definitivas ou patches temporários
Dessa forma, podemos nos perguntar se esta situação perigosa tem alguma solução antes de que ocorra um incidente ainda mais grave. Poderíamos até mesmo dividir os dispositivos IoT entre os que incluem poucas medidas de segurança (ou até mesmo nenhuma) e os que podem ser configurados e atualizados para corrigir possíveis vulnerabilidades.
Embora seja possível mitigar algumas das consequências fatídicas de ter um dispositivo vulnerável, este caminho não é o ideal e, inclusive podendo realizá-lo, muitos usuários preferem não modificar nada no dispositivo enquanto estiver funcionando corretamente. É neste ponto que devemos abordar as duas possibilidades que temos para fazer com que a Internet das Coisas seja algo mais seguro do que é atualmente.
Por um lado, temos aqueles dispositivos que não permitem uma configuração segura ou que foram abandonados pelos fabricantes. Nesses casos, é melhor monitorar seu comportamento, não analisando o dispositivo em si, mas as conexões que ele faz. A maioria dos ataques de hoje permitem emitir ordens através do Centro de Comando e Controle (C&C) de modo que, se o cibercriminoso tem uma poderosa inteligência de ameaças pode bloquear essas comunicações entre dispositivos infectados e criminosos, impedindo assim que eles se aproveitam deles para seu benefício.
Além disso, temos regulamentos e normas que poderiam forçar os fabricantes a alocar mais recursos para tornar os dispositivos mais seguros, ao invés de focar no lançamento de revisões de produtos em pouco tempo. Este caminho é muito mais longo e caro, já que não se trata apenas de identificar quais são as medidas mínimas que deveriam aplicar em um mundo que muda a todo momento como é o da segurança da informação, mas também tem que cumprir com a legislação de cada país mundo seria, algo que não é tão simples.
Seja qual for o método selecionado para tentar resolver este problema, a verdade é que todos os envolvidos devem pensar em uma solução. Dos fabricantes aos usuários, passando pelos legisladores e pelos pesquisadores que descobrem as vulnerabilidades. Além disso, os processos de revisão devem ser constantes para estarem atualizados em relação às ameaças e ataques existentes.
Conclusão
Seja qual for a solução adotada, o que está claro é que não podemos esperar para colocar os freios em um problema que é bastante grave e que pode causar muitas dores de cabeça no futuro. O que temos visto até agora é apenas a ponta do iceberg do que essa má gestão e implementação da Internet das Coisas pode causar e devemos trabalhar juntos para evitar consequências piores. Esperamos que os sinais de um maior investimento em segurança para a Internet das Coisas sejam o começo de uma nova etapa.