RFID Artigos

Internet das Coisas inseguras

Poderiam as estrelas hackeadas de Hollywood, inadvertidamente, ter inaugurado uma fundação pela melhor segurança dos bilhões de dispositivos da Internet das Coisas?

Por Mary Catherine O'Connor

9 de setembro de 2014 - A emergente Internet das Coisas (IoT, do inglês Internet of Things) está cheia de buracos de segurança e permanecerá assim até que a própria Internet seja melhor protegida. De acordo com The Economist, em 2013 mais de 800 milhões de registros digitais, tais como informações de cartões de crédito e débito, "foram capturados ou perdidos, três vezes mais do que em 2012".

Bem antes de Tony Fadell ter feito aNest, a casa dos termostatos de iPod, e muito antes de o Google ter adquirido a mesma Nest por US$ 3,2 bilhões, os especialistas de segurança cibernética já estavam levantando bandeiras vermelhas sobre as vulnerabilidades em torno de dispositivos conectados à internet. Assim como o número, forma e ubiquidade dos dispositivos conectados à internet, as preocupações também cresceram. No ano passado, o grupo Fortify on Demand, da Hewlett Packard, que oferece serviços de segurança, iniciou uma campanha de sensibilização em torno de uma lista das 10 maiores vulnerabilidades de segurança da IoT. Esta lista variou de configurações de segurança que não possuem opções de configuração para as questões centrais em torno da insegurança da web, celular e interfaces baseadas em nuvem. Este ano, a Fortify on Demand colocou suas teorias para testar, analisando as características de segurança (ou a falta delas) em 10 aparelhos populares em alguns dos nichos mais comuns da Internet das Coisas.

Enquanto os itens não foram nomeados, as suas categorias de produtos foram listadas: televisão, webcam, termostato residencial, tomada elétrica, controlador de aspersão, hub de gerenciamento de dispositivos, fechaduras de portas, alarmes de casa e a porta da garagem. O resultado? O grupo descobriu que 80 por cento dos dispositivos testados levantaram preocupações com a privacidade ou com o uso de senhas fracas, 70 por cento não criptografam a comunicação com a internet em servidores locais e 70 por cento empregam interfaces inseguras ou falta criptografia para atualizações de software.

O grupo concluiu: "O estado atual da segurança da Internet das Coisas parece tornar todas as vulnerabilidades dos espaços existentes, por exemplo, segurança de rede, segurança de aplicativos, segurança móvel e dispositivos conectados à internet e combiná-los em um novo espaço (e mais inseguro), o que é preocupante. "

Como se as preocupações com a segurança não precisassem de mais nenhuma validação, o foco deste ano da Black Hat Security Conference foi – isso mesmo ! – a IoT.

Em seguida, ao longo do fim de semana, algo transpirou que pode realmente forçar os fabricantes de bens de consumo conectados à internet a colocar seus planos de segurança em alta rapidamente: um hacker – ou hackers – revelou fotos de Jennifer Lawrence nua e uma série de outros jovens de Hollywood e estrelas da música.

O hacker explicou, em um fórum web, que tinha puxado pelo menos algumas das imagens pelo serviço de cloud-computing Apple iCloud. A Apple, então, liberou um comunicado na semana passada alegando que as fotos não foram roubadas devido a uma violação de qualquer dos seus sistemas. Mas uma matéria no blog de segurança da Wired.com (veja em The Celebrity Photo Hacks Couldn't Have Come at a Worse Time for Apple) observa que uma suíte de software contra quebra de senha do iCloud foi lançada em um fórum popular software de fonte aberta neste fim de semana. Claro que o consumidor médio deve ficar muito mais preocupado com as garantias que cercam os seus dados financeiros ou endereços de casa online do que sobre suas fotos pessoais picantes. Mas, gostemos ou não, o assunto inspira manchetes.

Se uma senha for hackeada e havia informações pessoais que estavam ligadas a um dispositivo IoT - como um termostato inteligente, digamos, ou uma ferramenta de rastreamento – foi pela fragilidade do sistema para ser invadido ou por uma fraqueza na arquitetura de senhas? Se um dispositivo de IoT envia dados pessoais relativos a um consumidor para a nuvem, a segurança que usa para armazenar essas informações na nuvem e a segurança que emprega no dispositivo IoT, propriamente dito, são igualmente importantes.

Este escândalo com hacker também representa uma oportunidade para os diferentes grupos da indústria da Internet das Coisas que surgiram nos últimos meses: AllSeen Alliance (Sony, Qualcomm e Microsoft), Open Interconnect Consortium (Intel, Broadcom e Samsung) e Thread Group (Nest e Samsung). Todos devem se reunir e usar seu poder coletivo para construir protocolos de segurança robustos em torno da Internet das Coisas. A AllSeen Alliance construiu uma plataforma IoT open-source e o Open Interconnect Consortium tem o seu próprio em construção. Por sua vez, o Thread Group está focado na interoperabilidade entre os dispositivos da Internet das Coisas.

As três organizações da segurança precisam estar trabalhando nessa peça fundamental em uníssono. Além disso, enquanto o Google está envolvido por associação com a Nest, um grande player de IoT está ausente destes grupos industriais: a Apple. E com o lançamento próximo do iPhone 6, as fotos de celebridades hackeadas não são uma boa notícia.

Com as medidas de segurança se fortalecendo pode significar que os consumidores tenham de esperar alguns meses a mais pelos produtos da Internet das Coisas. Mas compensa quando se trata de dispositivos de missão crítica que podem ser mais fracos do que as versões analógicas que estão substituindo, como trincos mecânicos de portas.

Quando perguntado sobre onde devemos traçar a linha sobre o estado atual das medidas de segurança que protegem os dispositivos conectados à internet, Timothy Ryan, diretor-gerente da Kroll, empresa de ciber-segurança para investigações de software, disse à Bloomberg TV: "depende do que estou tentando proteger. Se é a câmera de segurança fora da minha casa, não é grande coisa. Se são as fechaduras para entrar na minha casa, isso é um grande negócio. Assim, a segurança em torno dessas fechaduras precisa ser mais do que uma câmera de segurança apontando para si".

Ryan disse que definitivamente não confiaria em um dispositivo médico ligado à Internet das Coisas, com base no estado atual da segurança da IoT. Além do mais, ele mesmo pediu o envolvimento do governo em tais dispositivos, sugerindo uma "versão eletrônica do FDA".

Com certeza, a sugestão de regulamentação pelo governo vai dar medo em empresas que estão tentando acelerar o lançamento no mercado de produtos para a Internet das Coisas.

  • « Anterior
  • 1
  • Próximo »