Header Ads

A Internet das Coisas precisa avançar na segurança como avança na inovação

Por Cláudio Braghini e Renato Andalik

A internet das coisas, também chamada de IoT (sigla em inglês para Internet of Things), é a tecnologia que permite conectar à web diversos dispositivos eletrônicos do cotidiano. Esses dispositivos podem gerar dados sobre uso, manutenção e localização. Essas informações podem melhorar o desempenho, reduzir desperdícios e antecipar erros.

Estima-se que até 2025 serão mais de 50 bilhões de dispositivos conectados, e esse mercado movimentará de US$ 4 trilhões a US$ 11 trilhões. Os países em desenvolvimento devem responder por cerca de 38% da cifra. O Brasil deseja ser pioneiro na implantação dessa tecnologia na América do Sul.

O MCTIC (Ministério da Ciência, Tecnologia, Inovações e Comunicações) lançará no segundo semestre de 2017 o Plano Nacional da Internet das Coisas. O documento será o primeiro guia para implementar a tecnologia no Brasil. Os modelos colocados em prática em outros 12 países, como EUA, Coreia do Sul e Alemanha, serão usados como base.

Entretanto, o maior problema hoje com os projetos de IoT está relacionado à pressa exibida por muitos fabricantes no anseio de preencher o vazio do mercado, mas com total desprezo para a segurança desses dispositivos.

Os pesquisadores de segurança estão trabalhando duro para identificar vulnerabilidades associadas a muitos dos produtos IoT existentes, porém nem todas as vulnerabilidades serão identificadas e corrigidas antes de um ator mal-intencionado fazer uso delas.

A Rapid7 publicou recentemente um relatório sobre exposições e vulnerabilidades de babás eletrônicas conectadas. Neste relatório, eles descreveram um conjunto de vulnerabilidades potencialmente exploradas com base em acesso físico ao dispositivo, acesso direto à rede local (LAN) e através da internet. Pode-se imaginar o risco que isso causa a privacidade ou segurança de uma residência e de seus ocupantes?

A VTech, fabricante de brinquedos educativos de alta tecnologia para crianças, como dispositivos de aprendizado eletrônico, anunciou que sofreu uma violação de segurança em dezembro de 2015, expondo dados pessoais de 12 milhões de pessoas. O interessante deste evento foi que os próprios dispositivos não foram comprometidos. No entanto, os serviços online com os quais os dispositivos se conectam não estavam suficientemente protegidos.

Especificamente, um relatório afirmou que a violação explorava uma vulnerabilidade de injeção SQL e os serviços de registro de conta não usavam TLS. Considere que essas vulnerabilidades não estavam relacionadas a falhas nos próprios dispositivos IoT, mas sim a falhas descobertas na infraestrutura que suporta os dispositivos. Os dispositivos IoT não operam no vácuo, eles são parte de um ecossistema muito maior que também deve ser assegurado de forma adequada.

Os wearables, ou dispositivos vestíveis, também estão vulneráveis. Um estudo feito pela Open Effect mostrou que muitos fabricantes de dispositivos vestíveis ainda não tinham aproveitado os novos recursos de privacidade projetados na especificação Bluetooth 4.2. Verificou-se que o rastreamento de uma pessoa com um wearable era teoricamente possível.

Outra grande preocupação está relacionada à segurança de dispositivos médicos conectados. Em 2008, antes mesmo da disseminação da IoT, o pesquisador Daniel Halperin e seus colegas publicaram o documento intitulado “Pacemakers and Implantable Cardiac Defibrillators: Software Radio Attacks and Zero-Power Defenses”. Este documento abordou os dispositivos médicos implantáveis reprogramáveis através de conexão sem fio (IMDs), que incluem marca-passos, desfibriladores e bombas de drogas implantáveis. Os pesquisadores descreveram não apenas questões de privacidade associadas a esses dispositivos, mas também a capacidade de alterar as configurações do dispositivo, modificar ou desativar terapias e até mesmo oferecer um choque elétrico fatal ao paciente.

A pressão, contudo, para estarmos “na moda tecnológica”, para que sejam obtidas certas conveniências que aparecem na mídia, em sites especializados ou mesmo para “criar um showroom tecnológico”, fará com que muita gente coloque as novidades de maneira rápida, sem pensar nas consequências.

Em vista de todos esses problemas, a Cloud Security Alliance publicou um guia de boas práticas para desenvolvimento seguro de projetos de IoT chamado “Future-proofing the Connected World - 13 Steps to Developing Secure IoT Products”. O documento é resultado do trabalho realizado pelo grupo IoT Working Group e foi criado para auxiliar desenvolvedores de produtos e serviços relacionados a IoT a entenderem as medidas básicas de segurança que devem ser implementadas durante o processo de desenvolvimento.

O documento possui aproximadamente 70 páginas e aponta 13 considerações e diretrizes para mitigar alguns dos principais problemas encontrados no desenvolvimento de dispositivos IoT. Adicionalmente, também apresenta uma discussão sobre os principais desafios de segurança para IoT, os resultados de uma pesquisa conduzida pelo grupo de trabalho, uma discussão sobre as opções disponíveis para segurança, entre outros temas.

Além disso, recomendamos que, ainda na fase de desenho, profissionais com conhecimento de segurança da informação participem do projeto, para que pelo menos as vulnerabilidades conhecidas sejam mitigadas ainda no projeto. Assim, poderemos sonhar em projetos de IoT com segurança além dos óbvios benefícios.

Cláudio Braghini é especialista em tecnologia e processos de negócios, diretor de Relacionamentos e Negócios na Ertech Systems e diretor de Operações na InfoA2 Evolution

Renato Andalik é especialista em tecnologia e cibersegurança e diretor da Ertech Systems, empresa brasileira especializada em suporte técnico, gestão de infraestrutura e segurança da informação

Nenhum comentário

Tecnologia do Blogger.