Internet das coisas ruins: a nova preocupação com segurança
Fabricantes de appliances aos consumidores não dedicaram muito tempo ou energia sobre segurança. Isso fazia sentido quando geladeiras, termostatos domésticos e lâmpadas não compartilhavam dados ou estavam amarrados em uma rede global de aplicativos de devices.
E então chegou a internet das coisas (IOT, na sigla em inglês) e de repente a segurança passou a ser importante. A IOT consiste de 20 bilhões de aparelhos conectados em 2013 e 32 bilhões em 2020, segundo a IDC. O “boom” dos objetos habilitados para ela, com sensores, é um prato cheio para hackers, cujos ataques direcionados começam a vir à tona.
Em janeiro, a provedora de segurança Proofpoint anunciou que tinha descoberto um ciberataque com base na IOT que disparava spam três vezes ao dia. O que fez desse ataque único é que 25% do volume foi enviado por aparelhos de consumo comprometidos, como roteadores domésticos, televisores e até mesmo uma geladeira.
Em marco, um pesquisador de segurança, Nitesh Dhanjani, olhou a fundo o potencial de ameaças à segurança dos proprietários de um carro elétrico Tesla.
O ataque de phishing e spam mencionado pela Proofpoint envolvendo bots em aparelhos domésticos pode ser o primeiro de muitos alertas a desenvolvedores e fabricantes de IOT, segundo o vice-presidente sênior e engenheiro diferencial da CA Technologies, Scott Morrison. “Hackers estão sempre olhando para outro lugar onde podem disparar imensas quantidades de spam. E se você pode fazer isso com geladeiras, quem teria pensado nisso antes? Então foi um ataque muito inteligente com um objeto da internet das coisas”, analisa.
Morrison tem grande conhecimento sobre interfaces de programação de aplicações (APIs). Um ano atrás, a CA Technologies adquiriu a Layer 7 Technologies, onde ele era chief technical officer. “Um dos motivos pelos quais a CA comprou a Layer 7 era ganhar a experiência em gestão de segurança de APIs”, explica. “APIs, outra palavra da moda que está por aí, são a tecnologia usada para amarrar as aplicações e fazer com que elas compartilhem informações”.
Dois recursos amigáveis ao consumidor, o baixo custo e a simplicidade, podem representar um problema para a IOT. Embarcar tecnologia de conexão em aparelhos voltados ao consumidores com baixa margem tende a ser uma fórmula para criar um device com vulnerabilidades em potencial, diz Morrison. “Você está construindo uma [conectividade de] internet mais como um recurso de um aparelho regular, do que um fim em si. E isso tende a tirar a ênfase das práticas de segurança boas e sólidas que colocamos ao construir um website ou algo assim”, explica.
A corrida para colocar devices conectados no mercado não está ajudando também. “O grande problema que vemos nesses dias é que, em tantos casos, as pessoas estão se apressando para ter os produtos na prateleira, sem colocar o tempo e o esforço em realmente protege-los no up front”, critica. “Não é que não sabemos como fazer. É que simplesmente não estamos fazendo”.
O recente furor em torno do Heartbleed na biblioteca de criptografias OpenSSL pode ajudar a dar uma luz à segurança da IOT. Mas ainda é preciso muito trabalho.
“O que é interessante sobre o Heartbleed é que estamos escutando muito sobre grandes websites onde pessoas estão rapidamente criando patches para o código e enviando notificações dizendo ‘estamos protegidos’”, conta. “Mas não estamos escutando muito sobre como os aparelhos com tecnologia de IOT embarcada podem potencialmente ser afetados. Claro, OpenSSL é amplamente usado em todos os tipos de coisas – desde roteadores sem fio e consoles administrativos de impressoras ou coisas assim”, dispara.