Então,
o que eu levei da IPEXPO deste ano?
Em primeiro lugar,
que o Excel fica a quilômetros de distância de Paddington. Na verdade, tão longe que eu estava tentando
encontrar a cabine do vagão-cama na linha Jubilee! Mas, falando sério, o conteúdo
mais envolvente do show para mim foi todo relacionado à segurança e, mais especificamente, como
a IoT está impactando a segurança.
A IoT – Internet das
Coisas.
Primeiramente, gostaria de esclarecer o que é essa nova palavra da moda, já que todos os fornecedores agora parecem
ter algum vínculo tênue com uma “estratégia de IoT”. Ela está em todos os lugares no momento,
e as tentativas de se tornar um movimento da IoT têm sido ainda mais flagrantes do que os esforços ridículos
das equipes de marketing de alguns fornecedores para forçar um alinhamento com uma estratégia de SDN.
Em termos simples, IoT significa muitos dispositivos
conectados à Internet.
Não é
tão revolucionário como nos fizeram acreditar, mas queremos dizer MUITOS
dispositivos… bilhões… na verdade, a Gartner estima que, até o final do ano passado,
havia 3,8 bilhões de coisas conectadas por aí. E, por dispositivos, não nos referimos apenas a computadores,
telefones, tablets etc. Referimo-nos a máquinas de lavar, torradeiras, chaleiras, milhões de
sensores ambientais que medem coisas como temperatura, monóxido de carbono e
até brinquedos sexuais! E sim, devemos continuar a questionar o real valor para o usuário final
de ter uma torradeira conectada à Internet. Os críticos dirão que é totalmente inútil
e eles podem muito bem estar certos, mas não vamos nos esquecer de que muitos céticos disseram a mesma coisa sobre a
Internet nos primeiros dias.
A
popularidade contínua da IoT inevitavelmente significa que milhares de novos fornecedores
surgirão, criando algum dispositivo conectado à Internet juntamente com algum aplicativo para
fazer algo legal (ou não tão legal) e útil (ou não tão útil).
Então,
onde a segurança entra em jogo?
Pense em um cenário cotidiano de implantação de um desses novos dispositivos. Empolgados
com a perspectiva de liberar nosso mais novo brinquedo, abriremos a caixa e, em uma
pressa para colocá-lo na rede, nos conectaremos a ele por Bluetooth (provavelmente
usando 0000 ou 1234 como pin), digitaremos a senha sem fio e pronto
agora podemos falar com ele. (Isso depois de registrar todos os nossos detalhes com o fornecedor do
on-line, é claro). O aplicativo gráfico elegante
e a marca incrível nos darão a certeza de que se trata de um produto de qualidade
.
No entanto, na
realidade, acabamos de destruir nosso modelo de segurança de rede doméstica. Por quê? Bem,
se você fosse falar sobre segurança, provavelmente assumiria que ter um roteador
/ Firewall o torna seguro. (Supondo
, é claro, que sua senha não seja o nome de seu animal de estimação/namorada/namorado
ou, pior ainda, deixada como padrão!)
Vamos
fazer algumas suposições razoáveis de que as empresas de segurança sabem mais sobre
segurança do que os fabricantes de “brinquedos”. Portanto, se alguém quiser invadir sua rede doméstica
talvez atacar as torradeiras e outros brinquedos/dispositivos de IoT seja mais fácil do que
o firewall.
O hacker ético
Ken Munro, da
Pen Test Partners, publicou um ótimo exemplo
desse tipo de vulnerabilidade.
Ele
invadiu a boneca de uma criança que armazenava a chave Wi-Fi em texto simples. Ele conseguiu extrair
a chave e obter acesso à rede sem fio. Quando um hacker entra na rede
, ele pode fazer praticamente o que quiser.
Você
pode estar lendo isso se sentindo bastante seguro porque não tem muitos dispositivos conectados à Internet
. Munro também descobriu vulnerabilidades
em dispositivos comuns, incluindo o controle remoto de voz em uma TV Samsung que, na verdade,
grava suas conversas. Se isso não for chocante o suficiente, o que você acha de enviar
essa conversa de voz pela rede sem criptografia?
Então,
, qual é a resposta?
Em primeiro lugar,
você precisa se educar. Os consumidores precisam entender que todo dispositivo
que conectam à rede, por menor que seja, é um risco potencial à segurança
. Eles precisam buscar alguma garantia de que o dispositivo é “seguro” (de preferência
testado de forma independente) ou, pelo menos, demonstrar que a segurança foi uma séria
consideração no projeto e na arquitetura.
Os fornecedores
precisam levar a segurança, especialmente no espaço doméstico do consumidor, mais
a sério. Os dispositivos e aplicativos precisam ser baseados em projetos em que um modelo de segurança e privacidade
decente seja inerente, e não uma reflexão posterior.
Enquanto
estamos nisso, vale a pena mencionar que isso NÃO é difícil. Não se espera que os fornecedores de IoT
inventem novos protocolos de segurança inovadores aqui!
Vamos
começar com algumas noções básicas.
- Todas as comunicações devem ser seguras – por que não usar apenas SSL?
- Os dados armazenados localmente devem ser criptografados
- As senhas padrão devem ser sempre alteradas (nada de novo aqui)
- Garantir que o código local seja ofuscado
- Não colete/armazene dados, a menos que sejam essenciais para a função do dispositivo
.
A
IoT é extremamente empolgante e tem o poder de aprimorar positivamente a maneira
como vivemos nossas vidas, desde pequenas eficiências domésticas até
grandes soluções que mudam o setor. Certamente é fácil se deixar envolver pelo
hype do “tudo é possível”, mas para que possamos aproveitar com segurança os
benefícios dessas tecnologias inteligentes, precisamos voltar ao básico e fundamentar
nossa inovação em segurança.
