A Internet de Todas as Coisas, uma termo que define os sistemas emergentes de dispositivos sem fio como, por exemplo, termostatos, automóveis e óculos de realidade virtual tornou-se uma grande oportunidade de negócios para os desenvolvedores de tecnologia e um alvo principal para os ciber-criminosos. No evento Consumer Eletronic Show de 2014, o CEO da Cisco John Chambers estimou que a IdTC (Internet de Todas as Coisas) pode se transformar em um mercado de $19 trilhões de dólares nos próximos anos. McKinsey projetou que as aplicações da IdTC podem gerar $33 trilhões de atividade econômica até 2025, enquanto o Gartner pensa que seu impacto pode ser de, aproximadamente, $2 trilhões em 2020. Mas, conforme os desenvolvedores e o público se tornam mais familiares com a IdTC, estarão preparados para o risco associado a esta infraestrutura mais inteligente e interconectada?
A segurança tem sido pouco considerada no cenário das tecnologias da IdTC
A IdTC já está por aqui, embora os consumidores ainda não percebam devido à maioria dos dispositivos ainda serem usados por poucos usuários de nicho. Por exemplo, os stands da CES (Consumer Electronic Show) deste ano estavam repletos de dispositivos para atividade física e saúde que seguem os passos da pulseira Nike+. Estes gadgets tiveram muita atenção da imprensa, mas ainda não capturaram o interesse do público na mesma velocidade dos smartphones e tablets.
Porém, gigantes da tecnologia estão apostando que os consumidores passarão a prestar mais atenção aos dispositivos IdTC. Vejam o Google, por exemplo. Recentemente comprou a Nest, uma empresa que produz termostatos conectados à Internet para adquirir mais conhecimento de hardware para a IdTC. Outro exemplo é o Facebook que, recentemente, comprou a Oculus, a criadora de um headset de realidade virtual especializado em jogos de vídeo. Existe um campo fértil para as tecnologias da IdTC, mas a segurança tem tido pouca atenção.
O pesquisador da Trend Micro Robert McArdle afirma que a Realidade Aumentada, em particular, pode se tornar um alvo em 2014, em parte porque seu uso ainda está mal adaptado ao celular. McArdle destaca a inovação do Oculus Rift, assim como a tendência dos ciber-criminosos atacarem os gamers. Ataques recentes de denegação de serviço a jogos como League of Legends e o comprometimento da Sony PlayStation Network em 2011 demonstram o perigo e, também, como a RA (Realidade Aumentada) e a IdTC podem abrir novas vulnerabilidades.
“A RA funciona melhor com uma imersão total – e é por isso que tecnologias como Google Glass e SpaceGlasses estão conquistando espaço”, cita McArdle. “Existem muitos ataques técnicos e, mesmo, psicológicos que podem ocorrer contra esses dispositivos. Por exemplo, donos desses dispositivos estão (quase literalmente) andando com uma camera anexada à sua cabeça. Não seria ficção científica imaginar que criminosos especializados em malware bancário descubram que esta é uma excelente ferramenta para capturar senhas e códigos bancários”.
Estes perigos específicos – que podem trazer as capacidades técnicas dos códigos maliciosos de desktop e de dispositivos móveis para a IdTC – estão fora do nosso horizonte, por enquanto. O pouco entusiasmo dos consumidores por dispositivos IdTC limita o público para o ataque, tornando-o pouco atrativo para os ciber-criminosos dedicarem recursos a hackear dispositivos de RA ou smart watches. Contudo, existem partes menos glamorosas da IdTC que já estão sob ataque, mostrando vulnerabilidades que podem trazer sérios problemas no futuro, quando o uso da IdTC for massivo.
Telefones VoIP e roteadores vulneráveis
A insfraestrutura de rede é a base da IdTC. Conforme mais dispositivos se conectam à rede, a exigência para a segurança de roteadores e switches aumenta, em conjunto com os próprios dispositivos.
Mesmo que a Cisco reconheça o potencial da IdTC, a gigante das redes teve problemas de segurança com vários controladores de rede sem fio. Antes das atualizações, era possível comprometer o hardware e usar a rede para executar um ataque DDoS ou, até mesmo, para ganhar acesso privilegiado. De forma parecida, a recentemente descoberta ameaça Moon Worm causou dor de cabeça, no último mês, a alguns usuários de roteadores antigos da Linksys. Ela explorava uma vulnerabilidade que enganava a autenticação e passava a controlar o roteador e a usá-lo para se replicar.
Estes incidentes mostram os desafios de proteger a IdTC, uma vez que a ciber-segurança neste contexto significa monitorar e responder a ameaças que podem explorar uma rede, dispositivo, aplicação ou uma combinação de tudo isto. Em outras palavras, os profissionais de segurança deve ter uma abordagem holística e também buscar ajuda dos fabricantes dos equipamentos. Eles precisam verificar os dispositivos do dia-a-dia que podem não ser considerados como IdTC como, por exemplo, telefones VoIP.
Lily Hay Newman a blogger líder do Slate postou sobre a falta de segurança dos dispositivos IdTC, afirmando que os procedimentos de correção de vulnerabilidades típicos dos PCs ou smartphones provavelmente não podem ser aplicados aos dispositivos de rede. Dispositivos como telefones VoIP podem servir como uma rota de entrada fácil para que atacantes explorem a infraestrutura da IdTC.
“As empresas podem liberar atualizações de segurança ou correções quando sabem das vulnerabilidades de seus dispositivos, mas quem fará uma atualização do software de seu refrigerador?”, pergunta Newman. “O problema é particularmente preocupante em um mercado onde existem roteadores de Internet em cada escritório ou em cada casa e um telefone VoIP em cada mesa. Mesmo se os atacantes não conseguirem invadir seu computador porque está protegido por um antivírus, eles ainda podem ver e ouvir seu escritório hackeando seu telefone VoIP ou unidade de vídeo”.
Proteger a IdTC requer atenção aos roteadores e telefones e, também, a outra infinidade de hardwares, não apenas aos inovadores headsets de RA ou dispositivos de atividade física. Ao focar nesta velha infraestrutura primeiro, fabricantes e empresas podem descobrir o escopo completo para proteger a IdTC. Usar ferramentas de proteção e seguir boas práticas como, por exemplo, alterar a senha de um dispositivo, ainda é relevante, mas as equipes de segurança devem ser conscientes das vulnerabilidades únicas advindas da IdTC.