Topo

Grupo traça princípios e práticas para proteger a Internet das Coisas

Cristina De Luca

16/11/2019 16h02

Os dispositivos Internet das Coisas (IoT) oferecem inúmeras oportunidades para melhorar a produtividade, o crescimento econômico e a qualidade de vida. Pense em cidades inteligentes, carros autônomos e as maneiras pelas quais os dispositivos médicos conectados podem monitorar nossa saúde. O crescimento potencial da IoT é praticamente infinito. Mas com as oportunidades surge uma quantidade significativa de riscos.

A segurança de nossos dispositivos e redes da Internet das Coisas é fundamental para nossa saúde e segurança. Sem segurança apropriada, nossos dispositivos de IoT podem vazar informações – nossos locais físicos e comportamento, nossos dados pessoais sensíveis, pontos de acesso a nossas casas, locais de trabalho e famílias – em mãos inseguras.

Um estranho pode invadir um feed de vídeo configurado para monitorar crianças ou animais de estimação. Um agressor pode rastrear a localização de um ex-parceiro por meio de uma configuração de alarme residencial. Um ladrão pode mapear um layout doméstico através de dados de um vácuo automatizado. Os ataques de ransomware podem desligar serviços públicos, serviços públicos e empresas, expondo até cidadãos e empresas que não usam dispositivos conectados à Internet.

O grande problema é que muitos dispositivos de IoT carecem de recursos de segurança básicos. Lembra das câmeras de vigilância chineses responsáveis por um dos maiores ataques de negação de serviço (DDoS) da história?

Para ajudar a tornar a IoT mais segura, agências governamentais, organizações não-governamentais e outras organizações e especialistas decidiram criar a IoT Security Policy Platform.

Nas última quinta-feira, 14 de novembro, esse grupo divulgou suas primeiras recomendações:

  1. Garantir que a segurança seja incorporada em todas as etapas do projeto, desenvolvimento e ciclo de vida, incluindo avaliações de riscos, testes de segurança e avaliação;
  2. Garantir que dados pessoais e críticos estejam protegidos;
  3. Facilitar aos usuários a exclusão de dados pessoais.

E identificou etapas práticas para colocá-las em prática. Os fabricantes de dispositivos IoT devem:

  • Implementar uma política de divulgação de vulnerabilidades;
  • Deixar claro para os consumidores qual o período mínimo de tempo em que um dispositivo receberá atualizações de segurança de software;
  • Fornecer mecanismos para atualizar com segurança o software;
  • Criar dispositivos com senhas ou credenciais exclusivas;
  • Proteger a comunicação de dados confidenciais de segurança (como por meio de fluxos de dados criptografados);
  • Armazenar credenciais e dados confidenciais com segurança.

Vale lembrar que a IoT envolve a colocação de sensores nos dispositivos para coletar informações em tempo real para uma melhor tomada de decisões e conectar tudo. Na melhor das hipóteses, essas informações em tempo real tornam possível ver padrões e prever o que vem a seguir, como quando uma remessa será entregue, quando um equipamento vai quebrar ou como fatores externos, como tráfego ou clima, afetam as operações.

De acordo com o Gartner, o número de dispositivos IoT deve mais que triplicar até 2023, chegando a 43 bilhões.

Por que isso é importante?

Estudo recente da Trend Micro, baseado na troca de mensagens entre cibercriminosos na dark web, revelou que os ataques e serviços de IoT estão crescendo e se diversificando rapidamente.

Uma postagem em um fórum russo oferecia serviços DDoS baseados em dispositivos IoT infectados por apenas US$ 40 por mês. Outro anúncio em idioma russo vendia uma VPN baseada em IoT (roteador comprometido com OpenVPN) por US$ 10 por proxy.

Em fóruns em português a estrela era o 'KL DNS', que permite realizar campanhas de phishing combinadas com o redirecionamento de DNS e, em alguns casos, spam por SMS. "Os serviços 'KL DNS' começam com uma rede de roteadores infectados ou outros dispositivos domésticos", explicam os pesquisadores da Trend Micro."Os criminosos alteram a configuração do DNS nesses dispositivos para que a resolução de nomes seja feita por um servidor externo controlado por hackers".

A partir desse momento, quando um computador na rede do dispositivo infectado tenta resolver, por exemplo, 'bank.com', o navegador redireciona a solicitação para um site de phishing que parece idêntico ao site do banco real. "Os criminosos vendem esses serviços de redirecionamento para que os phishers possam hospedar servidores da web copiados e coletar credenciais roubadas e informações de cartão de crédito. Os preços estão em torno de R$ 1 mil por semana (cerca de US$ 260) ", concluem os pesquisadores.

Além disso, a Trend Micro prevê um aumento nos kits de ferramentas de ataque da IoT, visando uma gama mais ampla de dispositivos de consumo, como dispositivos de realidade virtual.

De modo geral, o cenário é preocupante.

Em junho, o National Institute of Standards and Technology (NIST), que integra a IoT Security Policy Platform, já havia divulgado um relatório focado no gerenciamento de riscos associados à Internet das Coisas. Segundo o NIST, para combater as ameaças à segurança, as plataformas IoT devem vir com uma abordagem multicamada que inclui: certificados digitais, isolamento de tráfego usando uma LAN virtual, segurança física e criptografia para proteger os dados em trânsito.

Portanto, enfrentar o desafio da segurança da IoT exige cooperação entre fronteiras e entre setores. Agora, mais do que nunca, precisamos trabalhar juntos para colocar a segurança no centro da inovação.

Sobre a autora

Cristina De Luca é jornalista especializada em ambiente de produção multiplataforma. É diretora da ION 89, startup de mídia com foco em transformação digital e disrupção. Foi diretora da área de conteúdo do portal Terra; editora-executiva da área de conteúdo da Globo.com; e editora-executiva da unidade de Novos Meios da Infoglobo, responsável pela criação e implantação do Globo Online. Foi colunista de tecnologia da Rádio CBN e editor-at-large das publicações do grupo IDG no Brasil. Master em Marketing pela PUC do Rio de Janeiro, é ganhadora do Prêmio Comunique-se em 2005, 2010 e 2014 na categoria Jornalista de Tecnologia.

Sobre o blog

Este blog, cujo nome faz referência à porta do protocolo Telnet, que é o protocolo de comunicação por texto sem criptografia, traz as informações mais relevantes sobre a economia digital.

Blog Porta 23