Dispositivos inteligentes ainda são estúpidos em termos de segurança

A segurança na internet das coisas não é mais uma neblina no horizonte. Essa imagem ganha novas perspectivas à medida que mais e mais dispositivos chegam ao mercado – e a nossas vidas. Desde carros que estacionam sozinhos, passando por automação residencial e chegando a dispositivos vestíveis, há brechas que podem colocar sua vida e empresa em risco.

Estima-se que existirão entre 50 bilhões e 200 bilhões de aparelhos conectados à internet em 2020. O CEO do Google, Eric Schmidt, palestrou no Fórum Econômico Mundial, em Davos, em janeiro e cravou: “Existirão tantos sensores e dispositivos ligados que as pessoas simplesmente não perceberão que esses aparelhos lhes cercarão. Será parte de nossas vidas”.

Chega a ser difícil encarar o fato de quanto essas máquinas e coisas inteligentes podem ser estúpidos em questões de segurança. Um estudo da HP indicou que dez entre dez dispositivos de IoT – incluindo smart TVs, câmeras e aparelhos de automação residência – possuem ao menos 25 falhas de segurança, cada um.

Três das mais quentes categorias enquadradas no conceito de internet das coisa oferecem exemplos desses riscos. O Withings Activité Pop demonstrou durante a CES que um relógio que grava hábitos diários do usuário como horas de sono, passos, tempo de natação e outras atividades pode ser facilmente hackeado. 

Um levantamento da Symantec encontrou brechas nas políticas de privacidade de smartwatches e braceletes/fitas esportivas, sendo que todos esses aparelhos estavam conectados a serviços em nuvem. E mais: 20% desses dispositivos enviavam senhas para a nuvem sem criptografia.

A automação de casas sofre dos mesmos dilemas. Em 2013, por exemplo, foi encontrada uma vulnerabilidade significativa e baixas configurações de segurança em equipamentos residenciais fornecidos por provedores como Belkin, Insteon, Linksys e Sonos. O repórter de uma publicação especializada chegou a contatar alguns usuários desses produtos para mostrar como ele poderia controlar as suas casas.

Alguns fabricantes estão escutando os clamores de quem pede segurança. Um provedor de tecnologia, por exemplo, criou um mecanismo que dificulta que criminosos identifiquem resíduos de digitais ocasionados pelo toque dos dedos em telas de tablets para controle de residências. 

Frequentemente, contudo, as patrulhas da segurança precisam provar para a indústria a necessidade de desenvolver melhor proteção a seus clientes. Peguemos o carro da BMW que estaciona sozinho e que foi demonstrado na CES (com previsão de chegar as concessionárias em 2020). O veículo que pode dirigir sozinho pode também ser controlado remotamente por hackers.

Em uma apresentação no evento de segurança Black Hat ocorrido em agosto de 2014, em Las Vegas, dois pesquisadores (o engenheiro de segurança Charlie Miller e o diretor da empresa de segurança ioActive Chris Valasek) estudaram 19 diferentes modelos de automóveis e encontraram vulnerabilidades em todos eles. Os cientistas também demonstraram como conseguiam controlar os carros com mecanismos pessoais.

Isso ocorre porque praticamente todo automóvel vendido atualmente nos Estados Unidos vem com tecnologia wireless, que conecta seus recursos internos e transmite informações a um computador central. O relatório apresentado por Miller e Valasek mostra que poucas montadoras caminham no sentido de prevenir invasão e acesso remoto de seus carros.

Pouca atenção

Candid Wueest, líder de engenharia em segurança da Symantec, afirma que os consumidores pouco podem fazer com relação a segurança de produtos enquadrados no conceito de IoT. Isso só irá mudar quando a indústria que produz as “coisas” tratar a questão com uma abordagem mais séria.

“Os vendors dizem que podem implementar recursos de segurança, mas ninguém está perguntando por isso”, diz. “Então, se ninguém vai pagar para ter, não vai figurar na lista de prioridades dos fabricantes”.

David Grier, professor associado da George Washington University e ex-presidente do

Institute of Electrical and Electronics Engineers (IEEE), faz eco as frases de Wueest na expectativa de que os fabricantes sejam mais próativos. “Tudo em segurança no passado aconteceu depois de algum incidente”, cita. “O fato é que você não deve apenas demonstrar a natureza do problema, tem que doer”, adiciona.