Início > Segurança > Os Riscos de Segurança na Internet das Coisas

Os Riscos de Segurança na Internet das Coisas

Dave Evans, ex Chief Futurist for Cisco, costumava perguntar em suas palestras: “o que vacas, sapatos e carros têm em comum? A resposta é: a Internet das Coisas” [23]. A Internet das Coisas (do inglês, Internet of Things – IoT) é um conceito e um paradigma baseado na presença ativa em um ambiente de uma variedade de coisas e objetos que através de conexões com ou sem fio e esquemas de endereçamento único são capazes de interagir umas com as outras e cooperar com outras coisas e objetos para criar novas aplicações e serviços e alcançar objetivos comuns [12].

Internet-Of-Things

Uma “coisa” (do inglês, thing) na IoT é qualquer equipamento que possa ser identificado – tem um endereço único – e que possa interagir com outros dispositivos sem interferência humana utilizando a comunicação máquina para máquina (do inglês, machine-to-machine – M2M): pode ser uma pessoa com um implante de monitoração cardíaca que interage com a geladeira e alerta o nutricionista sobre os hábitos alimentares do paciente; um dispositivo que avise ao veterinário se uma vaca está doente ou prenha; um automóvel que alerte o motorista quando a pressão de um pneu está baixa ou que seja capaz de agendar autonomamente a revisão do automóvel. As “coisas” podem trocar informações em qualquer momento, em qualquer lugar e com qualquer outra “coisa” utilizando qualquer meio.

O objetivo da M2M é estabelecer as condições que permitam que um dispositivo troque informações bidirecionalmente com uma aplicação via rede de modo que o dispositivo possa agir como a base da troca de informações [1]. M2M depende de várias tecnologias para cumprir seu objetivo, mas a principal delas é o sensor, que permite que um dispositivo colha dados do ambiente e os envie para seu firmware, que será responsável por interpretar esses dados e tomar uma decisão. As tecnologias de comunicação utilizadas são wi-fi, celular e RFID (Radio-Frequency Identification).

M2M é a parte principal da IoT. Focando em tecnologias de comunicação entre dispositivos e levando em conta a autonomia dos dispositivos na tomada de decisões, pode-se afirmar que a IoT está mais próxima da M2M do que da H2M (do inglês, human-to-machine). É por isso que produtos que utilizem M2M são chamados de “inteligentes”, como lâmpada “inteligente” ou relógio “inteligente”. A combinação desses elementos pode formar uma rede “inteligente” e a combinação dessas redes pode ser a base tecnológica de uma cidade “inteligente”.

Todas essas novas “coisas inteligentes” que podem se integrar e tomar decisões sem interferência humana têm despertado a atenção das empresas, mas a grande variedade e quantidade de dispositivos e tecnologias envolvidas na comunicação M2M traz novos desafios à segurança da informação: um cibercriminoso tem uma superfície de ataque maior para tentar capturar informações sigilosas dos proprietários dos dispositivos explorando vulnerabilidades nos softwares, na comunicação entre os dispositivos ou simplesmente tomando vantagem de configurações incorretas.

A Importância da Internet das Coisas

Era apenas no futuro, no campo da ficção científica, que equipamentos eletrônicos poderiam colaborar uns com os outros e tomar decisões – às vezes catastróficas – sem intervenção humana. O futuro apresentado pela IoT trouxe uma nova realidade nas relações entre as pessoas e os objetos do cotidiano.

Nesse futuro possível e não tão distante assim, uma geladeira conectada à Internet poderia utilizar o perfil do usuário para antecipar a falta de algum produto – isso inclui a compra do produto – e talvez sugerir alternativas. O potencial da IoT permitiria que um utensílio doméstico fosse ainda mais longe para cumprir sua missão. Ao chegar a hora do jantar, a geladeira, o fogão, o liquidificador e outros utensílios domésticos trocariam informações e decidiriam o que seria necessário e em que ordem para fazer o jantar sem intervenção do proprietário. Um carro autônomo se dirigiria automaticamente para a casa do proprietário, mas iria atualizando sua rota com as últimas informações do trânsito – acidentes e rotas melhores – e também forneceria informações para a rede e assim para outros veículos. Esse carro trocaria informações com os utensílios domésticos da residência para que estes saibam o momento em que o jantar deve estar pronto para o proprietário. Ainda nessa perspectiva de futuro, uma cidade inteligente poderia antecipar e agir autonomamente à falta de água que quase ocorreu na cidade de São Paulo em 2014.

A IoT pode trazer mudanças à sociedade, pois tem potencial para influenciar o relacionamento das pessoas com o meio e modificar a maneira como serão realizados os processos de negócio [15]. Essas mudanças podem ser explicadas pela forma como os próprios seres humanos entendem o mundo à sua volta [3] [23]. As pessoas processam dados e os transformam em informações que podem ser reutilizadas em suas vidas. A partir dos resultados, elas adquirem conhecimento e sabedoria. Com bilhões de sensores conectados à Internet, a habilidade de reunir grandes quantidades de informações será muito maior. Utilizando a filtragem e a análise corretas, as pessoas podem transformar esses dados em novo conhecimento e sabedoria. Assim, a IoT permitirá que as pessoas compreendam melhor os sistemas complexos que compõem nossa sociedade e o nosso planeta.

Estando tão próxima da forma como as pessoas entendem e interagem com o que está à sua volta, espera-se que o conceito de IoT se consolide e cresça em poucos anos. O IBSG (Cisco Internet Business Solutions Group) estima que em 2020 a quantidade de dispositivos conectados à Internet será de 50 bilhões movimentando US$19 trilhões [3] [4] – é por isso que a Cisco chama esse fenômeno de Internet de Todas as Coisas. O IDC (International Data Corporation) estima que esse número será de 30 bilhões e que o mercado crescerá de US$1,3 trilhões para US$3,04 trilhões em 2020 com uma taxa de crescimento anual de 13% [11]. Já o Gartner projeta 26 bilhões de dispositivos que movimentarão US$1,9 trilhões [7].

Todas as pesquisas mostram que a IoT representa um mercado em franca expansão para onde os fabricantes de dispositivos eletrônicos tendem a direcionar suas estratégias de negócio. As previsões do Gartner [5] [7] apontam que as empresas devem se preparar para a consolidação da IoT. As empresas não devem ver a IoT representada em uma simples tecnologia: ela é um conceito em que muitas novas coisas estão conectadas e ativadas, como luzes de postes com sensores embarcados se comunicando em rede, reconhecimento de imagens e realidade aumentada. Todas as tecnologias estão integradas para possibilitar a tomada de decisões pelos próprios dispositivos, realizar o gerenciamento de ativos e novos serviços. Sabendo disso, várias fabricantes já revelaram quais serão suas estratégias para IoT nos próximos anos [2].

Em [6] afirma-se que as áreas que direcionarão o crescimento da IoT são a indústria automotiva com novos carros “inteligentes”, redes “inteligentes”, assistência médica, segurança e automação doméstica. Prevê-se que o mercado de segurança será o maior em receita por volta de 2022 [16], mas há espaço para os nearables, que são etiquetas com tecnologias baseadas em sensores que permitem micro-localização e consciência contextual que pode ser interpretada por smartphones, e para os termômetros infantis com bluetooth – um sensor adesivo é afixado na criança e a monitoração da temperatura é feita por um aplicativo celular.

A IoT não veio para transformar qualquer aparelho em um dispositivo conectado à Internet [20]. As empresas precisam continuar mantendo o foco no consumidor para entender suas reais necessidades, sejam elas presentes ou futuras. Faz sentido lançar uma geladeira com interface touch screen que possibilite ao usuário publicar tweets? Provando-se um investimento que ofereça retorno financeiro, sim. Hoje, há interesse dos consumidores em óculos “inteligentes”, relógios “inteligentes” e os wearables. Os drones “inteligentes“ também merecem destaque.

O principal entrave à expansão da quantidade de dispositivos que poderiam se interconectar via Internet era o esgotamento dos endereços IP (Internet Protocol) possíveis com o padrão IPv4 (Internet Protocol version 4). Os 32 bits do IPv4 equivalem a 4,3 bilhões de endereços IP. Para comparar, hoje existem mais de 6 bilhões de pessoas na terra. Para resolver esse problema, a Internet Society lançou em junho de 2014 o IPv6 (Internet Protocol version 6), que tem capacidade de endereçamento de 128 bits e criptografa pacotes com o IPSec (Internet Protocol Security) [14]. É graças ao IPv6 que a quantidade de dispositivos conectados à Internet pode crescer quase indefinidamente.

Os Riscos de Segurança na Internet das Coisas

Cada avanço tecnológico traz novas oportunidades para ataques de cibercriminosos e quanto maior a quantidade de dispositivos acessíveis em uma rede maior a superfície de ataque. Como na IoT há uma grande variedade de dispositivos, torna-se difícil saber como, onde (no próprio dispositivo, em um servidor específico ou na nuvem) e quando os dados pessoais estão sendo coletados e se o dispositivo contém as últimas atualizações de segurança. Além disso, é pouco provável que técnicas de hardening sejam conhecidas ou utilizadas pelo proprietário do dispositivo. Dispositivos vulneráveis são alvos fáceis para os cibercriminosos. Sob o controle de agentes maliciosos, os dispositivos da IoT podem ser convertidos em um exército das coisas [21]: um conjunto de dispositivos mobilizados para atacar determinados alvos.

Internet-of-Things-Hacker1

Pesquisadores da Symantec [22] descobriram um novo worm que se espalhou pela Internet e está se adaptando para atacar dispositivos rodando o sistema operacional Linux embarcado incluindo muitos dispositivos que são parte da IoT. O uso do Linux implica que tipos de ataque e ferramentas para essa plataforma estão prontamente disponíveis e o cibercriminoso não precisa dominar uma técnica nova para assumir o controle do dispositivo através de um ataque ao sistema operacional.

A Proofpoint noticiou [19] que entre dezembro de 2013 e janeiro de 2014 ocorreu o primeiro ataque cibernético envolvendo dispositivos inteligentes: mais de 100.000 dispositivos, incluindo geladeiras ligadas à Internet e televisões inteligentes, ajudaram a enviar mais de 750.000 e-mails com malware em todo o mundo. A empresa constatou que na maior parte dos casos não houve uso de alguma técnica avançada para tomar o controle do dispositivo: configurações incorretas e senhas padrão permitiram que os equipamentos ficassem disponível em redes públicas.

Os problemas que afetam a segurança merecem especial atenção se a ação de um cibercriminoso é direcionada a dispositivos que tenham como objetivo a manutenção da vida – como marca-passos – ou que podem colocar em risco a vida – como um carro. De acordo com um relatório divulgado pela McAfee Labs [8] [17], o aumento da quantidade de dispositivos na IoT relacionados à área de saúde pode oferecer acesso a informações pessoais que podem ser até mais valiosas que dados de cartão de crédito.

Preocupada com a segurança, a HP (Hewlett Packard) analisou alarmes de residências, hubs residenciais, termostatos, televisores “inteligentes”, câmeras, fechaduras eletrônicas e outros dispositivos domésticos que utilizam algum tipo de serviço de nuvem e possuem aplicativos móveis que possam ser acessados ou controlados remotamente [9]. A análise constatou que:

  • 60% dos dispositivos que tinham interface web estavam vulneráveis a vários problemas tais como ataques XSS (Cross-Site Scripting) e credenciais fracas;
  • 90% dos dispositivos coletam ao menos uma parte das informações pessoais via o próprio dispositivo, nuvem ou seus aplicativos móveis;
  • 70% dos dispositivos utilizam serviços de rede não criptografados;
  • 70% dos dispositivos junto com suas nuvens e componentes de aplicações móveis permitem que um atacante identifique contas de usuário válidas em uma listagem;
  • 80% dos dispositivos junto com suas nuvens e componentes de aplicações móveis não exigem senhas com complexidade e tamanho suficientes.

A síntese do relatório mostrou que cada dispositivo tem em média 25 vulnerabilidades em um total de 250 tipos diferentes [10] e a conclusão foi:

O estado atual da segurança da IoT parece tornar todas as vulnerabilidades dos espaços existentes, por exemplo, segurança de rede, segurança de aplicativos, segurança móvel e dispositivos conectados à internet e combiná-los em um novo espaço (e mais inseguro), o que é preocupante.

A partir dos dados colhidos e do parecer, a HP iniciou o projeto OWASP Internet of Things (IoT) Top 10 [18] para auxiliar os fabricantes de appliances (dispositivos de hardware com software escrito especificamente para ele) e gadgets (dispositivo que tem uma função específica) acessíveis via Internet a se prevenirem dos principais problemas de segurança da IoT. Atualmente, os maiores problemas de segurança na IoT listados pela OWASP são: interfaces web inseguras, autenticação e autorização insuficientes, dispositivos de rede inseguros, falta de criptografia na comunicação, questões de privacidade, interface de nuvem insegura, interface móvel insegura, configuração de segurança insuficientes, software e firmware inseguros e segurança física pobre.

Fabricar um appliance é uma tarefa complexa. O software, mais especificamente o firmware, é escrito para interagir com sensores e através destes ou outros meios interagir com o ambiente e outros dispositivos compatíveis para reunir informações das quais ele necessita para realizar uma determinada função. Dessa forma, é natural que o próprio fabricante escreva e distribua as atualizações de software. Sem um mecanismo de autenticação adequado, a própria atualização do software é um ponto de vulnerabilidade.

Aplicações e serviços utilizados na IoT estão vulneráveis a ataques e roubo de informações. O comprometimento de credenciais pode ser realizado por ataque de força bruta contra algoritmos de autenticação fracos. Outros ataques podem ser facilitados por configurações incorretas feitas pelo proprietário do dispositivo, o que inclui nenhuma configuração – uso de senhas padrão.

Conclusão

A IoT trouxe uma nova realidade nas relações entre as pessoas e os objetos do cotidiano. Com a aplicação desse conceito, uma cidade inteligente poderia antecipar e agir autonomamente à falta d’água que ocorreu na cidade de São Paulo em 2015.

As perspectivas de negócios e o fim da limitação de endereços IP que o IPv6 proporcionou provam que a IoT crescerá até atingir dezenas de bilhões de dispositivos conectados na próxima década.

Por esse motivo, questões relacionadas a padrões e em especial padrões ligados à segurança se tornam críticas para o sucesso. É necessária atenção em várias áreas para tornar a IoT mais segura contra aqueles que têm intenções maliciosas, como técnicas de criptografia que dificultem o roubo e o compartilhamento de dados, técnicas que melhorem a privacidade, autenticação e mecanismos de controle de acesso autoconfiguráveis e granulares [13].

447424-how-to-secure-the-internet-of-things-inside-your-home

Referências

[1] Boswarthicks, O.; Elloumi, O.; Hersent, O. M2M Communications: A System Approach. 1.ed. Reino Unido: John Wiley e Sons Ltd, 2012. p. 2, 233 e 236.

[2] CIO. Fornecedores revelam estratégias para Internet das Coisas. Disponível em: [http://cio.com.br/tecnologia/2014/09/16/fornecedores-revelam-estrategias-para-internet-das-coisas/]. Acesso em: 23 nov. 2014.

[3] Cisco Whitepaper. The Internet of Things How the Next Evolution of the Internet Is Changing Everything. Disponível em: [http://www.cisco.com/web/about/ac79/docs/innov/IoT_IBSG_0411FINAL.pdf]. Acesso em: 23 nov. 2014.

[4] CNET. How much is the Internet of everything worth? Cisco says $19 trillion. Disponível em: [http://www.cnet.com/news/how-much-is-the-internet-of-everything-worth-cisco-says-19-trillion]. Acesso em 23 nov. 2014.

[5] Forbes. Gartner: 10 Critical Tech Trends For The Next Five Years. Disponível em: [http://www.forbes.com/sites/ericsavitz/2012/10/22/gartner-10-critical-tech-trends-for-the-next-five-years/]. Acesso em: 23 dez. 2014.

[6] Frost e Sullivan. Convergence, M2M Communication and Online Solutions Creating New Opportunities for VC Investors, Says Frost & Sullivan. Disponível em: [http://www.frost.com/prod/servlet/press-release.pag?docid=268530164]. Acesso em: 1 jan. 2015.

[7] Gartner Newsroom. Gartner Says the Internet of Things Installed Base Will Grow to 26 Billion Units By 2020. Disponível em: [http://www.gartner.com/newsroom/id/263607] . Acesso em: 23 nov. 2014.

[8] Help Net Security. Trends in Internet trust exploits, IoT, cyber espionage and privacy. Disponível em: [http://www.net-security.org/secworld.php?id=17737]. Acesso em: 23 nov. 2014.

[9] HP. Internet of Things Research Study. Disponível em: [http://h20195.www2.hp.com/V2/GetDocument.aspx?docname=4AA5-4759ENW&cc=us&lc=en]. Acesso em: 30 nov. 2014.

[10] HP. HP Study Reveals 70 Percent of Internet of Things Devices Vulnerable to Attack. Disponível em: [http://h30499.www3.hp.com/t5/Fortify-Application-Security/HP-Study-Reveals-70-Percent-of-Internet-of-Things-Devices/ba-p/6556284]. Acesso em: 30 nov. 2014.

[11] IDC. Finding Success in the New IoT Ecosystem: Market to Reach $3.04 Trillion and 30 Billion Connected “Things” in 2020, IDC Says. [http://www.idc.com/getdoc.jsp?containerId=prUS25237214]. Acesso em: 23 nov. 2014.

[12] IERC – European Research Cluster on the Internet of Things. Documents and Publications. Internet of Things: Converging Technologies for Smart Environments and Integrated Ecosystems. River Publishers, 2013. p. 7-8. Disponível em: []. Acesso em: 21 dez. 2014.

[13] IERC – European Research Cluster on the Internet of Things. Internet of Things – From Research and Innovation to Market Deployment. River Publishers, 2013. p. 90-92. Disponível em: [http://www.internet-of-things-research.eu/pdf/Converging_Technologies_for_SmartEnvironments_and_Integrated_Ecosystems_IERC_Book_Open_Access_2013.pdf]. Acesso em: 24 dez. 2014.

[14] IPV6.BR. Endereçamento. Disponível em: [http://ipv6.br/entenda/enderecamento/]. Acesso em: 1 jan. 2015.

[15] ITU. The Internet of Things. International Telecommunication Union (ITU), Geneva, 2005. Disponível em: [http://www.itu.int/wsis/tunis/newsroom/stats/The-Internet-of-Things-2005.pdf]. Acesso em: 30 nov. 2014.

[16] Machina Research. Press Release – Growth In The Intelligent Buildings M2M Sector Will Be Driven By Building Security And Demands For Energy Efficiency. Disponível em: [https://machinaresearch.com/news/press-release-growth-in-the-intelligent-buildings-m2m-sector-will-be-driven-by-building-security-and-demands-for-energy-efficiency/]. Acesso em: 1 jan. 2015.

[17] McAfee Labs. Threats Report. Disponível em: [http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q3-2014.pdf]. Acesso em: 23 nov. 2014.

[18] OWASP. OWASP Internet of Things Top Ten Project. Disponível em: [https://www.owasp.org/index.php/OWASP_Internet_of_Things_Top_Ten_Project]. Acesso em: 30 nov. 2014.

[19] Proofpoint. Proofpoint Uncovers Internet of Things IoT) Cyberattack. Disponível em: [http://www.proofpoint.com/about-us/press-releases/01162014.php]. Acesso em: 23 nov. 2014.

[20] Trendwathing. Internet of Caring Things. Disponível em: [http://trendwatching.com/trends/internet-of-caring-things/]. Acesso em: 23 nov. 2014.

[21] SCMgazine. PKI for the Internet of Things. Disponível em: [http://www.scmagazine.com/pki-for-the-internet-of-things/article/359724/]. Acesso em: 08 dez. 2015.

[22] Symantec. Linux Worm Targeting Hidden Devices. Disponível em: [http://www.symantec.com/connect/blogs/linux-worm-targeting-hidden-devices]. Acesso em: 23 nov. 2014.

[23] Cisco Blogs. Disponível em: [http://blogs.cisco.com/ioe/how-the-internet-of-things-will-change-everything%E2%80%94including-ourselves]. Acesso em: 20 nov. 2014.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: