Na onda de objetos conectados à web, até vibrador pode ser hackeado

Vincent Fagot

  • iStock

Em 2020, o mundo poderá contar com 25 bilhões de objetos conectados, todos eles alvos em potencial para os hackers

Em agosto, na Defcon, a grande reunião mundial dos hackers, dois pesquisadores australianos explicaram como conseguiram assumir o controle de um vibrador conectado. O interesse da iniciativa pode parecer tão libidinoso quanto limitado, em comparação com as outras apresentações que tratavam, por exemplo, da segurança dos veículos autônomos.

No entanto, essa operação lhes permitiu demonstrar que a Standard Innovation, fabricante canadense desse vibrador, coletava discretamente dados sobre o uso feito de seu produto: funções preferidas, periodicidade. Mas, acima de tudo, que essas informações podiam ser roubadas com todas as consequências que isso pode ter: a vida íntima dos usuários exposta, possibilidade de chantagem, ou até consequências mais trágicas em países onde a utilização de vibradores não é permitida. Portanto, de trivial a demonstração só tinha a aparência, colocando mais uma vez em evidência as falhas de segurança dos objetos conectados.

As preocupações suscitadas pela Internet das Coisas (IoT, Internet of Things) são tão grandes quanto as expectativas em relação a ela. Na agricultura, ela já permite melhorar a produção, a distribuição e a gestão de fluxo. Já para o cidadão comum, ela contém a promessa de um conforto de vida cada vez maior: chaves digitais e compartilháveis, listas de compras que se escrevem sozinhas etc.

Na escala das novas tecnologias, trata-se de fato de uma nova revolução que vem se esboçando. Segundo a consultoria americana Gartner, podemos contar com até 6,4 bilhões de objetos conectados no mundo em 2016, ao ritmo de mais de 5 milhões de unidades vendidas por dia, e quatro vezes mais em 2020, ou seja, cerca de 25 bilhões.

Só que ao ligar cada vez mais aparelhos à rede, a Internet das Coisas aumenta continuamente a área dos territórios expostos aos riscos de ataques cibernéticos. A ameaça é levada a sério. Em setembro de 2015, o FBI lançou o alerta sobre os perigos da Internet das Coisas e detalhou os riscos que estão ligados a ela: desvio, neutralização, roubo de dados pessoais ou, mais prosaicamente, sequestro de transações financeiras.

Certos setores, onde essas novas tecnologias já são empregadas, são identificados como alvos críticos, pois podem causar mortes: saúde, energia e, talvez em breve, os transportes.
Aumento exponencial

Em 2015 (e novamente em 2016), dois hackers conseguiram assumir remotamente o controle de um Jeep Cherokee: direção, motor, ar condicionado, sistema multimídia, o motorista não controlava mais nada disso. No entanto, essa é uma falha que atinge centenas de milhares de veículos.

O aumento exponencial do número de objetos conectados já ampliou de maneira vertiginosa a ameaça de ataques cibernéticos. Segundo uma pesquisa realizada pela empresa americana VeriSign junto a seus clientes, o número de ataques de negação de serviço (ou seja, quando os servidores estão sobrecarregados por um grande número de requisições) realizados sobretudo a partir de objetos conectados aumentou 75% entre 2015 e 2016.

Os ataques que visam a Internet das Coisas são particularmente perniciosos. Eles nem sempre são evidentes (eles passariam despercebidos em 70% ds casos) e nem sempre têm como alvo direto o aparelho em si, mas assumem seu controle para usá-lo com fins escusos: roubar dados pessoais, camuflar atividades ilegais ou conduzir ataques em massa. No final de setembro, a francesa OVH, uma das principais fornecedoras mundiais de infraestrutura de nuvem, sofreu um violento ataque de negação de serviço, depois que hackers assumiram o controle de um grande número de câmeras conectadas, cada uma servindo como intermediária para o ataque.

Os objetos conectados estão intrinsecamente mais expostos porque por serem pequenos e leves, eles possuem somente uma pequena capacidade de cálculo, de memória e de comunicação. "Não é possível integrar muita segurança a eles", explica Renaud Lifchitz, da consultoria Digital Security, especializada em segurança da IoT. Para além do próprio aparelho, é preciso zelar pela segurança do protocolo de comunicação sem fio, do aplicativo que comanda o objeto e da transmissão para a nuvem.

"Tudo é muito novo"

Além disso, os maus hábitos continuam. A grande maioria dos produtos conectados são protegidos inicialmente por uma senha idêntica para todos os usuários, que, muitas vezes, nem pensam em trocá-la. Quando um hacker se apodera da senha, quase todos os produtos da série passam a ser ameaçados.

A maturidade do setor também tem parte nisso. "É como no início do Wi-Fi, que devia ser protegido pelo protocolo WEP: por não consultarem previamente especialistas em criptografia ou em segurança, logo surgiram graves falhas. Com a IoT é parecido. Tudo é muito novo, e portanto não temos um referencial de segurança. Estamos em uma corrida pela inovação, com uma série de novos padrões, protocolos e sistemas operacionais, sendo que seria preciso nos concentramos em um pequeno número deles e trabalhar para melhorá-los", ressalta Lifchitz.

Os especialistas em segurança informática vão fazer a festa com essa ameaça. Em 2015, US$75 bilhões (R$237 bilhões) foram gastos no mundo todo com ciber-segurança. Esse número deverá chegar a US$170 bilhões em 2020, sendo um terço para a Internet das Coisas.

Os atores da segurança da informação estão se organizando. "O fenômeno da IoT vai contribuir para acelerar o crescimento do big data. O desafio consiste em proteger todos esses dados", explica Tanguy de Coatpont, diretor-geral para a França e Norte da África da Kaspersky Lab. Essa empresa tem sido cada vez mais procurada por empresas que querem se lançar na IoT. Nesse caso, a Kaspersky Lab intervém ou no começo, desde a concepção dos ambientes conectados, ou no final, testando a solidez destes.

Mas essa revolução contribui também para diversificar o mercado. Estamos vendo surgirem empresas especializadas em segurança da IoT, assim como a Digital Security, que lançou uma plataforma de monitoramento e análise no setor. O interesse de grandes grupos em integrar capacidades em matéria de segurança da IoT se manifesta também no número cada vez maior de compras de empresas especializadas: o Soft Bank comprou a ARM (por US$32 bilhões) em julho e a SAP comprou a Plat.One em setembro, como parte de um projeto de expansão para a IoT avaliado em US$2,2 bilhões.

Fora isso, a IoT se tornou um tema de consideração política, como mostram as ações conduzidas pela União Europeia (EU). No contexto do mercado único digital, uma parceria público-privada europeia sobre a ciber-segurança foi lançada: a UE investirá 450 milhões de euros e os atores do setor, representados pela Organização Europeia para a Ciber-Segurança (ECSO), três vezes mais.

Bruxelas também expôs suas ambições no plano de ação para digitalizar a indústria europeia: convencida de que a IoT pode aumentar a atividade das empresas europeias (desenvolvimento de serviços em torno dos produtos, ganhos em eficiência e energia, maior uso por parte dos clientes), a UE quer favorecer o estabelecimento de normas comuns e desenvolver uma IoT centrada no cidadão, que adotará os valores da UE em termos de proteção de dados. Esse último ponto deverá dar origem no futuro a um selo de qualidade. Para defini-lo, a Comissão lançou, em 2015, uma "Aliança para a IoT" da qual já participam 500 empresas. Esse órgão consultivo e independente pode fazer propostas para estabelecer os padrões do futuro.

Será isso suficiente para evitar hackers invadindo marca-passos, bombas de insulina ou vibradores? De qualquer forma, a fabricante Lelo, que se apresenta como uma das líderes mundiais em brinquedos eróticos, entrou há pouco tempo no setor da IoT, mas com grande cautela: conectividade mínima, nada de troca de informações em grandes distâncias. Tanto que Quentin Bentz, gerente para a França da empresa, chega a dizer que "a segurança não é um grande problema", considerando a pouca quantidade de informações que transitam pelo aparelho. Quanto à sua concorrente, a Standard Innovation, após a revelação de que seu vibrador foi hackeado, ela foi alvo em setembro de uma queixa por violação de privacidade, enriquecimento ilícito (devido ao valor das informações coletadas) e falta de informação aos consumidores. Já é o suficiente para acabar com o sex-appeal dos objetos conectados.

Tradutor: UOL

Veja também

UOL Cursos Online

Todos os cursos