Com a proliferação de objetos conectados à nuvem, de lâmpadas a automóveis, esperada para os próximos anos, especialistas de cibersegurança alertam para o aumento significativo de riscos à privacidade e segurança dos consumidores

Não conseguimos dar conta dos riscos que temos hoje e aqui estamos nós acrescentando uma nova pilha de riscos." Foi assim que o especialista em segurança na internet norte-americano Jeff Moss definiu o problema da vulnerabilidade de um mundo onde cada vez mais objetos podem se ligar à internet. Com uma indústria e mercado empolgados em conectar cada vez mais dispositivos – que hoje vão de escovas de dente a automóveis de luxo –, como fica a segurança do usuário, que pode ser atingido por hackers mal-intencionados e criminosos em um número crescente de aparelhos? Para especialistas ouvidos pelo 'Estado', muitas empresas não estão fazendo a lição de casa nesse sentido.

Os recentes casos de carros que tiveram seu movimento interrompido por hackers voltaram a chamar a atenção para potenciais vulnerabilidades da chamada internet das coisas. Quando alguém como Moss se mostra preocupado devemos prestar atenção. Ele é um dos maiores especialistas mundiais em cibersegurança, sendo fundador da Black Hat, evento anual de segurança na web em Las Vegas, nos EUA, e que leva o nome da gíria utilizada para hackers independentes (também usada para batizar um filme deste ano sobre o assunto do diretor Michael Mann, de breve passagem nos cinemas brasileiros). Não é a única conferência hacker que Moss criou: em 1993, ele iniciou a Def Con, que tem um leque de assuntos mais aberto.

A declaração de Moss no início da matéria é parte de uma resposta à pergunta "o quanto do seu trabalho envolve a internet das coisas?". Moss observou que o mesmo poderia ser dito sobre carros conectados, automação do lar ou sistemas de controle de acesso. "Tudo está acontecendo tão rapidamente que nós vamos ter que limpar a bagunça depois. É uma pena que quando chegamos em um novo segmento ainda não temos boas práticas estabelecidas. O que move o mercado é 'depois pensamos nisso'".

"Internet das coisas" é um dos termos e conceitos quentes da indústria da tecnologia nos últimos anos. Trata-se de habilitar para conexão à internet objetos de todo tipo, que passam a receber comandos e mandar dados através da rede. Na internet das coisas, a comunicação não é apenas entre dispositivo e usuário, mas principalmente entre dispositivos. Tem que ser assim para que, por exemplo, seu carro avise seu aquecedor que você está chegando em casa ou sua geladeira encomende mais leite quando o estoque estiver baixo.

Embora a internet das coisas envolva sistemas de distribuição do varejo, linhas industriais e a rede elétrica pública, é nos eletrônicos para o consumidor final que estão os exemplos mais visíveis dessa tendência. Neste ano, a CES, maior feira de eletrônicos do mundo, realizada em Las Vegas, foi um desfile de coisas que se conectam, com mais de 900 empresas mostrando produtos no segmento. Entre as grandes, a Samsung deu destaque especial à tendência, chegando a anunciar que até 2020 todo dispositivo da empresa será conectado à rede.

Para a empresa de pesquisas IDC, o mercado global de coisas conectadas, de geladeiras a televisores, de carros a fechaduras de porta, deve atingir US$ 1,7 trilhão em 2020. No mesmo ano, o número de dispositivos desse segmento deve ser de quase 30 bilhões. No Brasil, o governo federal informa que entre maio de 2014 e abril de 2015 a quantidade de terminais de "máquina-máquina" ou M2M (processo de comunicação entre dispositivos e conceito fundamental da internet das coisas) em serviço no Brasil sem intervenção humana cresceu de 161 mil para 1,76 milhão.

"Há ansiedade para se conectar tudo à rede", diz Demi Getschko, conselheiro do Comitê Gestor da Internet. "Muitas vezes sem rever processos de segurança, que podiam ser suficientes em ambiente fechado, mas são vulneráveis na internet."

Getschko acaba de voltar do México do encontro "A nova revolução digital", da Cepal (Comissão Econômica para a América Latina e o Caribe, organismo das Nações Unidas) em que o assunto da cibersegurança estava em discussão. O relatório do encontro aponta o Brasil como campeão regional de cibercrimes, tendo prejuízo de US$ 8 bilhões com esse tipo de delito em 2014, segundo relatório da Symantec (a Colômbia fica em segundo, com prejuízos de US$ 3 bilhões).

O documento também chama a atenção para o fato de que, em geral, usuários são mais displicentes com a segurança de seus dispositivos móveis do que são com seus PCs. Pela mesma linha de raciocínio, o quão atentos serão com sua TV ou ar-condicionado conectado?

Recentemente, nos Estados Unidos, dois carros tiveram seu movimento interrompido por ação de hackers que invadiram o computador de bordo do veículo e assumiram seu comando. Um deles era um modelo da Tesla Motors, mas o caso mais famoso envolveu um Jeep Cherokee que foi hackeado a pedido de um jornalista da revista Wired para uma experiência. Dois especialistas em cibersegurança conseguiram mexer no som, ar condicionado e direção do veículo. Por fim, fizeram-no frear. Depois, a Blooomberg revelou que a Fiat Chrysler, fabricante do veículo, sabia da potencial brecha de segurança há pelo menos um ano, mas não a informou às autoridades por não considerá-la séria. Com a divulgação da falha, a montadora promoveu um recall de 1,4 milhão de veículos nos EUA.

"São lampejos de um futuro não muito distante", explica Fabio Assolini, analista sênior da empresa de antivírus Kaspersky. "Hoje, a internet das coisas ainda não é uma realidade, mas quando o protocolo IPV6 estiver disseminado, aí sim poderemos conectar tudo à internet".

Protocolos de internet são necessários para padronizar a comunicação na rede. O protocolo mais usado hoje é o IPv4, que tem um teto de 4,3 bilhões de endereços de IP, a "identidade" de cada conexão na rede. O IPv6 permite um salto quântico no número de conexões: ele comporta 340 undecilhões (pense no número 340 seguido de 36 zeros) de endereços IP.

Miriam Von Zuben, analista de segurança do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), ligado ao Comiê Gestor da Internet, cita alguns possíveis riscos para o usuário de uma invasão maliciosa: "Invasão de privacidade, furto e perda de dados, furto de identidade, perdas financeiras e participação involuntária em golpes e ataques realizados via internet".

"Pense em um sensor de luz na frente. Antes esse dispositivo não seria visto como ameaça à segurança pois era autônomo", exemplifica Maarten Van Horenbeeck, diretor da First, fórum global de segurança que congrega 326 equipes em 73 países. "Hoje, o mesmo sensor está conectado para, digamos, monitorar a atividade na frente da casa. Qualquer falha na segurança dele pode expor se tem alguém em casa ou não. Essa informação pode estar disponível remotamente, facilitando a vida de um ladrão".

Indústria. De seu lado, os fabricantes dizem que trabalham para assegurar uma experiência à prova de perigos. Em julho do ano passado, Samsung, Intel, Cisco e General Electric, ao lado de outras dezenas de empresas de eletro-eletrônicos, lançaram uma iniciativa chamada Open Interconnect Consortium, que tem como principal objetivo desenvolver padrões e certificações para aparelhos integrados à internet das coisas.

A meta principal é garantir "interoperabilidade", ou seja, permitir que aparelhos de diferentes marcas conversem entre si. Mas, de acordo com Roberto Soboll, diretor de produtos da área de dispositivos móveis Samsung no Brasil, é uma maneira também de "garantir privacidade, integridade de dados e proteção contra 'hacking'".

Para Arthur Oreana, especialista em segurança da informação da Symantec, o momento é ideal para empresas que não são "nativas" de tecnologia, como as montadoras, estabelecerem parcerias com companhias de segurança. "Não basta desenvolver um dispositivo, tem que pensar nele como um potencial alvo de ataque, ter a segurança em mente na hora de projetá-lo".

A Ford é uma das empresas que lidera o desenvolvimento de soluções para conectar o automóvel, contando inclusive com um laboratório de pesquisas no Vale do Silício, na Califórnia. Sua assessoria no Brasil, País que ainda não conta com modelos conectados da montadora, disse que a empresa investe "em soluções que são incorporadas ao produto desde o início do projeto". "Não temos conhecimento de qualquer caso em que um veículo Ford tenha sido invadido ou comprometido".

Para Miriam, não se deve generalizar a reação das empresas, além de ser cedo ainda para julgar. "Os primeiros exemplos estão surgindo agora e dessa forma espera-se que os fabricantes possam tirar proveito deles para minimizar os riscos aos seus consumidores."

Autoridades e legisladores de varias partes também se mexem para lidar com o problema, em diferentes velocidades de reação. Nos EUA, o Congresso colocou na pauta de discussões este ano o tema da internet das coisas. Por aqui, o governo federal avalia a criação de um Plano Nacional de Comunicação entre Máquinas e Internet das Coisas, que tem como objetivo padronizar sistemas e criar regulamentação para a área, entre outras propostas.

E de sua parte, o que o usuário pode fazer? Os especialistas ouvidos pela reportagem sugerem medidas como checar a procedência do fabricante, se ele mostra preocupação com a segurança de seu produto, e estar atento a atualizações do software do dispositivo, que muitas vezes corrigem falhas.Mesmo assim, a segurança total é e sempre será um mito. "O aparelho 100% seguro está desligado e com ninguém usando", diz Assolini.

Entrevista – Maarten Van Horenbeeck, First.org

LEGISLAÇÃO NÃO PODE SUFOCAR INOVAÇÃO, DIZ ESPECIALISTA

DIVULGAÇÃO

Existe uma corrida para conectar tudo hoje em dia, mas parece que a segurança raramente é mencionada. Concorda com essa avaliação?

Quando algo novo é tentado, frequentemente a segurança fica em segundo plano com relação à tecnologia inventada. A chave para equilibrar essa relação é conscientização, fazer os desenvolvedores entenderem os problemas de segurança e privacidade de hoje, uma vez que nem sempre eles tem uma equipe especializada a seu dispor.

O quão vulneráveis estamos ficando com uma maior conectividade?

O que vemos hoje é que muitas utilidades e recursos que nunca foram concebidos para serem conectados estão subitamente ficando online por questão de conveniência. Seja porque ficam mais fáceis de manter ou porque é conveniente que coletem dados para nós. Os recentes problemas de segurança envolvendo carros são apenas um exemplo.

Nos EUA e Europa, as autoridades estão dando atenção ao problema?

Os governos demonstram interesse pelo problema faz tempo. Ainda em 2010, a agência europeia para segurança de rede e informação (Enisa) publicou um estudo sobre o impacto na segurança e privacidade que a internet das coisas teria no transporte aéreo no futuro, que no caso era 2015. Bem, já vivemos nesse futuro e este ano vimos discussões importantes a respeito de um pesquisador que alegou ter encontrado vulnerabilidades na segurança de um avião. Se o relatório soava futurista na época, hoje sabemos que são preocupações válidas, muitas vezes subestimadas. Em fevereiro, houve a primeira audiência no senado americano sobre a internet das coisas e em julho, pouco depois da revelação do carro hackeado, dois senadores propuseram uma lei de "segurança e privacidade no seu carro". Então, os governos estão mostrando interesse, sim, mas qualquer solução só virá de uma parceria entre consumidor, indústria e governo.

A legislação traz um grande risco no sentido de que se é muito rígida, reduz inovação. Se é muito leve, não é muito eficaz. O papel dos governos é assegurar que cada um desses grupos seja ouvido e que as mínimas proteções estão devidamente em funcionamento.

Artigos relacionados
O mercado de CFTVs e equipamentos de segurança cresce a cada dia. Acompanhando o passo, novas tecnologias surgem para trazer mais comodidade aos usuários, que...
Leia Mais [+]
Acessos aos conteúdos e serviços do Terra Networks originados a partir de tablets e smartphones já respondem por 45% da audiência total do portal, de acordo com...
Leia Mais [+]
25% (100 milhões) acessam o serviço ao menos uma vez por mês (usuários ativos) considerando plataformas desktops e móveis....
Leia Mais [+]