Hoje em dia, a maioria das pessoas possui cerca de 10 dispositivos “inteligentes” conectados à internet nas suas casas, entre campainhas com vídeo, controlo de aquecimento, colunas portáteis, eletrodomésticos, pontos de carregamento de veículos elétricos, ou mesmo ‘wearables’. Quando utilizada corretamente, a tecnologia conectada traz grande comodidade à nossa vida – no entanto, se a sua adoção continuar a generalizar-se, mas a segurança não for acautelada, os cibercriminosos vão encontrar muitas novas formas de aceder aos dispositivos e à informação que contêm.
Se alguns ataques parecem inofensivos, como por exemplo o acender e apagar de uma luz inteligente de forma remota e a intervalos aleatórios, há outras situações, como a invasão de câmaras de segurança, webcams e campainhas com vídeo, que permitem aos cibercriminosos aceder a informações privadas. Um exemplo assustador? Em 2012, 700 transmissões ao vivo de câmaras de segurança da Trend-Net, incluindo dispositivos em quartos de crianças, foram publicadas online por um hacker, que conseguiu acesso através de uma vulnerabilidade no firmware dos dispositivos.
Dados pessoais expostos
Por outro lado, para que funcionem corretamente, muitos dispositivos requerem dados pessoais dos seus proprietários; assim, a forma como armazenam e utilizam essa informação é outra questão pertinente. Os termostatos inteligentes, por exemplo, colecionam uma grande quantidade de dados para poder oferecer funções avançadas, como o aquecimento programado ao longo do dia, de acordo com uma determinada rotina. Alguns conseguem até oferecer o modo “away”, que pode ser ativado através da tecnologia de geofencing (delimitação geográfica), que deteta quando o smartphone conectado está a uma determinada distância da casa e desliga o aquecimento. Todos estes dados são extremamente úteis para os criminosos poderem saber quando uma propriedade está vazia.
Sistemas mais amplos comprometidos
A invasão de um dispositivo não só deixa os seus proprietários vulneráveis, como pode ser utilizada para ataques a uma escala muito mais ampla. Nos últimos anos, graças ao aumento da utilização de tecnologia inteligente, os dispositivos comprometidos tornaram-se muito mais vulneráveis a malwares. Uma vez invadidos, podem passar a fazer parte de uma rede de milhares, sendo depois utlizados para atacar um mesmo website em simultâneo, sobrecarregando os seus servidores para o deitar abaixo.
O infame malware Mirai, por exemplo, infetou mais de 300.000 dispositivos em 2016, que foram então utilizados para levar a cabo ataques DDoS (Distributed Denial of Service) e outras atividades criminosas. Como resultado, vários websites – incluindo o Reddit, Twitter, Amazon, Netflix e BBC – deixaram de estar acessíveis a visitantes, levando a perturbações dos seus negócios.
Ao comprar um dispositivo conectado, os consumidores devem considerar apenas fabricantes conceituados, que possam garantir a implementação das medidas necessárias para a proteção dos dados pessoais – uma questão que deveria ser levada muito a sério por todos. Os dados recolhidos só devem ser utilizados para a execução das funcionalidades a que se destinam e, uma vez armazenados, deve ser garantida a sua segurança e encriptação, seja local ou na Cloud. Quando ocorre comunicação entre o dispositivo e a Cloud, esse tráfego deve ser, também, encriptado, para garantir a mais elevada segurança aos utilizadores, através de protocolos como SSL/TLS e HTTPS.
Políticas e Regulamentação
A segurança tem de ser transparente para os consumidores, devendo os fabricantes adotar as melhores práticas segundo a legislação em vigor. Vários governos publicaram já manuais sobre a segurança da Internet of Things (IoT), com orientações para apoiar a indústria a implementar bons costumes de segurança em relação à IoT para consumidor. No entanto, chegados a 2020, deparamo-nos com a necessidade generalizada de revisão das políticas, nomeadamente em relação a três questões: a melhoria das características básicas de cibersegurança, proporcionando uma palavra-passe única para cada dispositivo, ao invés de uma configuração-padrão de fábrica; a necessidade de o fabricante proporcionar um ponto de contacto público, para que os investigadores de segurança possam reportar os problemas de vulnerabilidade; e ainda a definição clara, também por parte dos fabricantes, do tempo mínimo durante o qual um produto receberá atualizações de segurança.
Olhar para o futuro
À medida que a tecnologia progride e se pensa o desenvolvimento das ‘Smart Cities’, as ‘Smart Homes’ têm vindo a ser discutidas com maior frequência. Uma vez que este conceito ainda está a começar a despontar em Portugal, é importante considerar as implicações de segurança, e em que medida o nosso sistema atual necessita de ser atualizado, para que possamos conseguir Smart Cities verdadeiramente funcionais.
Por exemplo, se todas as casas passassem a fazer parte de uma rede inteligente, um cibercriminoso teria à disposição um grande número de dispositivos através dos quais poderia atacar uma rede. Se uma cidade inteira se basear numa mesma rede, então serão incontáveis as maneiras pelas quais estes atacantes tentariam criar disrupções: ciberataques sofisticados a infraestruturas, como redes de semáforos e de eletricidade; ameaças de bloqueio de sistemas; manipulação das comunicações entre os dispositivos conectados dos consumidores; e ainda o acesso não-autorizado aos seus dados pessoais.
Com a ameaça destes ataques a nível nacional a pairar no ar, é agora mais importante do que nunca que consideremos a segurança como um dos alicerces do nosso futuro conectado. As Smart Cities inteiramente operacionais ainda não são uma realidade, mas estamos a caminhar na sua direção – se começarmos nas habitações e formos escalando as tecnologias de segurança até às infraestruturas da rede, as Smart Cities seguras não só poderão facilitar os serviços e condições de vida a todos, como ainda vão contribuir para um futuro mais ecológico e sustentável.
Adicione um comentário