A Internet das Coisas, ou IoT (Internet of Things), representa uma verdadeira revolução na forma como utilizamos produtos eletrônicos. Desencadeada há cerca de 3 anos, essa tendência utiliza dispositivos conectados à internet via cabo ethernet ou wireless (sem fio, como WiFi, Bluetooth, ZigBee e NFC).
No entanto, toda essa tecnologia impõe um dos maiores desafios da segurança da informação para este século. Que desafios são esses e o que ainda precisa ser melhorado para que as informações possam fluir com mais segurança no uso de produtos IoT? Descubra aqui!
O hardware dos dispositivos IoT
Os dispositivos IoT possuem componentes minúsculos, mas com apreciável capacidade computacional e dotados de conectividade Internet (TCP-IP e UDP). Pelo uso massivo desses componentes, com economia de escala contados aos milhões por mês, muitos desses produtos tiveram seus preços reduzidos exponencialmente a menos de U$2 por peça.
Isso possibilitou sua incorporação a equipamentos nos quais jamais sonharíamos ter instalados computadores on-board, muito menos conectados à Internet, como relógios de pulso, geladeiras, fogões, máquinas de lavar, ar-condicionado, carros, entre outros.
Essas máquinas somadas aos tradicionais dispositivos, como computadores desktop, smartphones, tablets e notebooks, formam o novo universo informático conectado.
Processadores e memória para dispositivos IoT
Existem infinidades de sabores de processadores IoT disponíveis, desde microprocessadores 8 bits e 32 bits — e já se cogita em 64 bits — até os processadores single-core e dual-core (em breve quad-core).
São usadas memórias de armazenamento (serial flash) de até 16 MB e do tipo SRAM (Static Random Access Memory) de até 520 KB, diversos tipos de interface (ADC, DAC, I2C, RS232, GPIO, MAC, SIP, I2S).
Tudo isso vem encapsulado em um módulo de apenas 12×20 mm, com antena WiFi embutida (ou externa ou ambos), todos com baixíssimo consumo de energia, alimentados por 2 pilhas tipo AA (1.5 Volts), que duram muitos meses.
Dispositivos IoT e os desafios da segurança da informação
Como toda tecnologia emergente, existe uma fase de euforia quando os fabricantes, embalados pela onda da novidade e curiosidade, apressam-se em liberar produtos rapidamente para atender à crescente demanda.
Porém, muitas vezes, eles se esquecem de preceitos básicos referente à segurança da informação. Colocam poder de processamento e conectividade em determinado produto, mas deixam um calcanhar de Aquiles disponível para qualquer hacker invadir.
Manter os hackers longe do ambiente IoT é um dos grandes os desafios da segurança da informação a ser vencidos com eficácia e competência. Por quê? Vejamos!
Falta de atualizações e imaturidade dos sistemas e dispositivos IoT
Estamos cansados de ver nosso computador, independentemente do sistema operacional (Windows, Linux ou Mac OS), receber atualizações de segurança quase semanais para reparar brechas na segurança.
São sistemas operacionais que já têm uma boa janela de tempo de desenvolvimento e de uso e, no entanto, todo dia descobrem novas vulnerabilidades.
Os hackers, por sua vez, estão cada vez mais sofisticados, com ferramentas cada vez mais poderosas que monitoram tudo o que podem no tráfego da Internet. Alguns motivados por curiosidade, diversão. Outros, com intenções inconfessáveis.
Imagine um produto IoT, cuja maturidade é contada por meses (ou poucos anos), ou nem foi previsto algum nível de segurança nas informações via Internet? É uma porta escancarada para qualquer um invadir.
Isso ocorre em muitos produtos IoT, como veremos a seguir.
Senha mestra, SSID e senha de acesso
Todo dispositivo que acessa internet precisa estar conectado a um roteador, seja via cabo ethernet, seja via WiFi.
Quando o dispositivo IoT é ligado pela primeira vez, o usuário precisa definir alguns parâmetros básicos, como endereço IP (fixo ou via DHCP), máscara de rede e gateway. Se for um IoT via WiFi, tem que definir o SSID e senha de acesso do roteador.
Existem muitos produtos que não têm previsão de uma senha mestra que impeça o acesso de pessoa não autorizada ao dispositivo. Sendo assim, qualquer pessoa que tenha acesso à sub-rede intranet (rede interna ethernet ou WiFi) ou esteja ao alcance do roteador WiFi poderá entrar na configuração do dispositivo IoT e alterar os dados.
É o mesmo que um roteador WiFi sem senha (aberto). Com certeza os vizinhos agradecem.
DIY, Criptografia, SSL, TSL
Muitos produtos IoT liberados ao mercado foram baseados em projetos do tipo DIY (Do It Yourself), que em essência são produtos caseiros, amadores, de qualidade questionável, sem grandes preocupações quanto à robustez e nenhuma segurança de dados. Esses são os produtos sem senha mestra.
Quando tratamos da questão da conectividade desses dispositivos, verificamos que os dados que trafegam entre o dispositivo controlador (PC, notebook, smartphone, tablet) e o dispositivo IoT não dispõe de nenhuma segurança, com todo o tráfego aberto e suscetível a monitoramento não autorizado.
Qualquer notebook que rode um analisador de protocolo de redes de comunicação (por exemplo, Wireshark) pode capturar os datagramas que circulam entre eles e ler os dados sem nenhuma dificuldade.
Devido à imaturidade dos componentes disponíveis para o IoT (alguns foram liberados a menos de 2 anos), muitas ferramentas de programação disponíveis para gerar o firmware (software embutido dentro do dispositivo IoT) não têm bibliotecas que deem suporte a SSL (Secure Socket Layer) ou TLS (Transport Layer Security), ou estas foram liberadas muito recentemente.
Sendo assim, os fabricantes não puderam incorporar algum nível de segurança nas comunicações TCP-IP (e UDP) e, por isso, estão totalmente vulneráveis aos hackers.
No entanto, seria possível lançar mão de criptografia. Muitos chips para IoT têm aceleradores de criptografia AES (Advanced Encryption Standard), e isso poderia ser usado para encriptar partes dos datagramas.
Na falta desses recursos, existem muitos algoritmos de encriptação com fonte aberta que poderiam ser incorporados ao firmware desses dispositivos IoT, que, embora com menor robustez comparado ao AES, ainda assim conferiria uma maior segurança na proteção aos dados. Melhor isso do que trafegar tudo aberto.
Tranca aberta, porta escancarada
Vamos exemplificar os riscos e desafios da segurança da informação em relação à IoT. Com a popularização dos dispositivos IoT, temos hoje de garagem e portas de casa que são destrancados por meios de comandos pelo smartphone.
Se esses dispositivos não tiverem um nível mínimo de segurança, há chances de que o dono da casa encontre um dia seu portão aberto e suas portas destrancadas.
Na época inicial de automatização de portões de garagem, os controles remotos eram “burros”, e os ladrões mesmo sem nenhuma formação técnica já conseguiam replicar os códigos de acesso. Será que agora hackers de altíssimo nível não conseguiriam burlar ainda mais facilmente uma comunicação tão aberta?
Se sua aplicação IoT requer algum nível de confiabilidade, verifique se o dispositivo tem algum nível de segurança no tráfego de dados, conforme explicamos neste texto.
Nunca se deixe seduzir por produtos baratos, que encantam à primeira vista devido a tantos recursos por tão pouco dinheiro. Produtos profissionais são caros, mas o retorno de longo prazo é garantido, pela tranquilidade que vão lhe proporcionar e pela segurança no seu uso.
Gostou de entender um pouco mais sobre os desafios da segurança da informação com a IoT? Então, compartilhe nas redes sociais!
