A onda de internet das coisas vem com muitos benefícios, como os dados e informações de vários dispositivos, que conseguem ser integrados pela rede. O nome “coisa” não é à toa, aliás: essa gama de dispositivos inclui o que você nem poderia imaginar, como equipamentos domésticos (geladeiras), brinquedos para crianças, câmeras de segurança e qualquer outro tipo de aparelho que se conecte à internet.

Como meu sócio Júlio falou neste texto, o crescimento da internet das coisas é impressionante, inclusive no Brasil: a Associação Brasileira de Internet das Coisas (ABINC) estima que em 2050 serão 50 bilhões de objetos conectados, incluindo até implantes humanos.

Apesar dessa ligação em rede criar um ecossistema benéfico, tudo tem seu lado ruim. E, neste caso, é bem preocupante. Essa integração que a internet das coisas promove pode ser uma mão na roda para hackers e pessoas mal-intencionadas. Imagina o que deve acontecer, por exemplo, com implantes humanos que forem invadidos?

“A internet das coisas a serem hackeadas”

Em uma palestra publicada no TED, Marc Goodman, autor do livro “Crimes do futuro: tudo está conectado”,  começou a apresentação com uma frase marcante. “Todos os dias conectamos mais e mais de nossas vidas à internet, o que significa que a internet das coisas será, em breve, a internet das coisas a serem hackeadas”, disse ele.

É verdade: há a ilusão de que temos segurança em nossa vida digital, mas em muitos casos não é verdade. A criptografia e os testes de segurança garantem, de fato, mais segurança, mas sempre há brechas, como a engenharia social ― o Júlio, meu sócio, explicou neste post como é difícil você se manter seguro. Também já escrevi aqui explicando como a sua segurança não depende só de você, mas também dos serviços que você usa.

Como qualquer outro eletrônico, a internet das coisas (IoT) não é imune à falhas. Em 2014, um dos primeiros ataques cibernéticos envolvendo IoT consistiu em um hack em mais de 100 mil aparelhos, como roteadores, televisores e até uma geladeira inteligente que foram controlados para enviar 750 mil e-mails maliciosos. No ano passado, câmeras de segurança foram hackeadas para fazer DDoS (ataque para derrubar servidores) em bancos brasileiros e sites do governo.

Como muitos destes aparelhos têm senhas inseguras ou idênticas às que vêm como padrão, é fácil para hackers entrarem no sistema. Você mudou a senha de acesso ao seu roteador, por exemplo? Imagino que não. Com o número crescente de dispositivos que se conectam à rede, naturalmente o número de vulnerabilidades também aumenta.

CloudPets

Duvida da afirmação acima? Deixa eu te mostrar o que aconteceu com um bichinho de pelúcia inteligente, chamado de CloudPets. Ele permitia que pais e filhos conversassem à distância por um aplicativo ― como um Skype, só que dentro de uma pelúcia que tinha Bluetooth e Wi-Fi integrados.

Imagem: Reprodução/Lady and The Blog.

Imagem: Reprodução/Lady and The Blog.

O projeto em si, no entanto, foi bem mal desenvolvido. Troy Hunt, especialista em segurança digital, explicou todas as falhas de segurança do produto em seu blog. Acabou que não era difícil conseguir os dados de usuário de quem possuía um CloudPet, já que eles eram armazenados em uma base de dados sem qualquer segurança e facilmente encontradas no mecanismo de buscas Shodan, especializado em IoT. Haviam 820 mil contas registradas e, além dos dados básicos de usuário, as 2,2 milhões de mensagens de voz trocadas até então estavam acessíveis por qualquer um.

Outra mancada que a empresa deu com seus usuários foi não exigir nenhuma segurança na senha. Elas eram criptografadas, mas os usuários poderiam colocar um simples caractere como “0” na senha, o que torna um ataque de força bruta incrivelmente mais fácil. O próprio Hunt conseguiu acesso à várias contas em poucos minutos.

Por fim, a empresa coleciona sua terceira grande falha: o acesso fácil por Bluetooth ao bichinho de pelúcia por uma API, descoberta pelo pesquisador de segurança Paul Stone. Dessa forma, qualquer um poderia ouvir o que o brinquedo estava ouvindo e até enviar mensagens de voz ― para algo que está dentro da sua casa! Tudo bem que a exploração dessa falha é algo mais difícil de acontecer, mas é tenebroso imaginar que alguém poderia ficar perto o suficiente da sua casa e conseguir ouvir tudo o que acontece lá dentro por meio de um simples bichinho de pelúcia.

A medicina também tem vulnerabilidades

goodman

Voltando à palestra de Goodman no TED, um dos seus maiores estudos revela que nem a medicina está segura. Segundo ele, 60 mil pessoas nos Estados Unidos têm um marca-passo conectado à internet ― o que permite ao médico dar um choque à distância no coração do paciente, quando for o caso. Caso esse dispositivo seja invadido, alguém mal-intencionado pode dar um choque fora de hora e causar uma parada cardíaca. A Food and Drug Administration (FDA), responsável pela administração da saúde pública nos EUA, emitiu um comunicado no começo deste ano falando que esses dispositivos podem estar inseguros.

Goodman acredita que um vírus da gripe, por exemplo, também pode ser usado como arma por hackers que conseguem controlar o código genético. “Recentemente, vimos um caso em que os pesquisadores fizeram o vírus da gripe asiática H5N1 mais potente. Ele já tem uma taxa de mortalidade de 70% se contraí-lo, mas é difícil contrair. Engenheiros, fazendo um número pequeno de mudanças genéticas, foram capazes de colocá-lo em armas e tornar muito mais fácil para os humanos contraí-lo, assim não apenas milhares de pessoas morreriam, mas dezenas de milhares. Vejam, vocês podem pegar e criar novas pandemias”, alertou ele.

E agora?

Apesar da internet das coisas intensificarem o número de dispositivos que estão inseguros, a Wired explica que não necessariamente as coisas da IoT são o alvo de hackers: os dados que elas geram são muito valiosos. Os servidores que os dispositivos IoT dão acesso podem revelar brechas de centenas de milhares de usuários.

Inclusive, esse foi o caso no ataque do CloudPets que mencionei antes. Uma vulnerabilidade explorada já dava acesso a 820 mil contas com 2,2 milhões de mensagens de voz. Quem foi atrás deu mais sorte ainda, porque também conseguia ativar o microfone do bicho de pelúcia e ouvir o que ele ouvia.

“É legal falar sobre hackear uma geladeira ou como nossos relógios podem ser hackeados, mas hackear é um negócio. Precisa ter um retorno de investimento”, diz o artigo da Wired. Como os dados de seus clientes são extremamentes valiosos para a sua empresa, é muito melhor garantir que eles estejam seguros do que ter que lidar com uma crise de segurança.

Ficou interessado em checar se o seu negócio está seguro? Pode contar com a One Day Testing! Me mande um e-mail em bruno.abreu@sofist.com.br ou ligue em (19) 3291-5321 para ver o que podemos fazer pela sua empresa.