A fabricante de roteadores MikroTik, da Letônia, até que fez a parte dela: corrigiu uma brecha de software e colocou a atualização à disposição dos clientes ao redor do mundo, muitos deles no Brasil. Como de costume, muitos dos usuários não fizeram a parte deles e, em vez de baixar a correção, continuaram a usar a versão velha. Não tardou, hackers descobriram a falha e começaram um ataque global.
O Brasil se tornou o alvo central do golpe e, no início de agosto, estavam capturados no país cerca de 72 mil roteadores e outros dispositivos sem fio da MikroTik, em residências e empresas (no mundo todo, eram cerca de 200 mil equipamentos invadidos). Essas máquinas trabalhavam apenas parcialmente para seus donos — paralelamente, os hackers faziam os equipamentos minerarem bitcoins. O caso é dos mais recentes a mostrar a vulnerabilidade de dispositivos conectados à internet das coisas (IoT). Não foi o maior.
O hacker britânico Daniel Kaye, de 30 anos, é réu no Reino Unido por ter lançado na Alemanha um ataque que deixou desconectados 900 mil roteadores, em residências e empresas, em 2016. Usou um malware chamado Mirai — dedicado a infectar dispositivos desprotegidos e usá-los para procurar outros e invadi-los, sucessivamente. Nos Estados Unidos, os cibercriminosos Josiah White, de 20 anos, e Paras Jha, de 21, foram condenados em dezembro de 2017 por usar o Mirai. Depois dos ataques, a dupla oferecia a suas vítimas serviços como consultores de segurança digital. Num mundo de objetos conectados e nas mãos de leigos em tecnologia, não são só as empresas que enxergam oportunidades. Os criminosos também. Não sem motivo, especialistas mais azedos já afirmam que as iniciais de IoT se referem à “internet of threats”, a internet das ameaças.
No início de agosto, o FBI, polícia federal americana, achou por bem divulgar um alerta público sobre as vulnerabilidades “das coisas” conectadas à internet. Criminosos podem invadir uma rede doméstica para roubar dados ou exigir dinheiro, mas o FBI se preocupa mais com o uso indireto dos aparelhos. A maior parte dos dispositivos nas residências possui poder computacional suficiente para se tornar um ponto de conexão da rede, ou nó, capaz de receber, processar, armazenar e enviar informações pela internet, explica Sudha Jamthe, CEO e autora do projeto IoT Disruptions e professora na Universidade Stanford. Hackers capturam essas máquinas às centenas ou milhares de uma vez, para fazer ataques contra sistemas maiores, de grandes empresas ou infraestrutura, ou espalhar pela rede programas maliciosos — como vírus e espiões. “O uso dos dispositivos domésticos esconde os rastros digitais, dificultando a identificação dos responsáveis pelos crimes.” A lista do FBI inclui equipamentos como geladeiras, câmeras, TVs, rádios, portas inteligentes e roteadores, que, além de ataques cibernéticos, são utilizados para negociar imagens e produtos ilegais nas profundezas da web.
No momento, a segurança digital não acompanha a franca expansão da IoT e da automação residencial. Annette Zimmermann, vice-presidente da empresa de pesquisas e consultoria Gartner, acredita que o setor ainda vai pegar embalo, e que as soluções de segurança digital vão acompanhar a expansão da rede. Mas admite que, no momento, a falta de segurança é um problema sistêmico na IoT residencial. Teremos, no mínimo, uma fase de transição turbulenta, enquanto as casas se tornam hiperconectadas. “Com a internet das coisas, vamos ter mais explorações de brechas de segurança. Vai ser um trabalho constante diminuir a frequência e o impacto desses ataques”, afirma Pedro Paulo Pérez, vice-presidente de segurança digital do Grupo Telefónica e CEO da ElevenPaths, unidade de segurança da companhia.
Parte da responsabilidade é das fabricantes de equipamentos e prestadoras de serviços de rede. Produtos e serviços não são concebidos para oferecer o máximo de segurança. Permitir a conexão e o gerenciamento remoto dos aparelhos traz comodidade ao consumidor, mas o torna vulnerável a todo tipo de larápio do mundo digital. De acordo com um estudo realizado pela Universidade Ben-Gurion do Negev, Israel, divulgado em março, dispositivos conectados, como babás eletrônicas, câmeras, portas automáticas, segurança residencial e termostatos, foram facilmente invadidos por um grupo acadêmico que se dedicou a identificar as vulnerabilidades das redes domésticas.
Para o experimento, os pesquisadores dissecaram dispositivos inteligentes conectados à internet. Usaram técnicas de engenharia reversa e simularam ataques virtuais. “É assustadora a facilidade com que um criminoso, voyeur ou pedófilo toma o controle desses aparelhos”, disse, em comunicado, o professor Yossi Oren, líder do laboratório de segurança digital da Ben-Gurion — num alerta para o fato de dispositivos conectados estarem próximos também de crianças e adolescentes. Segundo Oren, em apenas 30 minutos a equipe desvendou as senhas da maioria dos dispositivos, recorrendo a recursos simples como buscas no Google e uso dos manuais dos produtos.
No Brasil, uma equipe da Qualcomm reproduziu, em menor escala, o experimento. A demanda para testar aparelhos comumente encontrados no mercado surgiu de queixas de clientes. O resultado também foi alarmante: 70% dos dispositivos avaliados apresentaram, em média, 25 diferentes pontos de vulnerabilidade. Os riscos vão da facilidade para a invasão cibernética até a adição de peças. Ao desmontar um dos roteadores, José Palazzi, diretor de IoT da Qualcomm para a América Latina, deparou com uma placa sobressalente. A função do objeto era copiar os dados processados e enviá-los aos bandidos. O roteador estava nas mãos de uma equipe de instaladores de redes domésticas, e o contratante do serviço seria incapaz de perceber a manobra. “Os equipamentos têm de ser vedados para evitar este tipo de ação. É preciso proteger o hardware, o software e a rede”, afirma. Silmar Palmeira, diretor de inovação e tecnologia de rede da TIM, concorda que, diante da transformação, vamos precisar de camadas extras de proteção nos ambientes domésticos, com sistemas redundantes e cuidados especiais com os sensores que captam informações sobre a vida dos usuários.
A reação das grandes companhias tem sido mais lenta que o ideal. “As empresas buscam parcerias para produzir aparelhos mais seguros e difíceis de invadir”, comenta Sudha, da Universidade Stanford. Segundo ela, a intenção é estabelecer padrões e acordos de conectividade entre os dispositivos e protegê-los desde o desenho industrial. “É possível projetar aparelhos mais seguros”, comenta. Alguém se habilita?
A IoT vai exigir mais empenho das organizações porque, além de corrigir seus próprios produtos e serviços, empresas vão precisar pensar com a cabeça do usuário médio, sem tempo nem conhecimento para garantir sua própria segurança digital. Thiago Bordini, diretor de inteligência cibernética e pesquisa do Grupo New Space, explica que, até agora, não há padrões de segurança estabelecidos para os dispositivos domésticos. A maior parte das configurações é feita diretamente no equipamento e depende de ação do usuário. “Mas as pessoas não sabem que precisam configurar uma senha”, explica. Durante a entrevista, Bordini acessou o site Shodan, espécie de Google da internet das coisas. Procurou, no Brasil, por um modelo específico de TV inteligente. Em segundos, obteve a lista com o endereço de internet (IP) de 22 aparelhos. “Para sair da lista, é preciso mudar as configurações do equipamento”, indica. Especialistas vão ter muito trabalho educativo a fazer. Em dezembro passado, três profissionais da área — dois da IBM e um da escola politécnica de Montreal — publicaram uma sugestão de estrutura de segurança para a rede inteira, que consideram ser à prova de ignorância tecnológica dos usuários. Chamaram seu sistema de IDIoT.
Enquanto fabricantes de equipamentos e usuários tentam se adaptar, o setor de segurança digital antevê muito trabalho. Companhias tradicionais no ramo, como Symantec, McAfee e F-Secure, passaram a oferecer serviços específicos para IoT residencial. As estratégias englobam desde a oferta direta ao consumidor até a inclusão de recursos de segurança nos serviços de conexão, comunicação e entretenimento. “Esse modelo exige a parceria dos desenvolvedores com os provedores de serviços de internet e operadoras de telecomunicações”, explica Annette, do Gartner. As startups também estão no páreo e devem chacoalhar os modelos de negócios no ramo de proteção das casas conectadas. Entre as novatas, a especialista destaca a BitDefender, da Romênia, e a Cujo, de Los Angeles.
Fundada nos Estados Unidos, a Cujo tem equipes de desenvolvimento na Lituânia — responsável pelos sistemas que rodam na nuvem — e no Brasil, que concentra a parte do software que vai embarcada nos dispositivos, o firmware. “Trabalhamos na proteção dos roteadores. Entendemos que o equipamento é o ponto central da rede doméstica e o mais vulnerável”, comenta Lourival Vieira Neto, vice-presidente de engenharia de firmware e líder da equipe brasileira (lembrando que isso inclui os smart speakers, como o Google Home e o Echo, da Amazon). Com três anos de operação, a Cujo foi considerada pioneira, pelo Fórum Econômico Mundial, pela profundidade de sua pesquisa — a startup usa aprendizado de máquina e ciência de dados para monitorar e prever os ataques. Experimenta expansão acelerada nos Estados Unidos e na Europa, e agora abre caminho para a Ásia. O foco no roteador faz sentido. O equipamento é vulnerável a ataques em pequena escala ou em massa, como o disparado contra máquinas da MikroTik. Aquele tipo de ataque é conhecido como cryptojacking — “rouba” capacidade computacional do aparelho a fim de garimpar bitcoins. É um “gato” no sistema de processamento da máquina. “Não envolve invasão de privacidade nem roubo de dados, mas prejudica o desempenho do aparelho”, afirma Bordini, da New Space. E o dono ainda paga a conta de energia pela mineração de bitcoins.
As bitcoins cobiçadas pelos criminosos usam como base a tecnologia do blockchain — sistema de registro distribuído —, que permite a descentralização de funções como autenticação, verificação de identidade e registro de valor. O blockchain tem potencial para, justamente, proteger as redes domésticas. Entre seus atributos de segurança está a criptografia robusta. A startup Ockam, de São Francisco, criou uma plataforma baseada em blockchain para rastrear aparelhos domésticos. Permite que fabricantes acompanhem o produto por toda a cadeia de abastecimento, evitando a inserção de peças ou programas maliciosos.
Robert Schwentker, presidente da Blockchain University, ressalta que os usos da tecnologia de registro distribuído são embrionários e há uma corrida para provar a sua viabilidade nos mais diversos processos. “Para avançar na internet das coisas, temos muito trabalho a ser feito nas rotinas de autenticação de identidade”, diz. Ele crê que a proteção de IoT residencial vai demandar estudos não só de blockchain, mas de tecnologias como inteligência artificial e até de computação quântica. “São revoluções que estão acontecendo ao mesmo tempo. As boas soluções vão demandar a convergência entre elas”, comenta.
Independentemente da tecnologia adotada, quem atua no segmento de IoT residencial vai sofrer impactos da regulamentação. As leis de proteção de dados e de privacidade aprovadas recentemente na Europa e no Brasil (leia mais na página 80) vão forçar uma conversa entre fabricantes de dispositivos, provedores de serviço e indústria de software sobre padrões de segurança. O diagnóstico é de Paula Mena Barreto, sócia do escritório Campos Mello Advogados na área de propriedade intelectual e proteção de dados. “A legislação brasileira considera dados de perfil comportamental, localização, endereço de IP, entre outros coletados nas casas conectadas como propriedade pessoal”, explica. Com base nas regras, as empresas que coletam, armazenam e processam estas informações têm de obter autorização do consumidor, além de estar em conformidade com as práticas de segurança e proteção de dados exigidas. “A nova lei torna a segurança digital item obrigatório dos produtos e serviços”, diz. Essa novidade, ao menos, é boa. Vale lembrar, porém, que os hackers também se adaptam às mudanças.
Por Ediane Tiago, com Daniela Frabasile e Ana Luiza Mahlmeister.