Notícias

A falha da internet das coisas

Por Michelle de Mooy para Center for Democracy and Technology

No último dia 21, um exército global sofisticado interrompeu o serviço para sites como o New York Times, o Spotify e o Twitter. O ataque não foi promovido por um exército de soldados treinados e não envolveu marchas através de fronteiras internacionais. Em vez disso, foi conduzido por um exército digital inconsciente e possibilitado por falhas sistemáticas de governos, empresas e consumidores em exigir mais segurança para nossos dispositivos.

Eis o que aconteceu. Um ataque distribuído de negação de serviço (Distributed Denial of Service ou DDoS, na sigla em inglês) – essencialmente uma inundação de tráfego digital de proporções épicas – tomou conta de servidores pertencentes à Dyn, uma empresa que conecta usuários a sites. O ataque foi promovido se aproveitando em parte da crescente popularidade dos dispositivos da internet das coisas. Os agressores acessaram cerca de 100 milhões de dispositivos usando nomes de usuários e senhas padronizados publicados on-line, mas ainda usados pela fabricante chinesa de dispositivos Hangzhou Xiongmai. Em seguida, os agressores mudaram as senhas e atualizaram softwares nos dispositivos com malwares, criando um exército digital de dispositivos que podiam responder aos seus comandos. O ataque sobrecarregou os servidores da Dyn com milhões de requisições maliciosas de endereços IP gerados pelos dispositivos da internet das coisas envolvidos e a tecnologia da empresa não foi capaz de manter ou separar o tráfego legítimo do fluxo.

Esta não é a primeira vez que um ataque deste tipo aconteceu, mas os eventos daquela sexta-feira são um prenúncio claro do escopo e da complexidade dos ataques que veremos daqui para frente, especialmente quando voltados para a infra-estrutura centralizada e capazes de derrubar muitos sites ao mesmo tempo. Apenas 10% dos dispositivos comprometidos pelo botnet Mirai foram usados na sexta-feira e só isto foi o bastante para causar graves perturbações a toda a internet. O ataque distribuído de negação de serviço resultou de erros cometidos pelo setor privado, pelo governo e até mesmo pela população. Entender estas falhas é importante para mitigar o risco de outro ataque similar.

Indústria privada

Do uso de software ultrapassado e senhas padrão à abdicação da responsabilidade de fornecer patches de segurança para seus produtos, as empresas são tanto o problema, quanto a solução. A tentativa da Hangzhou Xiongmai de culpar os usuários por não terem mudado as senhas padrão mostra como dedos são regularmente apontados na indústria da internet das coisas. Ainda que o ideal seja que consumidores se informem cada vez mais sobre a segurança dos dispositivos, transferir a culpa da fábrica para o usuário não ajuda a aumentar as proteções. Também ignora o fato de que o conhecimento técnico para configurar adequadamente um dispositivo de internet das coisas ainda pertence à indústria.

Empresas com visão de futuro devem incluir requisitos contratuais que incentivem boas práticas em todo o ambiente de fornecedores, tais como criar e aplicar normas de privacidade e segurança, oferecer aos consumidores transparência significativa e aceitar a responsabilidade por todo o ciclo de vida dos produtos, dos fabricantes de dispositivos aos usuários finais. Temos políticas existentes na indústria que são instrutivas. Por exemplo, podemos ver o papel da intervenção do governo na proteção ambiental. A Agência de Proteção Ambiental norte-americana [Environmental Protection Agency ou EPA, na sigla em inglês] impõe multas aos poluidores, mas não avalia a responsabilidade civil por danos ou prejuízos causados a terceiros. Se fosse possível multar fabricantes mesmo apenas em 5% das perdas financeiras de outras empresas resultantes de um ataque como este, haveria uma boa chance de algumas destas falhas básicas de segurança se tornarem menos comuns.

Governos

Uma razão pela qual empresas não têm abordado estas falhas básicas de segurança é que eles não são obrigadas. Os governos desempenham um papel importante no equilíbrio entre a proteção ao consumidor e os avanços e as forças de mercado, mas geralmente têm feito vistas grossas para os dispositivos da internet das coisas. A Comissão Federal de Comércio norte-americana [Federal Trade Comission ou FTC, na sigla em inglês] vem prestando atenção aos dispositivos conectados e provavelmente iniciará uma investigação sobre o ataque, mas só poderá fazer isto com base nas autorizações garantidas pela Seção 5 da lei que a estabeleceu e com recursos limitados.

Os consumidores merecem proteções básicas à privacidade e à segurança que se pareçam com a proteção ao consumidor tradicional. O que acontece se a empresa da qual você comprou seu dispositivo conectado à internet das coisas resolver parar de oferecer atualizações de segurança àquele dispositivo? Ou se a empresa for à falência, como aconteceu com a fabricante de produtos de automação residencial Revolv? Isto significa que sua geladeira ou seu termostato deixarão de funcionar – não porque estão quebrados, mas porque a fabricante decidiu que era hora de seguir em frente. Os governos devem estabelecer diretrizes que obriguem as empresas a garantir que seus produtos receberão suporte por um determinado período e sejam responsabilizadas se deixarem de cumprir estas promessas.

Como os dispositivos da internet das coisas abrangem muitas indústrias, órgãos equivalentes a entidades do governo dos EUA como a Administração de Alimentos e Medicamentos [Food and Drugs Administration ou FDA, na sigla em inglês], a Comissão Federal de Comunicações [Federal Communications Commission ou FCC, na sigla em inglês], a Comissão Federal de Comércio [Federal Trade Commission ou FTC, na sigla em inglês], a Comissão de Segurança de Bens de Consumo [Consumer Product Safety Commission ou CPSC, na sigla em inglês] têm um papel a desempenhar na proteção dos interesses dos consumidores no universo de dispositivos conectados. Agências como estas devem trabalhar em conjunto para desenvolver políticas capazes de responsabilizar as empresas por falhas técnicas e políticas.

População

Os proprietários de dispositivos da internet das coisas que desempenharam um papel no ataque distribuído de negação de serviço não foram alvos de hacking em um sentido tradicional – o propósito não era obter informações pessoais sobre estes indivíduos. Em vez disso, os proprietários dos dispositivos da internet das coisas se tornaram involuntariamente vetores de hacking contra outras pessoas.

As falhas de segurança nos dispositivos aproveitadas neste ataque eram provavelmente avançadas demais para serem reparadas por um usuário comum. Mas, dada a terra sem lei em que habitam os dispositivos conectados, devemos considerar nossas próprias obrigações como parte de uma comunidade maior e interconectada. Somos todos parte do mesmo ecossistema digital. Qual é a nossa responsabilidade coletiva quando os nossos dispositivos desempenham um papel no comprometimento de suas funcionalidades básicas? No mínimo, os indivíduos devem exigir transparência real e permanente dos fabricantes e vendedores de dispositivos de internet das coisas de modo que seja possível tomar medidas para proteger nossos dispositivos e nossas redes. As empresas poderiam trabalhar juntas para criar interfaces padronizadas e atualizadas que deem às pessoas as informações de que precisam – como o nível de proteção em comparação a níveis mais elevados, pedidos de acesso a seus dispositivos, formas simples de configurar firewalls e outras medidas de segurança – para proteger seus roteadores, seus gravadores de vídeo digitais, suas webcams e todas as outras “coisas” conectadas às suas redes.

O que aprendemos?

Junto com possibilidades estimulantes para a inovação em muitos setores, a internet das coisas traz novos níveis de risco e responsabilidades. Nós não podemos desfrutar destes resultados positivos sem uma ação corretiva, deliberada e cuidadosa que torne a privacidade e a segurança obrigações para a indústria privada, os governos e talvez mesmo os consumidores.

Artigo AnteriorPróximo Artigo

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

14 − 3 =