2 de dezembro de 2021

Do bit Ao Byte

Embarcados, Linux e programação

IoT: O risco para a segurança nacional

programador back-end | Incrementar um valor | IoT | Pausar processamento | desafio maker | ordenar um array | caixa dagua | blink sem condicionais

Lembro-me do inicio da Internet no Brasil, logo após a BBS, as terríveis conexões discadas. Na época não existia segurança de nenhum tipo; o protocolo mais comum para conexão remota era o telnet, que abria um terminal no servidor sem nenhuma criptografia, e o pior – diversas pessoas configuravam de forma errada, permitindo que com uma série de comandos se obtivesse acesso ao sistema. Claro que a Internet não era tão relevante naquela época, mas o IoT pode fazê-la ressurgir das cinzas.

Hoje temos uma Internet mais complexa, mas não diria “mais segura”, até porque segurança é só um estado de espírito. Tudo é questão de tempo para ser burlado e nada resiste a um acesso físico. Mas o que vejo hoje também é algo que as pessoas pouco percebem; um renascimento daquela Internet dos anos 90, sem critérios de segurança, mas em um mundo muito mais perigoso.

Dispositivos IoT

Já há algum tempo escrevi um artigo e postei um vídeo sobre a interceptação de uma TV Samsung, mostrando que os aplicativos não estavam na TV, mas ao clicar sobre eles era feito o download lá no site da Samsung, que às vezes se tornava indisponível. Não sei se hoje ainda é assim com a Samsung, mas desde que fiz a interceptação decidi trocar a conectividade pelo Chromecast – pelo menos o Google dá algo em troca das informações, como os diversos serviços que usamos gratuitamente. Mas explico onde quero chegar.

Onde são fabricados praticamente todos os eletrônicos do planeta? – Se disse China, parabéns, mas é bastante óbvio.

Dos dispositivos que são programáveis, como as microcontroladoras das quais criamos nossos projetos, acabamos evitando um certo risco, considerando que temos a possibilidade de interceptar a saída do dispositivo e analisar o conteúdo afim de saber se existe algum malware implementado em hardware. Só que em muitos casos acabamos expondo voluntariamente informações que podem ser sensíveis, principalmente se falarmos de LoRaWAN, onde utilizamos um broker externo que armazena (ou não) as informações coletadas por nossas aplicações.

Imagine que façamos um sistema para uma fazenda; coletamos umidade do solo, temperatura ambiente, temperatura do solo, gás carbônico, pressão atmosférica, luminosidade e precipitação. Sequer é necessário imagens para saber exatamente como está o ambiente monitorado. Além disso, o IP ou localização do dispositivo pode ser presumida, ou até sabida precisamente, se adicionado um GPS ao sistema.

Além dos sensores, podemos ter atuadores dispensando fertilizantes, água, comida para a criação.

Fora essa parte de variáveis de ambiente, é provável que haja uma métrica para avaliar colheitas, o tipo de plantio, a qualidade da safra. Agora imagine que todas essas informações estão sendo enviadas para um broker através de um canal criptografado. Quando esses dados chegam ao destino, eles precisam ser tratados, portanto, explicitados internamente no sistema. Qual a garantia de que esses dados não estão sendo coletados e redistribuídos a partir do broker? Bem, não há garantias. Todo o negócio de uma fazenda, estratégias, lucratividade e perdas estão ali, para serem avaliadas por alguém interessado.

Das redes LoRaWAN, temos até redes chinesas, que inclusive fornecem acesso à sua rede de forma gratuita, bastando cadastrar o dispositivo LoRa, como é o caso do ESP32 Wireless Stick LoRa. Desse modo, nós desenvolvedores estamos sensibilizando as informações relacionadas à prosperidade e aos negócios do país, com risco de nos tornarmos vítimas de uma estratégia maligna vinda de uma outra nação – como por exemplo, a própria China.

Mas esse caso explicado é o que ainda temos controle, do qual poderíamos criar nosso próprio broker, ainda que em um servidor na nuvem, mas com um risco menor de acesso pelo background. No entanto, muitos dispositivos IoT já saem prontos para uso; desde televisores à sensores e atuadores, usados em todo o tipo de equipamentos – e no caso de fazendas, até em máquinas agrícolas. Os firmwares desses dispositivos são obscuros, inacessíveis e mantêm-se sob o domínio do desenvolvedor, que nem sempre é de uma nação confiável, mas ainda que fosse, a informação é preciosa e tem alto valor, suficiente para ser tentado a transformar em produto.

A furtividade e o risco iminente

Enquanto se está regulamentando o uso de IoT, o conceito está mal definido, mal compreendido e vulnerável. A análise dos riscos hoje são baseadas apenas nas especificações que técnicos podem avaliar, mas não há uma avaliação da parte lógica. E esse também é um risco da rede 5G, que pode levar essas e tantas outras informações sensíveis. Citei o caso de uma fazenda, mas há ainda outros diversos riscos em muitas outras áreas, como saúde, lazer, alimentação e que poderia estender esse texto ad eternum.

A Huawei é sabidamente uma empresa que já apresentou problemas sérios de segurança, inclusive com backdoors propositais e ainda hoje apontada pelos EUA como um risco à segurança nacional. Imagine uma empresa dessas coletando informações em câmeras, conexões de celulares e outros mais. Não é apenas questão de privacidade; uma quantidade de dados passados pelas mãos de um cientista de dados e introduzidos em uma rede neural pode resultar em uma fragilização da sociedade como um todo, de modo a permitir influenciamento direto ou subliminar, ou ainda pior, impositivo.

Estamos em um momento importante no qual cabe a nós de tecnologia elucidar os consumidores desses produtos de IoT e procurar as melhores estratégias para proteger a informação, afim de preservar não apenas o indivíduo, mas a sociedade como um todo.

 

Revisão: Ricardo Amaral de Andrade