Quais são os desafios de segurança dos dispositivos de IoT? Qual o impacto que eventuais falhas na segurança destes dispositivos tem no nosso dia a dia? Quais são as diferenças entre a abordagem tradicional de segurança de um software e a segurança de um dispositivo de IoT? Estas são algumas das questões discutidas por Alasdair Allan em seu keynote no QCon Londres 2017 e resumidas neste artigo.
De acordo com Alasdair, o modo como enxergamos a privacidade será transformado na nova era da Internet of Things ("Internet das Coisas" ou IoT). Para muitos, ainda existe uma clara separação entre a Internet e o mundo real, contudo, gradualmente esta fronteira desaparecerá:
Num mundo onde tudo é smart (inteligente), em breve toda a sua vida será mensurada, calculada e avaliada. Logo, a Internet não se tratará apenas do seu e-mail ou das fotos do seu gato, mas sim da sua frequência cardíaca, sua taxa de respiração e como foi o seu sono na noite anterior.
Aliadar avalia que a pressa para criar dispositivos de IoT e conectá-los na Internet teve como consequência uma baixa preocupação com a arquitetura destes dispositivos, principalmente em relação à privacidade e segurança. Ele enfatiza:
Devemos consertar a Internet das Coisas antes que ela se torne uma ameaça a própria Internet.
Um dos principais erros no desenvolvimento de tecnologias de Internet of Things ("Internet das Coisas" ou IoT) é que o paradigma tradicional de segurança, que tem como premissa evitar o acesso físico a um dispositivo, não é aplicável a estes dispositivos pois um dos pontos chave desta tecnologia é que, quando necessário, o usuário possua acesso físico ao dispositivo.
Para ilustrar esta vulnerabilidade, durante a palestra foram apresentadas uma série de exemplos como:
- Como a indústria hoteleira expõe seu usuários em dispositivos IoT como radios, luzes inteligentes, portas, etc.;
- O ataque a privacidade dos Cloudpets (um urso de pelúcia IoT), onde foram expostos emails, senhas, imagens e milhões de minutos gravações de voz entre pais e filhos;
- A Stuxnet, worm que infectou silenciosamente uma série de computadores industriais e causou graves danos ao programa nuclear Iraniano.
Outra questão apontada por Aliadar é em relação a longevidade dos dispositivos de IoT. Segundo o cientista, estes dispositos são criados com o mindset do "Vale do Silício", baseado na ideia que estes equipamentos serão provavelmente substituídos em um ou dois anos. Contudo, o autor apresenta a seguinte reflexão:
Qual foi a última vez que você substituiu sua cafeteira? Qual foi a última vez que você substituiu todas a lâmpadas da sua casa? E todas as suas fechaduras?
Alidar afirma que os dispositivos de IoT vão permanecer nas nossas vidas de 10 a 20 anos, pois esta é a expectativa de vida de carros, refrigeradores e fogões. Desta forma, a arquitetura de software e hardware destes dispositivos deve ser projetada para ser atualizada e mantida durante todo o ciclo de vida de um projeto. Mas o que acontecerá se estas empresas falirem antes deste tempo? Os dispositivos IoT irão parar de funcionar?
Podemos extrair dois pontos principais da mensagem deste keynote. O primeiro é que a segurança de dispositivos de IoT é responsabilidade dos desenvolvedores e esta deve ser uma preocupação desde o início do projeto dos dispositivos, pois estes são parte importante da nossa sociedade e não podemos deixá-los vulneráveis.
O segundo é que a arquitetura de software destes dispositivos afetará diretamente o modelo de negócio da empresa. Atualmente, o modelo escolhido por grande parte das empresas de IoT é simples: consumidores compram o dispositivo e recebem, sem nenhum tipo de assinatura mensal ou anual, todo o suporte dos serviços de cloud, pois estes são exatamente o que tornam este device inteligente.
Os fabricantes fornecem este serviço gratuitamente pois acreditam que os custos de manutenção destes serviços em nuvem serão baixos e que, novos consumidores ajudarão a cobrir estas despesas. Infelizmente, na prática, foi provado que esta expectativa é excessivamente otimista.
Alidar conclui afirmando que os desafios de IoT podem ser divididos em 3 áreas: segurança, ciclo de atualizações e standards (padrões) e atualmente, a comunidade de IoT demonstra preocupação somente com a consolidação de padrões de arquitetura, fato que surpreende o palestrante pois em sua opinião os outros dois desafios são, de longe, mas importantes.