Uma falsa sensação de segurança da IoT?

Notícias recentes pintam um quadro sombrio da Internet das Coisas como uma arena insegura e vulnerável a jogadores maliciosos

Rich Handley

Tenho vários Alertas do Google me mantendo informado sobre anúncios relacionados a identificação por radiofrequência (RFID), Near Field Communication (NFC), Bluetooth Low Energy (BLE), sistemas de localização em tempo real (RTLS) e outras tecnologias da Internet das Coisas (IoT). Os Alertas do Google permitem que as pessoas recebam e-mails quando novos resultados de tópicos especificados pelo usuário aparecem na Pesquisa Google. Recebo alertas diários sobre lançamentos de produtos, pilotos, implantações, padrões e outros desenvolvimentos, permitindo que a equipe do RFID Journal encontre ângulos interessantes para escrever.

Normalmente, os artigos que vejo no Google Alerts retratam o setor de IoT e as tecnologias inovadoras que ele engloba desfrutando de uma era de crescimento sem precedentes. De vez em quando, porém, os alertas me fazem levantar uma sobrancelha. Um dos meus alertas é para o termo “Internet das Coisas” com a palavra “mercado” filtrada para evitar que eu seja inundado com uma infinidade de sites promovendo relatórios de mercado – o que pode ser útil, não me entenda mal, mas eles parecem produzidos em massa em esteiras transportadoras, considerando quantas novas são anunciadas a cada mês. O alerta de hoje foi preenchido com relatórios alarmantes sobre a falta de segurança da IoT.

blank
Rich Handley

Um artigo recente da Digital Information World, intitulado “A Internet das Coisas foi atacada mais de um bilhão de vezes em 2021”, afirmou que a natureza interconectada de eletrodomésticos comuns, dispositivos inteligentes e assistentes digitais (Alexa, por exemplo) “é algo que muitos especialistas estão alertando contra”, alegando que “esse é o tipo de coisa que pode acabar criando muito mais vulnerabilidades que os agentes mal-intencionados podem explorar”. O artigo cita um relatório da SAM Seamless Network indicando que mais de um bilhão de ataques cibernéticos ocorreram no ano passado, 900 milhões deles focados na IoT, que o artigo pinta como um ambiente muito inseguro.

Os Alertas do Google também me apontaram para uma história do ZDNet, “Este bug de DNS não corrigido pode colocar dispositivos IoT ‘conhecidos’ em risco”, cobrindo um aviso de pesquisadores da empresa de segurança IoT Nozomi Networks. O aviso refere-se a uma biblioteca popular para a linguagem de programação C para produtos IoT que é vulnerável a ataques de envenenamento de cache do Domain Name System (DNS), devido a um bug de 10 anos que não pode ser corrigido. A pesquisadora Andrea Palanca, explica o artigo, descobriu que a implementação DNS das bibliotecas uClibc e uClibc-ng C “gera identificadores de transação (IDs) incrementais e previsíveis na resposta DNS e solicitam comunicações de rede”, afetando “uma variedade de dispositivos IoT conhecidos em execução as versões de firmware mais recentes com uma grande chance de serem implantadas em toda a infraestrutura crítica.”

Abaixo dessa manchete, entretanto, havia uma matéria da Federal News Network intitulada “Hackers encontram mais de 400 vulnerabilidades nas empresas de base industrial do DoD”. O Departamento de Defesa dos EUA convidou o HackerOne, um grupo crowdsourced de hackers éticos caçadores de recompensas, para identificar vulnerabilidades nas redes baseadas em IoT de seus contratados. “Ao longo de um ano”, revela o artigo, “os hackers investigaram 41 empresas e encontraram mais de 400 vulnerabilidades que precisavam de mitigação”. É encorajador ver o Departamento de Defesa abordando e prevenindo proativamente buracos em sua segurança, mas também é um pouco assustador pensar que os militares dos EUA podem ser tão vulneráveis ​​a ataques.

Estes são apenas uma amostra dos artigos alarmantes nos Alertas do Google de hoje e, ultimamente, eles têm aparecido com frequência cada vez maior. Quão preciso, na sua opinião, os relatórios sobre segurança da Internet das Coisas tendem a ser? A IoT é um smörgåsbord perigosamente inseguro para criminosos roubarem dados confidenciais de empresas e indivíduos? Esses artigos equivalem a uma isca de cliques no pior cenário? Ou a verdade está em algum lugar no meio – que as ameaças à IoT são inegavelmente reais, mas que a imagem não é tão sombria quanto está sendo pintada?

blank

De qualquer forma, o que pode ser feito para educar consumidores e empresas sobre os produtos que compram para que possam se proteger? Com tantos dispositivos IoT em uso e com tantos outros no horizonte, é algo para se pensar. Onde você avalia essa questão? Se você tem uma opinião sobre a segurança (ou falta dela) da Internet das Coisas, você pode publicá-la abaixo.

Rich Handley é o editor-chefe do RFID Journal desde 2005. Fora do mundo RFID, Rich é autor, editor ou contribuidor de vários livros sobre cultura pop.

- PUBLICIDADE - blank