Aparelhos conectados em casa favorecem invasores digitais
(Folha de São Paulo) - Basta um comando de voz para alterar a iluminação, ligar ou desligar um eletrodoméstico, abrir a porta da casa. A internet das coisas (IoT, na sigla em inglês) garante praticidade, mas esses equipamentos permanentemente conectados à internet exigem cuidados com a segurança digital.
"São dispositivos muito usados, mas com os quais nos preocupamos pouco. E são justamente esses que mais dão brecha de segurança", afirma Daniel Damito, especialista em redes de computadores da Sage Networks, empresa especializada em oferecer soluções contra ataques DDoS, tipo de ataque que tenta 'derrubar' um serviço criando um tráfego maior que a capacidade do servidor.
Segundo ele, procedimentos básicos e já amplamente difundidos diminuem bastante a vulnerabilidade. O primeiro é ter senhas seguras. "Nunca mantenha o padrão de fábrica, como ‘admin’, senha 1234", diz.
Outra recomendação é usar um gerenciador. "A senha não é feita para ser lembrada, existem gerenciadores que têm a função de salvá-la de forma criptografada e segura para você não precisar lembrar", diz Damito. Ele também recomenda a autenticação em duas etapas, que pede a senha e outra confirmação para acesso, como o envio de email ou mensagem no celular, por exemplo.
Fazer as atualizações indicadas pelo fabricante também é essencial para que o equipamento não fique vulnerável. "Os dispositivos têm softwares ou firmwares, programas que executam suas tarefas, e, quando o fabricante oferece uma atualização, o motivo pode ser uma brecha de segurança que foi encontrada e sanada."
Damito explica ainda que todos esses aparelhos têm um protocolo chamado UPnP (universal plug and play), que permite a conexão entre eles em uma rede wi-fi sem a necessidade de configuração manual. Um exemplo é a funcionalidade que espelha a tela do celular na TV em um clique.
Essa praticidade nem sempre combina com a segurança, uma vez que o invasor pode identificar brechas para localizar o roteador e se conectar usando o protocolo, permitindo seu acesso à rede. A recomendação é sempre configurar as conexões individualmente.
Segundo Marcos Simplício, do Laboratório de Arquitetura e Redes de Computadores, da USP (Universidade de São Paulo), os aparelhos com IoT têm menor capacidade de computação do que o celular e computador. Por isso é tecnicamente mais difícil para um invasor obter dados diretamente das lâmpadas, smart TVs, fechaduras, entre outros. Ainda assim, há riscos. Já no caso dos roteadores, é preciso ter mais atenção.
"É difícil roubar dados invadindo um roteador sem fio, mas é fácil redirecioná-lo para outro lugar. Você, por exemplo, pode achar que está entrando no site do seu banco, mas está em um site falso e pode ter seus dados roubados", explica.
Desde 2020, a Anatel (Agência Nacional de Telecomunicações) determina que as operadoras devem exigir a alteração da senha padrão dos roteadores quando eles forem instalados em regime de comodato.
MAIOR VULNERABILIDADE
Além de deixar dados expostos ao roubo no tipo de ataque conhecido como "phishing" (uso de mensagens falsas para obtenção de informações como senhas bancárias e documentos dos usuários), negligenciar a proteção dos aparelhos com IoT pode permitir que seus equipamentos sejam usados por invasores para fins maliciosos.
"Um atacante pode, por exemplo, se especializar em determinado modelo de lâmpada inteligente, descobrir uma brecha, verificar se pode minerar criptomoeda e atacar todas as lâmpadas daquele modelo no mundo, criando um supercomputador com a sua energia sem que você sequer suspeite", diz João Marcos Moretti Pelissari, diretor da Plss Soluções em Ti, empresa especializada em servidores e estruturas de rede. Sede em Ponta Grossa, no Paraná. Isso é possível porque todos os dispositivos conectados têm capacidade de processamento de dados.
Por isso manter usuário e senha padrão é arriscado, já que essa, provavelmente, vai ser a primeira tentativa do atacante. O alvo, portanto, não é apenas a sua casa, especificamente, mas todos os usuários que não mudaram a senha padrão, segundo o especialista. São os chamados "ataques de força bruta", com várias tentativas de usuários e senhas prováveis.
Os especialistas ressaltaram que os dispositivos desprotegidos também são um meio usado para ataques de negação de serviços (DDoS, sigla em inglês). Eles usam a capacidade de processamento desses dispositivos para sobrecarregar e derrubar servidores, deixando escolas, hospitais e prefeituras sem acesso à internet e paralisando serviços.
A invasão ainda permite o acesso remoto a ele. Pelissari alerta que isso gera possibilidade de sequestro do equipamento, ainda que seja algo pouco registrado atualmente. O criminoso pode inviabilizar ou alterar o funcionamento do aparelho —travar a temperatura do ar condicionado e exigir resgate para parar o ataque, por exemplo.
Para a presidente do Comitê de Segurança da Abinc (Associação Brasileira de Internet das Coisas) e diretor de segurança do consumidor para a América Latina da Ericsson, Yanis Stoyannis, é necessário que os fabricantes de soluções de IoT adotem uma postura de segurança e proteção de dados ainda na concepção de cada projeto, denominado "security and privacy by design".
"Ainda que não exista obrigatoriedade de aplicação, segundo ela, o Plano Nacional de Internet das Coisas, elaborado pelo Ministério da Ciência, Tecnologia e Inovações, em 2019, incentiva "a adoção de padrões internacionais de segurança".
Para Rubens Rosado, assessor técnico da Abilumi (Associação Brasileira de Fabricantes e Importadores de Produtos de Iluminação), problemas de segurança estão relacionados à rede de wi-fi desprotegida, não às lâmpadas inteligentes.
"Caso a rede não tenha uma boa proteção como um sistema de criptografia dos dados que circulam por ela e uma senha forte de acesso, suas informações estarão facilmente expostas", afirmou.
A Anatel afirmou que elaborou um estudo "para definir um conjunto mínimo de segurança cibernética mandatórios para a certificação de equipamentos" e que em breve irá realizar consulta pública sobre o tema.
PAPEL DO CONSUMIDOR
Para o pesquisador do ITS Rio (Instituto de Tecnologia e Sociedade) Lucas Cabral, o usuário tem papel importante para garantir segurança na internet.
"Percebo que falta letramento digital, um maior cuidado. As pessoas em geral não têm essa consciência digital", afirma.
Para ele, o letramento digital passa por entender as políticas de privacidade dos equipamentos antes de usá-los e aprender mecanismos de segurança para evitar invasões, como escolher senhas fortes, usar autenticação dupla e atualizar os dispositivos.
Além da proteção contra invasores, ele alerta que também é preciso ficar atento às autorizações de uso de dados, criando sua própria configuração de privacidade. Para isso, é imprescindível observar o que cada equipamento capta de informação.
"Conectou uma lâmpada inteligente, vai na aba configuração do aplicativo, clica em privacidade e lê o que ele está guardando [de informação], o que você pode configurar, o que pode personalizar, quais dados eles estão capturando."
A LGPD (Lei Geral de Proteção de Dados) garante direitos ao usuário e as empresas só podem usar as informações autorizadas por ele. No entanto, Cabral lembra que muitos dão autorizações sem ficar atentos aos detalhes.
COMO MANTER SUA CASA LIVRE DE HACKERS
De um modo geral, valem as mesmas recomendações de segurança para todos os aparelhos:
1) Preferir equipamentos com boa reputação e com certificação
2) Usar uma senha forte para cada dispositivo e trocá-la frequentemente
3) Realizar as configurações de privacidade antes de acionar o dispositivo
4) Sempre fazer as atualizações recomendadas pelo fabricante
Entenda como funcionam e conheça os principais riscos dos equipamentos "inteligentes", que conectam a casa à internet:
Nuvem
O que faz: Os dispositivos com IoT estão conectados na nuvem, que são servidores online que processam as informações. Quando um comando é dado por celular ou voz, ele segue para a nuvem onde é processado e só depois retorna para que o dispositivo execute a tarefa solicitada, gerando tráfego e dados de telemetria que estão permanentemente on-line
Qual risco oferece: A nuvem possui os dados de todos os dispositivos. Se invadida, pode prejudicar o funcionamento de todos os aparelhos
Roteador
O que faz: recebe e envia dados dos dispositivos à internet
Qual risco oferece: é o equipamento mais sensível em uma rede doméstica. Por ele passam as informações de todos os dispositivos conectados. Se invadido, dá acesso a tudo que está ligado na rede. Dentre os riscos está redirecionar os acessos para sites falsos
Assistente de voz
O que faz: usado para dar comandos aos demais dispositivos conectados
Qual risco oferece: pode expor dados privados sem autorização. Um exemplo é permitir que o invasor ouça o que se passa em sua casa
Fechadura digital
O que faz: permite abertura da porta com senha, biometria ou comando de voz
Qual risco oferece: pode ser invadida e ter dados capturados. Um equipamento de menor qualidade pode ser vulnerável à simuladores de voz que permitam a abertura por um criminoso
Smart TV
O que faz: permite conexão com a internet para assistir streamings, usar mecanismos de busca, jogos, música e outros dispositivos IoT
Qual risco oferece: pode expor dados pessoais. TVs com câmera e microfone podem ser acionadas remotamente
Lâmpada "inteligente"
O que faz: permite ativação remota, mudança na intensidade de luminosidade, alteração da tonalidade. Alguns modelos tem câmera acoplada e permitem transmissão de dados "Li-Fi"
Qual risco oferece: podem ser usadas para ordenar ataques contra servidores e até minerar criptomoedas. Se invadidas, podem ser acionadas remotamente e, no caso de modelos com câmera, expor as imagens captadas
Câmeras de vigilância
O que faz: elas funcionam com DVR (Digital Video Recorder) e NVR (Network Video Recorder), equipamentos conectados que operam sistemas de monitoramento por câmeras
Qual risco oferece: o principal risco é à privacidade. Um equipamento mal protegido pode ser invadido e permitir acesso às imagens. Também pode ser desativado remotamente
Tomadas "inteligentes"
O que faz: permitem controlar eletrodomésticos à distância
Qual risco oferece: podem permitir acionamento remoto e acarretar danos aos equipamentos
Máquina de lavar / Ar condicionado / Aspirador / Geladeira
O que faz: são os tradicionais eletrodomésticos da ‘linha branca’ que, nas versões mais avançadas, permitem conexão com a Internet
Qual risco oferece: podem ser acionados indevidamente por um invasor que pode travá-los, desligá-los e ser empregados em ataques à rede doméstica
Esta reportagem foi produzida a partir de conteúdos debatidos no Lab Sociedade Digital, parceria entre a Unico, ID tech em identidade digital, e a Folha, com apoio do ITS (Instituto de Tecnologia e Sociedade do Rio)
Reportagem relacionada
.............................................
Fonte: Folha de São Paulo
Imagem: Avener Prado/Folhapress, TEC